Arquivo | unix RSS for this section

Tutorial sobre o wireshark

O Wireshark é um sniffer multi-uso que pode ser usado tanto para ver o trafego em portas USB como principalmente para o trafego de redes. É um software baseado na lib-pcap (ou winpcap para Windows) e pode ser encontrado aqui .

Usando o wireshark
É provavelmente o sniffer de redes mais usado do mundo, isso provavelmente se deve aos seguintes fatos:

  • É um sniffer multiplataforma pode ser executado em ambiente Windows ou Unix LIke;
  • Não necessidade de nenhuma configuração complexa para seu funcionamento;
  • Tem uma interface gráfica amigável;

Para iniciar um captura você deve escolher qual interface de rede será usada para a captura do trafego daa rede (em LInux o wireshark deve ser executado por um usurio com poderes de root, pois ele ira alterar o modo da interface de rede escolhida para promiscuo – nesse estado o sistema não apenas captura os pacotes direcionados para sua placa de rede, como tambem todos os outros pacotes que estiverem trafegenado pela rede no momento).

Para iniciar uma nova captura vá em Capture->Interface, escolha uma interface de rede e clique em start.

Para parar a captura vá em Capture->stop.

Filtros

Além das característica s que cita anteriormente outro atrativo do wireshark é a facilidade de criar filtros para os pacotes capturado. Essa aplicação é util para criação de estatistas ou analise do trafego de rede.

Exemplo de alguns filtros comuns são:

ip.src == ip1 and  ip.dst == ip2

Só exibe os pacotes que tiveram a ooriigem em ip1 e destino em ip2

tcp.port == porta1

Lista todos os pacotes tiveram origem ou destino na porta1.

http

Lista todos os pacotes http .

Você também pode  usar a função Expression para criar filtros mais específicos.

Analise

Se vocẽ quiser analisar o fluxo de informação  de maneira mais detalhada pode usar as opções Analyze -> Follow TCP Stream ou Follow UDP Stream.

Estatisticas

No wireshark é possível criar basicamente 2  tipo de fluxo que mostra a direção do fluxo de rede e gráfico de trafego.

Para criar um gráfico de fluxo clique Statistics-> Flow grafics.

Apagar senha de Root no Mysql

Se vocẽ instalou o mysql e ficou um certo tempo se usa-lo e acabou esquecendo a senha de root que escolheu durante a instalação, não se desespere, basta seguir os os passos abaixo.

1. Pare o servidor Mysql (caso já esteja rodando):

#/etc/init.d/mysql stop

2. Inicie o servidor Mysql em modo de segurança e use –skip-grant-tables para pular as tabelas de usuario no momento do loggin.

#mysql_safe –skip-grant-tables

3. Execute o cliente Mysql  sem usuário:

$mysql

4. Ao entrar no shell do Mysql, selecione o banco de dados mysql:

mysql> use mysql;

5. Muda o campo senha do usuário root da tabela user:

mysql> update user set password = password(‘novaSenha’) where user=’root’ and host=’localhost’;

6. De um flush para gravar os dados alterados:

mysql> flush privileges;

Pode sair do cliente, reinicie o Servidor e pronto a senha de root esta alterada.

 

 

Usando o Kismet

O Kismet é um poderoso sniffer para rede wi-fi. É uma ferramenta útil tanto por crackers para colher pacotes de uma rede como por um administrador para verificar vulnerabilidade existente. O kismet poder ser baixado AQUI , ou baixando do repositório de sua distro.

Se estiver usando Debian e derivados:

#aptitude install kismet

Se estiver usando Red Hat e derivados:

#yum install kismet

Apos   a instalação deve-se configurar o arquivo kismet.conf da seguinte maneira:

# vim /etc/kismet/kismet.conf

Nesse exemplo eu optei por usar o vim, mas você pode escolher o editor de sua preferencia.

Altere a linha

source=rt8180,wlan0,addme

onde:

rt8180 é o driver da minha placa wireless;

wlan0 é o nome da interface de rede wireless;

addme é o nome que você quer a dar o conexão.

Apos realizar as configurações necessárias, o kismet pode ser executado (lembrete, deve-se executar o kismet sem esta conectado a nenhuma rede wireless):

Os pacotes são armazenados em /var/log/kismet/ para uma analise posterior.

Apagar senha de root no Linux

Nesse post descrevo um metodo para resetar a senha de root de um sistema Línux.
Esse método é util no caso de vc não se lembrar da senha de root, mas pode ser usado para acesso não autorizado em sistemas aleios. Lembrando que vc só deve usar esse metodo em ultimo caso, pois ele apaga a antiga senha de root do sistema.
A primeira coisa que vc precisa é um live CD da distro que vc preferir. No meu caso use o Dan Small Línux, uma distro baseada em Debian que tem como principal caracteristicas ter uma imagem de 50 MB e segundo seus desenvolvedores pode rodar em apenas 16 MB de RAM!!!!
De boot pelo live CD, ao carregar o sistema abra um shell e monte a partição do sistema que deseja apagar a senha de root.

#mount – loop /dev/dispositivo_onde_o_sistema_esta_instalado /mnt/

Depois mude as permissões do arquivo /etc/shadow (é nesse arquivo que ficam armazenadas as senha criptografadas do sistema, por defaut as permissões desse arquivos são 000).

#chmod 600 /etc/shadow

Na linha acima vc concedeu ao root permissão de escrita e leitura no arquivo /etc/shadow.

Abra o /etc/shadow com o editor de texto de sua preferência, no meu caso como sou fiel a ideologia Unix, eu vou usar o Vim. Mas vc pode usar o emacs, o gedit, o kate, o BrOffice e etc…

Ao abrir o arquivo vc vai encontrar as linha no seguinte formato:

root:$6$Z7TcyknxOXdrdmP0$T/qg3fZtjiD1YlFTsmvfDyYjK5OvI1cJgZAVusdJZYbozWQHzmJcKQG3rplhF389nmB7AjV02dKcrcrwuD04E0:14649:0:99999:7:::

Em um outro post eu explico detalhadamente como é gerada a senha é o significado de cada campo entre os dois ponto, no momento o importante é só você saber que o valor contido entre os primeiros dois pontos é a senha criptografada. Apage essses valores, salve as alterações feche o arquivo e reinicie o sistema. Não se esqueça de alterar as permissões do /etc/shadow para 000.

#chmod 000 /etc/shadow

Quando sistema for reiniciado, se loge como root, quando pedir a senha de um ENTER. Pronto agora voce acabou de recuperar o root, não se esqueça de auterar a senha com um passwd.

Recuperação de arquivos com dd e foremost

Em outro post eu comentei sobre o CAINE, agora vou demostrar o uso de algumas ferramentas.

Para recuperação de arquivo perdidos, de qualquer tipo de partição (ext2. ext3, FAT, NTFS e etc), usei o comando dd ( nativo na maioria das distros Linux, e provavelmente nos demais sistemas derivados de Unix), e o foremost (ferramenta de analise forense disponivel para sistemas Unix).

Nesse post eu presumo que vc ja tenha instalado o foremost em seu sistema, mas por via das duvidas qualquer dia eu posso escrever um post detalhado sobre isso.

O primeiro passo para recuperar os dados de uma partição ou disco é criar uma imagem com o comando dd. Essa imagem é uma cópia exata do disco ou partição que será analizado.

O formato geral do comando dd é:

#dd if=arquivo_de_entrada of=arquivo_de_saida

Como nos sistemas derivados de Unix todas as entradas e saídas são tratadas como arquivos, logo é possivel copiar o conteúdo de um disco em outro, o conteúdo de uma imagem em um disco ou o inverso. Para criar a imagem coloque o endereço de onde ela será criada e use uma  extensão aff ou raw (pois são padrão para a maioria dos programas de analise forense).

Exemplo de uso de comando dd:

#dd if=/dev/sda1 of=/home/user/tmagem.raw

Lembrando que a criação da imagem pode demorar de acordo com o tamanho do disco analisado e que ao final a imagem fica com tamanho igual ao do disco analisado.

Após criar a imagem você pode usar o foremost para recuperar os dados contidos nela.

O formado geral é:

#foremost -i arquivo_de_entrada -o diretorio_de_saída

Em que o arquivo de entrada é a imagem do disco e a saída é o diretório que deseja que sejam salvos os dados.

Após o termino do processo abra o diretorio onde estão contido os dados e verifique os arquivos recuperados. A unica desvantagem do processo de recuperção é que os arquivos não retornam com os nome antigos.

Teste de comparação de ferramentas de segurança

Esse artigo foi escrito por mim e pelo Lucas Trombeta para a de disciplina segurança de dados, cursada no terceiro trimestre de 2009 na UFABC.

Nesse trabalho estamos avaliando as ferramantas de auditoria de segurança mais populares.

Ferramentas utilizadas:

Nessus

É um scanner de vulnerabilidade desenvolvido e comercializado pela Tenable Networks, que tem como principal caracterisca um arquitetura cliente-servidor. A partir da versão 3 o Nessus conta com versões do servidor para windows e sistema baseados em Unix. O cliente também pode ser executado tanto em windows, quanto em ambiente Unix.

Nesse trabalho foi usada a versão para uso não comercial disponível no site da Tenable.

OpenVAS

O OpenVAS (Open Vulnerability Assessment System) é um scanner de segurança de redes com um cliente em interface gráfica. O núcleo é composto por um servidor que realiza um teste de vulnerabilidade na rede (NVTs) para detecção de problema de segurança em aplicações e sistemas remotos.

O servidor openVAS esta disponível apenas para sistema operacionais baseados em Unix (Línux, BSDs, Solaris), mas uma fez instalado em um servidor unix, pode realizar um scanner um scan em qualquer máquina. O cliente esta disponível para línux e windows.

Em sua versão 2.0.3 apresenta aproximadamente 15.300 scripts, para avaliação de vulnerabilidades.

Retina

É um software desenvolvido e comercializado pela eEye Digital Security. Tem como principais características:


  • Facilidade de uso;
  • Só é executavel em plataforma windows;
  • Auxilia na gestao de politicas de segurança.

Para uso nesse trabalho foi testada a versão trial do Retina.

Secure WIN Auditor™(SWA)

É um software desenvolvido e comercializado Secure Bytes. Basicamente é muito parecido com o Retina, foi desenvolvido para plataformas windows e Solaris.

Descrição do cenário de teste:

Para execução dos testes, foi criada uma rede de máquina virtuais com as seguintes características:

Nome da máquina :FreeBSD
Sistema operacional : FreBSD 7.2-RELEASE
Endereço ip: 192.168.1.9

Nome nome da máquina: Windows1
Sistema Operacional: Windows XP sp1
ip: 192.168.1.1.7

Nome: Win server 2003
Sistema Operacional: windows server 2003 Standart Edition sp2
Endereço ip: 192.168.1.4

Nome: Centos server
Sistema Operacional: Centos 3.8 Kernel: 2.4.21-50.EL
Endereço ip:192.168.1.10

Para criação do cenário foi usado o virtual Box 3.04

Descrição do experimento

Por se tratar de uma comparação entre ferramentas de plataformas diferentes, resolvemos desenvolver um experimento comparando o Nessus com OpenVAS e outro Comparando o Retina ao Secure Auditor. Abaixo são apresentados os teste e os resultados colhidos.


Comparação Nessus vs Openvas

Por se tratarem de duas ferramentas multiplataformas foram realizados teste contra toda as máquinas do cenário.

Resultados encontrados:

Máquina: Win server 2003

Number of vulnerabilities :

Nessus Openvas
Open ports 5 5
Low 17 2
Medium 0 1
High 2 1

Máquina: Windows1

Nessus OpenVAS
Open ports 8 6
Low 23 4
Medium 2 2
High 12 1

Máquina: Freebsd

Nessus Openvas
Open ports 10 10
Low 22 2
Medium 1 1
High 0 0

Máquina: Centos Server

Nessus Openvas
Open ports: 10 10
Low : 33 3
Medium : 5 5
High 0 0

Detecção de Sistema operacional:

Nessus OpenVAS
Win server 2003 Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows 2003 Server Enterprise Edition (accuracy 100%)
Microsoft Windows 2003 Server Standard Edition (accuracy 100%)
Microsoft Windows XP SP2 (accuracy 100%)
Windows1 Microsoft Windows XP,
Microsoft Windows XP Service Pack 1
Microsoft Windows 2003 Server Enterprise Edition (accuracy 95%)
Microsoft Windows 2003 Server Standard Edition (accuracy 95%)
Microsoft Windows XP SP2 (accuracy 95%)
Microsoft Windows XP SP1 (accuracy 95%)
Microsoft Windows XP (accuracy 95%)
Microsoft Windows 2000 Server Service Pack 4 (accuracy 95%)
Microsoft Windows 2000 Server Service Pack 3 (accuracy 95%)
Microsoft Windows 2000 Server Service Pack 2 (accuracy 95%)
Microsoft Windows 2000 Server Service Pack 1 (accuracy 95%)
Microsoft Windows 2000 Server (accuracy 95%)
Microsoft Windows 2000 Workstation SP4 (accuracy 95%)
Microsoft Windows 2000 Workstation SP3 (accuracy 95%)
Microsoft Windows 2000 Workstation SP2 (accuracy 95%)
Microsoft Windows 2000 Workstation SP1 (accuracy 95%)
Microsoft Windows 2000 Workstation (accuracy 95%)
Freebsd FreeBSD 7.0 FreeBSD 5.4 (accuracy 90%)
FreeBSD 5.3 (accuracy 90%)
FreeBSD 5.2.1 (accuracy 90%)
FreeBSD 5.2 (accuracy 90%)
FreeBSD 5.1 (accuracy 90%)
FreeBSD 5.0 (accuracy 90%)
FreeBSD 4.11 (accuracy 90%)
FreeBSD 4.10 (accuracy 90%)
FreeBSD 4.9 (accuracy 90%)
FreeBSD 4.8 (accuracy 90%)
FreeBSD 4.7 (accuracy 90%)
FreeBSD 4.6.2 (accuracy 90%)
FreeBSD 4.6 (accuracy 90%)
FreeBSD 4.5 (accuracy 90%)
FreeBSD 4.4 (accuracy 90%)
Centos server Linux Kernel 2.4 on CentOS 3 Linux Kernel 2.6.11 (accuracy 100%)
Linux Kernel 2.6.10 (accuracy 100%)
Linux Kernel 2.6.9 (accuracy 100%)
Linux Kernel 2.6.8 (accuracy 100%)
Linux Kernel 2.6.7 (accuracy 100%)
Linux Kernel 2.6.6 (accuracy 100%)
Linux Kernel 2.6.5 (accuracy 100%)
Linux Kernel 2.6.4 (accuracy 100%)
Linux Kernel 2.6.3 (accuracy 100%)
Linux Kernel 2.6.2 (accuracy 100%)
Linux Kernel 2.6.1 (accuracy 100%)
Linux Kernel 2.6.0 (accuracy 100%)
Linux Kernel 2.4.30 (accuracy 100%)
Linux Kernel 2.4.29 (accuracy 100%)
Linux Kernel 2.4.28 (accuracy 100%)
Linux Kernel 2.4.27 (accuracy 100%)
Linux Kernel 2.4.26 (accuracy 100%)
Linux Kernel 2.4.25 (accuracy 100%)
Linux Kernel 2.4.24 (accuracy 100%)
Linux Kernel 2.4.23 (accuracy 100%)
Linux Kernel 2.4.22 (accuracy 100%)
Linux Kernel 2.4.21 (accuracy 100%)
Linux Kernel 2.4.20 (accuracy 100%)
Linux Kernel 2.4.19 (accuracy 100%)
Linux Kernel 2.0.36 (accuracy 100%)
Linux Kernel 2.0.34 (accuracy 100%)
Linux Kernel 2.0.30 (accuracy 100%)

Retina vs Secure Auditor.

Win server 2003:

Retina Secure Auditor
Open Port 9 4
Low 31 5
Medium 26 3
High 75 19
Retina Secure Auditor
Open Port 20 5
Low 2 0
Medium 0 0
High 11 5


Detecção de sistema operacional

Retina Secure Auditor
Windows1 windows xp Windows XP
Win Server 2003
Windows server 2003 service pack 2
Windows server 2003 service pack 2

Conclusão

No decorrer desse trabalho procuramos comparar algumas das ferramentas mais conhecidas de auditoria de vulnerabilidade de redes, ao todo testamos 3 comerciais e uma opensuorce. Ao analisar os dados podemos verificar que o Nessus de longe é a ferramenta mais sofisticada e completa das 4, apresentado como vantagens os fato de ser capaz de analisar redes mista e conseguir resultados melhores que o retina e Secure Auditor em sistemas operacionais plataforma de plataforma windows. A vantagem do retina é o fato de fazer um scan mais completo ma máquina que esta instalado, dai o fato de ser a ferramenta que mais encontrou vulnerabilidades na máquina win server 2003.

Referencias:

Nessus – http://www.tenablesecurity.com/solutions/
Secure Auditor – http://www.secure-bytes.com/
OpenVAS – http://www.openvas.org/
Retina – http://www.eeye.com/Home.aspx

Instalação do Open-solaris 2009

O Open-solaris é um sistema operacional de código aberto mantido pela Sun e pela comunidade, ele é um sistema clone do Solaris (sistema proprietário da Sun ). A idéia é mais ou menos igual a da Red Hat que comercializa o RHEL e desenvolve junto com a comunidade o Fedora.
O Open- solaris é um sistema operacional derivado do solaris que por sua vez é derivados dos BSDs. As principais caracteristicas do Solaris 10 (tambem do open-solaris) são:

  • DTrace: análise e resolução de problemas de performance, em tempo real;
  • Solaris Containers: consolidação de aplicações em servidores de maior porte, através da criação de ambientes isolados e independentes; * Predictive Self-Healing: capacidade de antecipar-se à ocorrência de falhas que possam causar paradas críticas, isolando-as e recuperando-se;
  • Smarter Updating: atualizações automáticas e inteligentes através do Sun Update Connection;
  • Integrated Open Source Applications: disponibilidade de centenas de aplicações já integradas ao sistema;
  • ZFS: um novo tipo de sistema de arquivos que provê administração simplificada, semântica transacional, integridade de dados end-to-end e grande escalabilidade.
  • Para download do Open-solaris 2009 clique aqui>;

    Sua instalação é facil, pois alem ser em liveCD ele vem com um instalador interativo. A unica dificuladade que enfrentei durante o processo foi fazer o login no Live-CD, pois diferente de qualquer outro sistema operacional que ja tenha visto, ele pede um login e senha para iniciar a sessão do Live-CD, ou seja, se voce não conhecer o usuario e senha padrao não pode nem iniciar o sistema. Mas a senha é cognitiva, e é a primeira que vem a cabeça quando se fala em Opensolaris. Não, não é user: opensolaris, password: opensolaris, nem admin. admin. È:

    user: jack
    password: jack
    password root: opensolaris

    Eu concordo com vc se estive pensando, que essa é a senha mais estupida possivel para um sistema operacional Opensource. Mas paciencia, se é a vontade da Sun, o que podemos fazer.

    Fiz um video de como é feita a instalação usando a interface gráfica (o GNOME).

    Veja como é feita a instalação: