[]’s, Otávio Ribeiro Moraes

Este tipo de ataque acontece quando a inclusão de  ficheiros externos à aplicação principal (libraries, por exemplo) é feita sem validação. Normalmente são utilizados os comandos include() e require().

A Local File Injection dá a possibilidade de explorar o sistema de ficheiros ao atacante. É possível aceder a qualquer ficheiro no sistema para o qual o utilizador que corre o Webserver tem permissões (File Disclosure).

Para assistir o vídeo: Clique Aqui

]]> http://otavioribeiro.com/2010/02/16/local-file-inclusion-lfi/feed/ 4 http://otavioribeiro.com/2010/02/02/asp-injection-no-site-do-pt-do-distrito-federal/ http://otavioribeiro.com/2010/02/02/asp-injection-no-site-do-pt-do-distrito-federal/#comments Tue, 02 Feb 2010 17:07:14 +0000 Otávio Ribeiro Moraes http://otavioribeiro.com/?p=138 Autor:  Otávio Ribeiro Moraes

Algumas técnicas ASP Injection são empregadas atualmente, e algumas atingem provedores de grande porte.  Na inserção de ‘ (aspa) pode nos retornar inúmeros erros dentro do banco de dados,  um dos erros mais encontrados em sistemas são 80040e14 e 80040e07, que são responsáveis pela manutenção de usuários.

O SQL Injection ocorre quando informações enviadas por um browser para uma  aplicação web são inseridas em uma consulta ao banco de dados sem serem apropiadamente verificadas. Um exemplo disto é um formulário HTML que recebe dados fornecidos por um usuário e passa-os para um script em ASP rodando num servidor web IIS. Os dois dados passados são o login e a senha, eles são checados por uma consulta ao banco de dados do SQL Server, dentro do banco de dados.

Para assistir o vídeo: Clique Aqui

]]> http://otavioribeiro.com/2010/02/02/asp-injection-no-site-do-pt-do-distrito-federal/feed/ 1 http://otavioribeiro.com/2010/01/29/mysql-injection-avancado-no-site-portalamazonia-globo-com/ http://otavioribeiro.com/2010/01/29/mysql-injection-avancado-no-site-portalamazonia-globo-com/#comments Fri, 29 Jan 2010 14:41:09 +0000 Otávio Ribeiro Moraes http://otavioribeiro.com/?p=129 Autor:  Otávio Ribeiro Moraes

O MySQL é um sistema de gerenciamento de banco de dados (SGBD), que utiliza a linguagem SQL (Linguagem de Consulta Estruturada, do inglês Structured Query Language) como interface. É atualmente um dos bancos de dados mais populares, com mais de 10 milhões de instalações pelo mundo.

SQL Injection ou injeção de SQL é uma técnica de invasão de sistemas, em aplicações que não tratam de maneira adequada a entrada de dados do usuário permitindo que comandos SQL maliciosos possam ser enviados ao banco de dados.

Para assistir o vídeo: Clique Aqui

]]> http://otavioribeiro.com/2010/01/29/mysql-injection-avancado-no-site-portalamazonia-globo-com/feed/ 1 http://otavioribeiro.com/2010/01/20/video-aula-mssql-injection-avancado-no-site-globosat-globo-com/ http://otavioribeiro.com/2010/01/20/video-aula-mssql-injection-avancado-no-site-globosat-globo-com/#comments Wed, 20 Jan 2010 23:00:46 +0000 Otávio Ribeiro Moraes http://otavioribeiro.com/?p=120 Autor:  Otávio Ribeiro Moraes

Observação: A vulnerabilidade já foi reportada, ao setor de suporte responsável da Globo.com atráves de um e-mail.

O MS SQL Server é um SGBD – sistema gerenciador de Banco de dados criado pela Microsoft. O SQL é um Banco de dados robusto e usado por sistemas corporativos dos mais diversos portes.

SQL Injection ou injeção de SQL é uma técnica de invasão de sistemas, em aplicações que não tratam de maneira adequada a entrada de dados do usuário permitindo que comandos SQL maliciosos possam ser enviados ao banco de dados.

Para assistir o vídeo: Clique Aqui

Observação: No vídeo utilizei apenas 1 bot como demostração, para poupar trabalho de logar todos os meus bots. Mais com apenas 1 máquina (FreeBSD) obtive sucesso a um ataque ao servidor da UFG – Universidade Federal de Góias.

Introdução

O DDoS, sigla para Distributed Denial of Service, é um ataque DDoS ampliado, ou seja, que utiliza até milhares de computadores para atacar uma determinada máquina. Esse é um dos tipos mais eficazes de ataques e já prejudicou sites conhecidos, tais como os da CNN, Amazon, Yahoo, Microsoft e eBay.

Ataques de Negação de Serviço (DDoS), consistem em tentativas de impedir usuários  de utilizarem um determinado serviço. Para isso, são usadas técnicas que podem: sobrecarregar um servidor, fazer tantas requisições a um site até que este não consiga mais ser acessado; negar acesso a um sistema ou a determinados usuários.

É importante frisar que quando um computador/site sofre ataque DDoS, ele não é invadido, mas sim sobrecarregado. Isso independe do sistema operacional utilizado.

Para assitir o vídeo: Clique Aqui

]]> http://otavioribeiro.com/2010/01/12/video-aula-distributed-denial-of-service-ddos/feed/ 6 http://otavioribeiro.com/2010/01/01/teste-de-penetracao/ http://otavioribeiro.com/2010/01/01/teste-de-penetracao/#comments Fri, 01 Jan 2010 06:02:24 +0000 Otávio Ribeiro Moraes http://otavioribeiro.com/?p=66 Autor: Rafael Ferreira Barreto / Otávio Ribeiro Moraes

As invasões “reais” são realizadas por pessoas com alto nível de conhecimento técnico, com focos específicos em determinadas instalações ou empresas. Existe vários motivos pessoal,  por questões financeiras, na intenção de cometer fraudes ou até mesmo contratados por empresas concorrentes para espionagem ou sabotagem.

Existe também uma categoria de profissionais que são contratados pelas empresas para testar seus próprios sistemas de segurança, essa atividade se chama de PenTest (Penetration Test ou Teste de Penetração).

Esse tipo de invasão é uma atividade coordenada e cuidadosamente planejada, que passa por diversas etapas, conforme vamos ver a seguir.

1. Coleta de informações

Antes de iniciar qualquer tentativa de invasão, devemos coletar o máximo de informações a respeito da empresa atacada. Uma pesquisa no Google pode ser um bom começo para saber o que existe de informação disponível na internet, a respeito de:

- Atividades da empresa;

- Composição acionária;

- Nomes de sócios, diretores, gerentes de TI, administradores da rede;

- Filiais e empresas coligadas;

- Endereços de homepages e e-mails;

2. Colecta de informação específica

Nesta fase trata-se de obter informação específica e detalhada sobre a topologia da rede, assim como a configuração e características de cada equipe, de tipo de servidores, sistemas operativos (versão, service pack, correções), direcções de IP, mapa da rede, etc.
Para as provas com pleno conhecimento se pode solicitar e obter informação como a seguinte:

A) Lista completa de direcções de IP atribuídas, sejam utilizadas ou não.

B) Inventário de todos as equipas conectados em rede, especificando os seguintes dados: nome do host, função que cumpre, direção IP, descrição do hardware, sistema operativo e service pack (ou correções).

C) Planos e diagramas da rede, apoiados eventualmente de informação obtidas da actividade de gerenciamento, se existir.

3. Testando o sistema de detecção de intrusão ( IDS )

Sistema de Detecção de Intrusão ( IDS – Intrusion Detection Systems ) permite a notificação quando da ocorrência de tentativas de intrusão segundo a verificação de certos padrões de ataque que podem ser configurados dependendo da ferramenta que se está utilizando.

Infelizmente, devido a grande variedade de vulnerabilidades, detectar uma intrusão em sua rede não é algo simples. É praticamente impossível que uma pessoa detecte  uma invasão de rede em tempo real ( on-the-flay ) e tome alguma ação de imediato.

Os maiores problema com as atuais ferramentas de IDS são:

• A alta taxa de false-positive isso ocorre quando a ferramenta classifica uma ação como uma possível intrusão, quando na verdade trata-se de uma ação legítima.
• A false-negative ocorre quando uma intrusão real acontece mas a ferramenta permite que ela passe como se fosse uma ação legítima.
• Erro de subversion ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de false-negative.

Um bom exemplo de false-positive é o ataque de SYN FLOOD. O simples fato de acessar um determinado tipo de página pode gerar uma detecção da ocorrência de um ataque SYN FLOOD. Você certamente não quer que suas páginas fiquem fora do ar a todo momento que um usuário acessar seu site. É muito difícil definir regras que diferenciem entre atividades hostis e autorizadas. O teste de invasão pode ser utilizado com a finalidade de demostrar efetivamente se sua ferramenta de IDS está operando conforme o esperado e ajuda-lo no refinamento das regras de forma a reduzir a taxa de false-positive.

4. Mapeamento da rede

O objetivo dessa fase é tentar descobrir a topologia da rede: quantos computadores existem e como estão interligados. Para isso, podemos iniciar com uma pesquisa nos servidores de DNS da empresa.

Um servidor DNS é responsável pela mapeamento dos nomes de domínio (ex: servidor.empresa.com) para endereços IP (ex: 200.100.200.50). Ele é naturalmente acessível pela internet para determinados tipos de consultas, entretanto, existe um recurso, chamado de Transferência de Zona, que serve para sincronização de registros entre servidores primários e secundários. Alguns administradores de rede permitem que esse tipo de consulta seja feita de qualquer lugar da internet, por descuido ou desconhecimento, e simplesmente fornece o “mapa da mina” para um atacante, porque esse tipo de consulta permite que se obtenha todo os nomes e endereços de todos os servidores da rede. Se esse servidor DNS também for responsável pela resolução de nomes da rede interna, pode ser que o atacante obtenha não só os endereços dos computadores acessíveis pela internet, mas simplesmente de TODOS os computadores da rede interna da empresa.

Uma outra possibilidade para descobrir os computadores que existem no domínio da  empresa, é através de consultas de DNS “reverso”, quando informamos o endereço IP e o   servidor retorna o nome da máquina que responde por aquele endereço. Sabendo o endereço de um servidor, é possível inferir a faixa de endereços possivelmente destinados à empresa e  limitar a pesquisa reversa nessa faixa.

Existe inclusive uma técnica sofisticada de mapeamento, chamada de firewalking, que permite “enxergar” quais são as máquinas que estão por trás do firewall. Seria mais ou menos como se pudéssemos ver através das paredes.

5. Enumeração de serviços

Já foram descobertas as máquinas existentes na rede, procuramos descobrir quais os serviços que estão sendo executados em cada uma delas. Um serviço não é nada mais do que um programa que fica aguardando conexões numa determinada “porta”. Para isto utilizamos a técnica chamada FingerPrint.

6. Busca por vulnerabilidades

Uma vulnerabilidade de um software é decorrente de um projeto deficiente ou erro de programação. Quando uma vulnerabilidade é descoberta por incontáveis pesquisadores (os verdadeiros Hackers) ao redor do mundo, o fabricante do software é notificado e a vulnerabilidade é divulgada em sites especializados para que todos tomem conhecimento da sua existência e tomem as providências necessárias para eliminar esse risco. Isso geralmente é atingido com a aplicação de uma Correção ou Patch (traduzindo literalmente: remendo), disponibilizado pelo fabricante do software.

Se o administrador da rede não aplicou as devidas correções num determinado software, pode ser que ele possa ser explorado para a invasão. Para isso, basta um pesquisa na internet para descobrir se aquela versão de software que está sendo usada, possui alguma vulnerabilidade e como ela é explorável.

Algumas ferramentas já automatizam todo o processo de identificação dos softwares, suas versões, assim como a vulnerabilidades existentes para aquelas versões específicas, simplificando o trabalho do atacante.

7. Exploração das vulnerabilidades

Essa é a etapa onde efetivamente ocorre a invasão. Dependendo do tipo de vulnerabilidade encontrada, a invasão será mais ou menos efetiva. Algumas vulnerabilidades permitem apenas a interrupção do serviço, ao qual damos o nome de ataque DOS (Denial of Service ou Negação de Serviço).

As vulnerabilidades mais perigosas são as que permitem a execução de programas e comandos no computador remoto. O Buffer Overflow (estouro de memória) é um exemplo de vulnerabilidade que pode permitir que o atacante obtenha acesso à uma tela de terminal remoto, podendo executar os comandos que desejar, como se estivesse sentado diante do computador atacado e geralmente com privilégios de administrador.

Outro exemplo de ataque perigoso é o do tipo SQL Injection, feito em aplicações web mal feitas, permite desde a consulta direta à um banco de dados (onde o atacante pode obter informações sigilosas como números de cartões de crédito) à execução comando do sistema operacional.

8. Implantação de Backdoors e Rootkits

Uma vez que o invasor tenha obtido sucesso na sua investida, é comum que ele implante programas que facilitem o seu retorno. São os chamados Backdoors, ou literalmente “porta dos fundos”. Além disso ele pode implantar os chamados Rootkits, que são programas que se agregam ao núcleo do sistema operacional, dificultando a sua localização.

9. Eliminação de Vestígios

Toda invasão deixa rastros no computador atacado, seja nos logs (históricos) do sistema seja em forma de arquivos temporários. Para dificultar a identificação da sua presença, o bom atacante procura eliminar esses vestígios, requerendo uma intervenção muito mais minuciosa na investigação do incidente e muitas vezes impossibilitando rastrear sua origem.

Formas de prevenção

Existe Varias formas de proteção que é da nossa responsabilidade de tomar medidas preventivas necessária

Uso de firewall, IDS e IPS: o firewall é um elemento indispensável na sua rede, para controlar e impedir os acessos indesejáveis. Hoje é simplesmente inaceitável que se tenha uma rede conectada na internet sem um firewall. O uso de IDS (Intrusion Detection System ou Sistema de Detecção de Intrusão) e um IPS (Intrusion Prevention System ou Sistema de Prevenção de Intrusão), são elementos desejáveis para uma defesa efetiva.

• Serviços desnecessários: todos os serviços que não estiverem sendo efetivamente usados, devem ser desabilitados. Além de serem itens adicionais para atualizações de segurança, são pontos adicionais em potencial para serem explorados.
• Atualização e Configuração: é indispensável que todos os serviços disponíveis para internet estejam com as últimas atualizações de segurança aplicadas e, principalmente, corretamente configurados. Falhas de configurações são grandes causas de incidentes de segurança.
• Monitoração constante: a monitoração das atividades da rede devem fazer parte da rotina diária de um administrador de redes. Só assim você poderá perceber anomalias no seu funcionamento. Deve ser incluída nessa rotina, a monitoração dos logs, também para detectar registros de ocorrências anormais. O uso de ferramentas que detectem modificações nos arquivos do sistema também é uma medida desejável. Uma ferramenta gratuita que pode ser utilizada para esse fim, é o tripwire.

A melhor forma de defesa, entretanto, é o conhecimento. Fique sempre atualizado quanto as novas formas de ataque e vulnerabilidades descobertas para poder agir de forma proativa, antecipando-se aos movimentos dos invasores.

10. Contrato

Algumas instituições contratam crackers para realizarem os testes de invasão, este tipo de ação pode ser perigoso, pois as pessoas são diferentes e possuem princípios éticos e morais diferentes, então este é um risco que deve ser pesado antes de corre-lo. Segundo estudos do especialista em  segurança Fred Cohen, um dos especialista mais respeitado em todo o mundo, “Existe um sério risco de que as informações sejam divulgadas pela pessoas responsável pelos testes ou utilizada para ganhos financeiros” isso quando esta pessoa não respeitas os princípios éticos e morais vigente em cada sociedade. Deve-se formalizar um contrato onde as clausulas estabelecem que as informações referentes aos testes de invasão não podem ser divulgadas. O que um contrato de invasão deve conter?

• Após os teste deve-se fazer um relatório detalhado das vulnerabilidades encontradas e dar suporte na correção de tais pontos.
• Enquanto você não tiver testado sua ferramenta de IDS ou montado seu plano de resposta a incidentes, a pessoa responsável pelo teste não deve receber nenhum tipo de informação sobre o seu sistema, parceiros comerciais. Isso pode protege-lo quanto a validade do teste de forma que intrusos verdadeiros não tenha acesso a estas informações.
• Os testes devem ser conduzidos utilizando-se ferramentas previamente definidas.
• Enquanto os pontos acima não forem atendidos, o responsável pelo teste não deve ter acesso a sua rede.
• Informações publicas como : estrutura da empresa, lista de telefones internos, entre outras podem ser passadas para pessoa que vai realizar o teste, justamente para ganhar tempo.
• A pessoa que vai realizar o teste não deve violar a privacidade e os direitos individuais. Lembre-se que trata-se de um teste para avaliar o sistema e não as informações privadas.
• Todos os dados coletados, incluindo los, arquivos, senhas e qualquer outro tipo de informação obtida deve devem ser devolvidas a instituição sem que copias sejam retidas pela organização que realizou os testes.
• Todos os teste devem ser realizado de forma instrutiva.
• Qualquer tipo de teste que possa causar uma dano ao sistema deve ser realizado em períodos de baixa ou sem atividades.
• Um relatório detalhado deve ser entregue contendo todos os passos executados mostrando onde ganhou acesso e onde não. O relatório deve conter recomendações detalhadas para a coreção de qualquer vulnerabilidade encontrada.

Botnet é uma coleção de softwares robôs, ou bots (diminutivo de robots – robôs em inglês), que são executados automaticamente e de forma autónoma. O termo é freqüentemente associado com software malicioso, mas ele também pode referir-se à rede de computadores usando computação distribuída software.

Um bot (abreviação de robot), é um sistemas infectado, chamado também de zoombie. Um bot, ou robot, é um sistema escravizado, pois recebe comandos de um bot herder (que tem como principal objetivo controlar remotamente o grupo). Existem diversos comandos, que variam de bot para bot, geralmente uma lista de comandos acompanha o código do bot. Entre as funções mais importantes estão as de flood (UDP, TCP, SYN), iniciar servidor (httpd, ftpd, tftpd, socks4), download\execute (baixa e executa um programa), comandos de spread (serve para replicação dos bots).

Essa rede de bots quase sempre é controlada em um ambiente conhecido como IRC (Internet Relay Chat). Os bots se reúnem em uma sala onde o hacker que os controla faz login e começa a dar os comandos para os bots executarem.

Existem dois tipos de bots, os Shellbots e os Winbots. Os Shellbots rodam numa shell, como por exemplo os bots escritos em Perl. Costumam ser rodados em sistemas Linux/Unix, pois já têm interpretador Perl nativo, ao contrário do Windows.

Os Winbots são uma espécie de trojans, costumam ser distribuídos no formato de código fonte (quase sempre C++). O arquivo fonte config.h (ou configs.h) e o defines.h deve ser editado. Depois que as modificações desejadas foram feitas basta compilar. O executável (.exe) gerado trata de infectar vítimas e criar seus zoombies, que deverão se conectar no IRC (no servidor, na sala o qual você configurou) para receber seus comandos.

Que beneficio uma botnet pode propocionar?

- Dinheiro

Roubo de informação: Alguns bots tem funções de keylogger que podem te repassar insformações privadas da vítima, como senhas. Além disso tem opção de download/execute que possibilita instalar nos bots um keylogger banker (software especializado em roubar informação bancária).

Adsense: Quando executamos o comando download\execute para instalar softwares que fazem cliques, vistam páginas que dá retorno financeiro, como em serviços de PTC (Pay To Click).

Um exemplo de uma botnet alugada pela BBC (British Broadcasting Corporation) uma emissora pública de rádio e televisão do Reino Unido que o principal objetivo foi demostrar a maneira que os spams chegam às caixas postais dos usuários, demonstrar a facilidade de efetuar ataques de phishing e negação de serviço na internet.

Leia mais em: BBC aluga Botnet

FigerPrint e uma técnica utilizada por especialistas em segurança para se obter o máximo de informações sobre um determinado sistema. Esta técnica e realizada atráves um portscan “Nmap” que pode ser usado,  sempre que você precisar verificar rapidamente as portas abertas em determinado host, seja na sua rede local, seja na Internet. Ele permite detectar rapidamente portas abertas e outras informações sobre hosts da rede ou da internet.

Antes de começarmos faça download do Nmap no site oficial:  Nmap 5.0

Após a instalação do Nmap que e muito simples, vamos até o diretorio o qual o nmap esta instalado:

Estando no mesmo diretorio que o Nmap esta instalado, vamos dar inicio a detectação de informações.

- O servidor que escolhi para demostração; otavioribeiro.com “whl0007.whservidor.com (200.98.197.8)”

Para usar todos os recursos do Nmap, você deve executá-lo como Administrador. O uso mais simples é escanear diretamente uma máquina utilizando o comando:

Neste exemplo, o teste foi disparado contra uma máquina Linux, obtemos o resultado de quais portas do servidor encontram-se abertas. Porém o simples fato de uma determinada porta estar aberta, não significa que a máquina está vulnerável, mas apenas que existem serviços ativos e as portas não estão sendo bloqueadas por nenhum firewall.

Você pode obter mais informações sobre as portas abertas, incluindo a versão de cada serviço ativo usando a opção “-sV“, como em:

Aqui fomos informados sobre as versões dos sistemas que estão rodando no servidor, atráves destas informações podemos pesquisar exploits especificos para determinadas versões.

Outro parâmetro interessante é a opção “-O”, que faz com que o Nmap tente identificar qual é o sistema operacional usado em cada máquina. Esta identificação permite diferenciar máquinas rodando diferentes versões do Windows de máquinas rodando Linux ou MacOS, por exemplo, mas não é muito eficiente em identificar diferentes distribuições Linux, nem em identificar a versão do Windows usada. Veja um exemplo:

Neste caso temos uma instalação de um sistema operacional Linux sem o firewall ativo. Note que a identificação do sistema não é exata, o Nmap indicou corretamente que é uma máquina Linux, mas não soube identificar precisamente a versão.

Continuando, os scans do Nmap podem ser facilmente detectados caso alguma das máquinas-alvo esteja com o Snort, ou outro detector de intrusões ativo, o que vai lhe render no mínimo uma situação constrangedora. Para dificultar isso, o Nmap oferece a opção de fazer um half-open scan, especificando a opção “-sS“, como em:

Operando neste modo, o Nmap apenas envia um pacote SYN para cada porta alvo e espera para ver se recebe um pacote ACK de confirmação sem, entretanto, responder com o segundo pacote ACK, que abriria a conexão. Isso permite burlar muitos programas de detecção de intrusão, que monitoram e logam apenas conexões efetivamente estabelecidas.

Apesar de menos comum, é possível fazer também uma varredura de portas UDP abertas. Embora poucos serviços possam ser diretamente conectados através de portas UDP, muitos as utilizam para transferir dados e, em geral, os firewalls são configurados para bloquear apenas as portas TCP. Escanear as portas UDP é uma forma alternativa de detectar serviços abertos em uma máquina, mesmo que todas as portas TCP estejam fechadas no firewall. Existem também casos de backdoors acessíveis via UDP, como o Back Orifice (no Windows) e até mesmo (raras) brechas de segurança em serviços do Linux ou outros sistemas Unix.

Os scans de UDP são rápidos se direcionados a máquinas Windows, mas são absurdamente lentos se feitos contra máquinas Linux ou BSD, onde o sistema limita o número de erros de ICMP (dos quais o scan do Nmap depende) a uma taxa de aproximadamente 20 por segundo. No Windows não existe limite.

Para usar o scan UDP, usamos a opção “-sU”, como em:

Não foi detectado nenhum serviço utilizando a porta UDP.

Você pode escanear esta porta específica usando a opção “-sV” para descobrir mais sobre ela, como em: (Exemplo a porta 22 que todos sabemos que e utilizada para conexões via SSH).

Agora você sabe que a máquina tem ativo um servidor OpenSSH (versão 4.3), escondido na porta 22. Então atráves destes dados devemos utilizar como forma de segurança, esconder este tipo de serviço em portas altas, para que possa dificultar a detectação do portscan Nmap.

Tudo é muito simples quando a máquina alvo não possui nenhum firewall ativo. O scan é rápido e você pode lançar toda sorte de ataques sobre os serviços ativos. Mas, com um firewall ativo, as coisas tornam-se um pouco mais complicadas e demoradas. Um firewall configurado para descartar (DROP) todos os pacotes recebidos, faz com que o scan torne-se extremamente lento.