Para quem interessar próximas 2 palestras que ministrarei (Brasil e EUA) juntamente com o Luiz Eduardo :
BSides Las Vegas (26 Julho)
http://bsideslv.com/talks.php#ug201
Seginfo Rio de Janeiro (27 Agosto até 1 de Setembro)
http://www.evento.seginfo.com.br/palestras/
Nos vemos por lá!
Happy Detection!
Rodrigo "Sp0oKeR" Montoro
domingo, 22 de julho de 2012
quarta-feira, 18 de julho de 2012
Introdução Pre-Processadores - Serie Snortando (Parte 6)
Depois de algum tempo sumido estamos de volta com a Série Snortando. Caso não tenha visto os post anteriores e a Agenda basta acessa aqui: http://spookerlabs.blogspot.com.br/2012/01/agenda-da-serie-snortando.html
Como comentamos anteriormente o Snort possui um ciclo, no qual o quanto mais rápido o pacote for analisado ou retirado do ciclo melhor a performance. Basicamente temos:
Aquisição do tráfego (DAQ) -> Decoders -> Pré-Processadores -> Engine de Detecção (Assinaturas/Regras) -> Plugins de Saída
Os pré-processadores tem um papel MUITO importante nesse ciclo de detecção e é de suma importância entende-los. Alguma das funções que podemos salientar:
- Remontagem pacotes IP fragmentados (frag3)
- Reassemble protocolo TCP (stream5)
- Normalização de encodes HTTP (http_inspect)
- Javascript (http_inspect)
- Analise de performance (perfmonitor)
- Normalização de tráfego de e-mail (SMTP / POP e IMAP)
- Normalização tráfego SMB/Netbios (DCERPC2)
- Arp Spoofing (arpspoof)
- Lista de Reputação IP (ip_reputation)
- Detecção dados confidenciais (sensitive_data)
No total o snort possui por volta de 22 pre-processadores que tem o trabalho de repassar os dados o mais normalizado e "original" possivel para o sistema de deteção possa fazer seu trabalhando, mitigando os falsos-negativos, vulgo, bypass.
Como citei na agenda falaremos em especifico da maioria dos pre-processadores visto a grande importancia dos mesmo. O interessante que o pre-processador pode remover os dados do ciclo ganhando assim tempo visto que isso dara oportunidade para analisar outro pacote.
Algo que é de suma importancia para a configuração correta dos mesmo é entender como os protocolos funcionam, pois sem isso fica dificil configura-los de forma correta. Também temos as pre-proc rules que serão comentadas no próximo blogpost no qual cobrirei esse assunto.
Em resumo os pre-processadores são a parte mais importante do Snort, muito mais que as assinaturas pois se a normalização não acontecer de forma correta de nada adiantara as regras.
Lembrando que ministrarei treinamento completo EaD no próximo mes (Agosto/2012) - http://spookerlabs.blogspot.com.br/2012/06/treinamento-snort-completo-ensino.html
Happy Snorting!
Rodrigo "Sp0oKeR" Montoro
Como comentamos anteriormente o Snort possui um ciclo, no qual o quanto mais rápido o pacote for analisado ou retirado do ciclo melhor a performance. Basicamente temos:
Aquisição do tráfego (DAQ) -> Decoders -> Pré-Processadores -> Engine de Detecção (Assinaturas/Regras) -> Plugins de Saída
Os pré-processadores tem um papel MUITO importante nesse ciclo de detecção e é de suma importância entende-los. Alguma das funções que podemos salientar:
- Remontagem pacotes IP fragmentados (frag3)
- Reassemble protocolo TCP (stream5)
- Normalização de encodes HTTP (http_inspect)
- Javascript (http_inspect)
- Analise de performance (perfmonitor)
- Normalização de tráfego de e-mail (SMTP / POP e IMAP)
- Normalização tráfego SMB/Netbios (DCERPC2)
- Arp Spoofing (arpspoof)
- Lista de Reputação IP (ip_reputation)
- Detecção dados confidenciais (sensitive_data)
No total o snort possui por volta de 22 pre-processadores que tem o trabalho de repassar os dados o mais normalizado e "original" possivel para o sistema de deteção possa fazer seu trabalhando, mitigando os falsos-negativos, vulgo, bypass.
Como citei na agenda falaremos em especifico da maioria dos pre-processadores visto a grande importancia dos mesmo. O interessante que o pre-processador pode remover os dados do ciclo ganhando assim tempo visto que isso dara oportunidade para analisar outro pacote.
Algo que é de suma importancia para a configuração correta dos mesmo é entender como os protocolos funcionam, pois sem isso fica dificil configura-los de forma correta. Também temos as pre-proc rules que serão comentadas no próximo blogpost no qual cobrirei esse assunto.
Em resumo os pre-processadores são a parte mais importante do Snort, muito mais que as assinaturas pois se a normalização não acontecer de forma correta de nada adiantara as regras.
Lembrando que ministrarei treinamento completo EaD no próximo mes (Agosto/2012) - http://spookerlabs.blogspot.com.br/2012/06/treinamento-snort-completo-ensino.html
Happy Snorting!
Rodrigo "Sp0oKeR" Montoro
quarta-feira, 4 de julho de 2012
Silver Bullet 2012 - Chamada de Trabalhos
10 e 11 de Novembro de 2012
FECOMERCIO, São Paulo
http://www.sbconference.com.br
Sobre
O Silver Bullet tem por objetivo agrupar em um mesmo espaço especialistas e interessados em segurança da informação, além de promover novas pesquisas e palestrantes nacionais da comunidade.
A segunda edição do Silver Bullet será realizada na FECOMERCIO, em São Paulo, nos dias 10 e 11 de Novembro de 2012.
O evento é organizado pelos mesmos criadores da reconhecida conferência You Sh0t the Sheriff, que este ano completou sua sexta edição.
Submissão de trabalhos
Qualquer assunto relacionado com segurança da informação, técnico ou não, pode ser submetido, cabendo ao comitê organizador avaliá-lo, levando em consideração aspectos que incluem originalidade, criatividade, atualidade, ineditismo, interesse da audiência e relevância.
A submissão deve ser planejada para ser apresentada em um tempo máximo de 40 minutos.
Benefícios aos palestrantes
- 700 reais para ajuda de custos de translado e hospedagem para palestrantes residentes fora da grande São Paulo.
Processo de submissão
As submissões devem ser encaminhadas para: cfp (arroba) sbconference.com.br APENAS no formato txt. Serão aceitas palestras em portugues, inglês ou espanhol.
Cada submissão deve conter as seguintes informações:
1. Nome
2. Apelido ou como deseja ser chamado
3. Email, Twitter, Site
4. Telefone/Celular
5. Empresa
6. Breve biografia
7. Titulo da apresentação
8. Sumário da apresentação
9. Onde este material foi apresentado antes e diferenças para a versão atual
10. Se serão incluidas demostrações
11. Equipamentos necessários para apresentação, além de projetor e tela
Datas importantes
Encerramento de recebimento dos trabalhos: 21 de Setembro 23:59 (GMT-3)
Anúncio aos palestrantes escolhidos: 01 de Outubro
Evento 10 e 11 de Novembro
Outras Informações
Email: info (arroba) sbconference com br
Twitter: @SilverBulletCon
Site: http://sbconference.com.br
FECOMERCIO, São Paulo
http://www.sbconference.com.br
Sobre
O Silver Bullet tem por objetivo agrupar em um mesmo espaço especialistas e interessados em segurança da informação, além de promover novas pesquisas e palestrantes nacionais da comunidade.
A segunda edição do Silver Bullet será realizada na FECOMERCIO, em São Paulo, nos dias 10 e 11 de Novembro de 2012.
O evento é organizado pelos mesmos criadores da reconhecida conferência You Sh0t the Sheriff, que este ano completou sua sexta edição.
Submissão de trabalhos
Qualquer assunto relacionado com segurança da informação, técnico ou não, pode ser submetido, cabendo ao comitê organizador avaliá-lo, levando em consideração aspectos que incluem originalidade, criatividade, atualidade, ineditismo, interesse da audiência e relevância.
A submissão deve ser planejada para ser apresentada em um tempo máximo de 40 minutos.
Benefícios aos palestrantes
- 700 reais para ajuda de custos de translado e hospedagem para palestrantes residentes fora da grande São Paulo.
Processo de submissão
As submissões devem ser encaminhadas para: cfp (arroba) sbconference.com.br APENAS no formato txt. Serão aceitas palestras em portugues, inglês ou espanhol.
Cada submissão deve conter as seguintes informações:
1. Nome
2. Apelido ou como deseja ser chamado
3. Email, Twitter, Site
4. Telefone/Celular
5. Empresa
6. Breve biografia
7. Titulo da apresentação
8. Sumário da apresentação
9. Onde este material foi apresentado antes e diferenças para a versão atual
10. Se serão incluidas demostrações
11. Equipamentos necessários para apresentação, além de projetor e tela
Datas importantes
Encerramento de recebimento dos trabalhos: 21 de Setembro 23:59 (GMT-3)
Anúncio aos palestrantes escolhidos: 01 de Outubro
Evento 10 e 11 de Novembro
Outras Informações
Email: info (arroba) sbconference com br
Twitter: @SilverBulletCon
Site: http://sbconference.com.br
Assinar:
Postagens (Atom)