.:. security is not for lazy minds .:. Evolve or Die .:. computer bushi .:.

segunda-feira, janeiro 30, 2006

VTE CERT

Pouco tempo para "postar". :)

Há uns dias atrás, tomei conhecimento de uma iniciativa do CERT. Uma espécie de "treinamento virtual" o VTE (Virtual Training Environment), uma base de conhecimento sobre diversos tópicos na área de segurança.

Vale a pena conferir. Fica a dica.

http://vte.cert.org/

quarta-feira, janeiro 18, 2006

Livro "Extrusion Detection"


Comecei a ler o livro Extrusion Detection: Security Monitoring for Internal Intrusions livro de Richard Bejtlich. Aborda o monitoramento de segurança para ataques internos. Richard é adepto do NSM (Network Security Monitoring), uma definição retirada do livro para este termo segue abaixo:

"NSM is the collection, analysis, and escalation of indications and warnings to detect and respond to intrusions"

Livros de segurança, normalmente concentram-se em ataques "inbound" (INTERNET->RedeInternaDMZ), este livro, no entanto, trata do monitoramento para ataques em tráfego "outbound" (RedeInternaDMZ ->INTERNET), vê-se muito em redes afora a conduta de filtrar tráfego de entrada e permitir qualquer coisa sair da rede, as regras de saída são mais "relaxadas". Realmente, diversos ataques podem se utilizar desta "distração" para executar um ataque (Por exemplo, ao invés de conectar diretamente em um servidor Web, por que não fazê-lo conectar em uma máquina na Internet, pensem nisso).

Um outro conceito interessante é o de "defensible network" - Retirado do livro - "A defensible network is an information architecture that is monitored, controlled, minimized, and current." O objetivo é dar ao analista o máximo de informação para tomar suas decisões sobre intrusões ocorrendo na rede.

Existem 4 formas de dados que o autor alega serem importantes registrar, são elas:


Full content data
Session data
Statistical data
Alert data


Bom, em outras oportunidades poderei falar sobre elas, estou começando a ler o livro. Mas uma frase de efeito que serve de atenção seria "Alertas de intrusão são início de uma invetigação não o fim". putz :)

Outra mais dramática: :)


"Conheça muito bem sobre o que está acontecendo em sua rede, pois caso contrário, um intruso o fará"



Fábio Henrique.
----------------------------------------
Security Engineer / Intrusion Analyst

sábado, janeiro 14, 2006

Manhã calma, Tarde Turbulenta (Continuando)

A tarde não foi tão calma assim (já começava a acreditar na "SEXTA-FEIRA 13"), das diversas solicitações dos nossos clientes e incidentes que aconteceram, este problema que descreverei foi realmente instigante.

.... A saga ....


Descobrimos do que se tratava o problema de roteamento do post anterior, um problema no mínimo interessante.

Olhem a situação:

Foi relatado um problema no acesso a Internet em umas das redes que administramos, este acesso é provido por um servidor firewall com squid e outras coisas. Aparentemente tudo estava funcionando perfeitamente(regras de firewall, squid, etc), mas os clientes estavam recebendo a seguinte resposta do proxy "No route to host", um típico problema de roteamento. Então parti para testar a comunicação com o roteador e tudo normal. Fiz um teste a partir do firewall "telnet www.site.com.br 80" e a resposta foi a mesma "No route to host", parei o serviço do squid e retirei a regra de REDIRECT e, adivinhem, os clientes passaram a acessar a Internet.

O que era mais estranho é que o acesso a partir do firewall continuava recebendo o "No route to host"(O squid recebia a mesma resposta por estar localizado no fw), mas se os clientes saem nateados" com o ip do firewall, como eles conseguem acessar a Internet? e conexões iniciados no firewall não?

.:. A hipótese : o problema não está no firewall .:.

Parti para analisar a comunicação com o roteador, basicamente um tcpdump na placa externa do fw:


tcpdump -n -i eth1 not port 22 and icmp

15:34:54.606905 IP iprouter > ipfirewall: icmp 36: host siteexterno1
unreachable
15:34:55.132254 IP iprouter > ipfirewall: icmp 36: host siteexterno2
unreachable
15:34:56.184025 IP iprouter > ipfirewall: icmp 36: host siteexterno3
unreachable
15:34:56.428330 IP iprouter > ipfirewall: icmp 36: host siteexterno4
unreachable
15:34:56.602347 IP iprouter > ipfirewall: icmp 36: host siteexterno5
unreachable
15:34:56.782162 IP iprouter > ipfirewall: icmp 36: host siteexterno6
unreachable
...


O roteador estava respondendo "host unreachable", para todo site acessado, mas curiosamente o firewall não acessava e os clientes que acessavam por ele sim. Colocamos as máquinas internas para sair por um outro link e colocamos um notebook no lugar do firewall com o windows XP e acessou, e com o firewall nada.

Tirei a regra de NAT para os clientes internos no fw para aparecer no trace apenas conexões iniciadas pelo firewall e melhorar a nossa visão.

Coloquei um regra para "DROPAR" o host-unreachable do icmp.


"3/1" = host-unreachable
iptables -A INPUT -i eth1 -p icmp -m icmp --icmp-type 3/1 -j DROP


O teste foi feito com o mesmo telnet.

PKT 1 15:20:38.350441 IP ipfirewall.55970 > ipexterno.http: S
1658018876:1658018876(0) win 5840 0,nop,wscale 2>
PKT 2 15:20:38.353838 IP iprouter > ipfirewall: icmp 36: host ipexterno
unreachable
PKT 3 15:20:41.349671 IP ipfirewall.55970 > ipexterno.http: S
1658018876:1658018876(0) win 5840 0,nop,wscale 2>
PKT 4 15:20:41.432224 IP ipexterno.http > ipfirewall.55970: S
3240653776:3240653776(0) ack 1658018877 win 8192
PKT 5 15:20:41.432343 IP ipfirewall.55970 > ipexterno.http: . ack 1 win 5840


E, adivinhem? funcionou.

.:. A explicação .:.

1. O primeiro pacote com SYN eh enviado.
2. O roteador diz que o host é inalcansável "host ipexterno unreachable"
3. Como existe a regra de bloqueio do "host unreachable" do icmp o firewall não toma conhecimento deste evento e tenta enviar novamente outro início de conexão com o SYN.
4. O ipexterno finalmente responde com SYN/ACK
5. O ipfirewall fecha o handshake com um ACK.

Os clientes estavam acessando porque quem recebia o "host ipexterno unreachable" era o firewall e as máquinas clientes não tomavam conhecimento e continuavam as tentativas de conexão, conseguindo na segunda tentativa. O roteador respondia apenas ao primeiro pacote e as outras conexões passavam estranhamente.

Conclusão, o problema estava no roteador e chamamos o responsável por ele para investigar, pois o roteador não estava sobre o domínio da empresa e não podiamos entrar no roteador e verificar o que estava acontecendo.

Mas realmente foi um problema interessante. :> Quando resolvido se diz interessante, quando não, se diz "PUTZ" :)


Fábio Henrique.
----------------------------------------
Security Engineer / Intrusion Analyst

sexta-feira, janeiro 13, 2006

Manhã muito calma - Sexta-Feira 13

A manhã está "estranhamente" calma, para os superticiosos(sexta-feira 13), pode ser a calmaria antes de uma tempestade, mas espero que eu esteja errado.

Apenas resolvendo alguns problemas em roteadores e um caso de um cliente que instalou um trojan de banco, nada anormal. Spywares como sempre pipocam na minha tela de monitoramento :<. E estou vendo diversos ataques objetivando servidores IIS, mas para vulnerabilidades antigas (servidores unpatched cuidem-se).

.:. Quanto ao trojan .:.
Não colocarei o link aqui por motivos óbvios. Contactei os responsáveis pelo site, mas sem nenhuma resposta. Logo baixo está um report para o cartao.scr que está no site (agradecimentos www.virustotal.com).


Antivirus Version Update Result
AntiVir 6.33.0.77 01.13.2006 no virus found
Avast 4.6.695.0 01.11.2006 no virus found
AVG 718 01.12.2006 no virus found
Avira 6.33.0.77 01.13.2006 no virus found
BitDefender 7.2 01.13.2006 Trojan.Banker.Delf.7796A844
CAT-QuickHeal 8.00 01.11.2006 no virus found
ClamAV devel-20051123 01.12.2006 Trojan.Spy.Banker-126
DrWeb 4.33 01.13.2006 Trojan.PWS.Banker
eTrust-Iris 7.1.194.0 01.13.2006 no virus found
eTrust-Vet 12.4.1.0 01.13.2006 no virus found
Ewido 3.5 01.13.2006 Logger.Banker.anv
Fortinet 2.54.0.0 01.13.2006 no virus found
F-Prot 3.16c 01.11.2006 no virus found
Ikarus 0.2.59.0 01.12.2006 Win32.Parite.B
Kaspersky 4.0.2.24 01.13.2006 Trojan-Spy.Win32.Banker.anv
McAfee 4673 01.12.2006 PWS-Banker.gen.ba
NOD32v2 1.1363 01.12.2006 probably a variant of Win32/Spy.Banker.AHY
Norman 5.70.10 01.13.2006 no virus found
Panda 9.0.0.4 01.12.2006 Suspicious file
Sophos 4.01.0 01.13.2006 no virus found
Symantec 8.0 01.13.2006 no virus found
TheHacker 5.9.2.072 01.12.2006 no virus found
UNA 1.83 01.12.2006 no virus found
VBA32 3.10.5 01.13.2006 no virus found


Fábio Henrique.
-------------------------------------
Security Engineer / Intrusion Analyst

quinta-feira, janeiro 12, 2006

Meu primeiro Post

Bem vindo a meu blog.

Pretendo descrever algumas das minhas experiências em segurança de redes, e mostrar como é difícil a vida de um engenheiro de segurança :). Na medida do possível, e quando tiver um tempo livre, vou colocar aqui o que estou fazendo ou trabalhando além de aprofundar algumas das minhas idéias na área de seg.

Obrigado por visitar.

Fábio Henrique.