0x90 0x90 0x90

2008-10-09T17:44:00.000-02:00

Novo blog

Com o passar do tempo, fiquei entediado com esse blog. Na verdade, fiquei entediado com o fato de usar o blogger.com como plataforma de blogging, então decidi criar minha propria plataforma :-)

Até o final do mês devo colocar no ar. Na verdade será mais do que um blog, mas nessa primeira etapa, só o blog irá ao ar.

Apesar de ser desenvolvido em ruby on rails, o blog não será somente sobre "how sexy ruby is". Ainda não decidi se escrevo em português, inglês ou alemão, mas como não falo nenhuma das 3 linguas direito, provavelmente escreverei nas 3 :-)

O engraçado sobre ruby, é que quase todo livro, screencasting ou tutorial, eles mostram "veja, você cria um blog em 20 minutos", o que na verdade é uma falácia. Em 20 minutos você cria um esqueleto (bem tosco) de um rascunho de blog. De qualquer forma, rails é um excelente framework que oferece muitas facilidades no desenvolvimento muitas vezes abrindo mão da melhor performance. O Twitter por exemplo, que sempre foi desenvolvido em ror, abriu o bico e agora pensa em migrar para php ou java

2008-09-19T10:36:00.001-02:00

Eu não podia deixar de posta aqui

Fucs e Augusto em algum lugar em amsterdam :-)

2008-09-12T07:31:00.001-02:00

Gmail é ignorante?
Não sei por que, uma das minhas contas do gmail tem português configurado como lingua, e para minha surpresa, o Google, traduz "me" para "mim"? Isso está correto? Que coisa horrivel!

2008-09-06T08:15:00.000-02:00

Pluging de autenticação OTP para o joomla.

Para aqueles que utilizam joomla e desejam um segundo fator de autenticação para os usuários administradores, desenvolvi um plugin que permite isso. Como é um port de outro projeto que eu fiz, tem alguns pedaços faltando que com o passar do tempo, vou adicionando ao repositório.

A parte de geração e envio dos OTPs (neste caso, feito por e-mail) e a stored procedure pra limpar os OTPs antigos eu vou adicionar na sequencia.

Para quem quiser, algo especifico ou dar alguma sugestão, me contate.

Link: http://code.google.com/p/joomla-otp-auth/

2008-07-21T07:02:00.000-02:00

Stored Procedures: Não é somente best-pratices, é necessidade!

Um cliente meu, me pediu para corrigir um modulo asp que ele tem em seu sistema, que tem como função adicionar usuário. Além de criar o usuário, existe uma copia de perfil, que consiste basicamente em copia de registros SQL (entre 80 e 200 registros). A reclamação do meu cliente, era que essa criação de registro estava levando em torno de 10 - 12 minutos para ser executado. Uma eternidade para uma aplicação web.

Quando abri o código para analisar, encontrei algo assim:

sSQL = "SELECT NEWSLETTER_SUBSCRIPTION_ID,NEWSLETTER_SUBSCRIPTION.SUBSCRIPTION_END_DATE, NEWSLETTER_SUBSCRIPTION.SUBSCRIPTION_START_DATE, NEWSLETTER_SUBSCRIPTION.SUBSCRIPTION_MONTH FROM NEWSLETTER_SUBSCRIPTION INNER JOIN ORGANIZATION_CONTACT ON ORGANIZATION_CONTACT.CONTACT_ID = NEWSLETTER_SUBSCRIPTION.CONTACT_ID WHERE ORGANIZATION_CONTACT.ORGANIZATION_ID=" & session("OrgID")
rsTemp.Open sSQL, conn,1,3
set rsTemp2=server.CreateObject("ADODB.Recordset")
while Not rsTemp.eof
start_date = rsTemp("SUBSCRIPTION_START_DATE")
subscription_id = rsTemp("NEWSLETTER_SUBSCRIPTION_ID") + 1
end_date = rsTemp("SUBSCRIPTION_END_DATE")
subscription_month = rsTemp("SUBSCRIPTION_MONTH")
tSQL = "INSERT INTO NEWSLETTER_SUBSCRIPTION(NEWSLETTER_SUBSCRIPTION_ID,SUBSCRIPTION_START_DATE,SUBSCRIPTION_END_DATE,SUBSCRIPTION_MONTH) VALUES(" & subscription_id & nUSERID &"," & subscription_start_date & "," & subscription_end_date & ",'" & subscription_month & "')"
rsTemp2.Open tSQL, conn,1,3
Wend

Um select, percorre-se todos recordsets e se faz um novo insert com os dados do select. Isso funciona, para 5 registros, 10 registros, mas para aplicações onde o volume de dados é alto, isso acaba se tornando um problema.

Solução: através de uma simples stored procedure usando tabelas temporarias, o tempo de execução, caiu de 10 - 12 minutos para 3 segundos :-)

Codigo da stored procedure:

USE [bowersp_testdb]
GO
/****** Object: StoredProcedure [bowersp_testuser].[setnews] Script Date: 07/19/2008 09:49:13 ******/
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
-- =============================================
-- Author:
-- Create date: <18/06/2008>
-- Description:
-- =============================================
ALTER PROCEDURE [bowersp_testuser].[setnews]
@OrgID int,
@UserID int
AS
CREATE TABLE #TEMPTABLE (CONTACT_ID INT,NEWSLETTER_SUBSCRIPTION_ID INT,SUBSCRIPTION_END_DATE datetime, SUBSCRIPTION_START_DATE datetime, SUBSCRIPTION_MONTH varchar(10),NEWSLETTER_ID varchar(5))

INSERT INTO #TEMPTABLE(CONTACT_ID,NEWSLETTER_SUBSCRIPTION_ID,SUBSCRIPTION_END_DATE, SUBSCRIPTION_START_DATE, SUBSCRIPTION_MONTH,NEWSLETTER_ID) SELECT NEWSLETTER_SUBSCRIPTION.CONTACT_ID,NEWSLETTER_SUBSCRIPTION_ID,NEWSLETTER_SUBSCRIPTION.SUBSCRIPTION_END_DATE, NEWSLETTER_SUBSCRIPTION.SUBSCRIPTION_START_DATE, NEWSLETTER_SUBSCRIPTION.SUBSCRIPTION_MONTH,NEWSLETTER_SUBSCRIPTION.NEWSLETTER_ID FROM NEWSLETTER_SUBSCRIPTION INNER JOIN ORGANIZATION_CONTACT ON ORGANIZATION_CONTACT.CONTACT_ID = NEWSLETTER_SUBSCRIPTION.CONTACT_ID WHERE ORGANIZATION_CONTACT.ORGANIZATION_ID=@OrgID

UPDATE #TEMPTABLE SET CONTACT_ID = @UserID

INSERT INTO NEWSLETTER_SUBSCRIPTION(CONTACT_ID,NEWSLETTER_SUBSCRIPTION_ID,SUBSCRIPTION_END_DATE, SUBSCRIPTION_START_DATE, SUBSCRIPTION_MONTH,NEWSLETTER_ID) SELECT CONTACT_ID,NEWSLETTER_SUBSCRIPTION_ID,SUBSCRIPTION_END_DATE, SUBSCRIPTION_START_DATE, SUBSCRIPTION_MONTH,NEWSLETTER_ID FROM #TEMPTABLE

Claro que passou pela minha cabeça, tirar todo código asp (45p 5uck5, L1nux Rul3z) e colocar o mod_security, mas isso é papo para outra conversa :-PPPPP

2007-10-15T10:49:00.000-02:00

Estamos mal na fita heim

Estava este fim de semana, fui colocar o Tor pra funcionar com Skype (Gugu, bots saindo via TOR, heim, heim, heim) e passeando no FAQ deles achei uma coisa curiosa:

Abuse FAQ for Tor Server Operators

Doesn't Tor enable criminals to do bad things?
Criminals can already do bad things. Since they're willing to break laws, they already have lots of options available that provide better privacy than Tor provides. They can steal cell phones, use them, and throw them in a ditch; they can crack into computers in Korea or Brazil and use them to launch abusive activities; they can use spyware, viruses, and other techniques to take control of literally millions of Windows machines around the world.

2007-08-20T18:38:00.000-02:00

ASP.NET x WEB.CONFIG
Eu existo!! Embora continue no barco, atolado de trampo (e sem paciencia para postar aqui) achei uma coisa interessante enquanto desenvolvia uma aplicação web ASP.NET

Sabe aquele dilema sobre "o que fazer com as informações de ConnectionString, credencial de contexto e etc" ?

Então, descobri que é possivel criptografar o web.config (todo ou só alguns campos). Não acho interessante criptografar tudo, mas pelo menos o usuário utilizado para rodar o ASP.NET e a ConnectionString (caso sua aplicação fale com banco de dados).

Alias, eu rodo a aplicação ASP.NET sob o contexto de um usuário de rede, dou permissão customizada para este usuário no banco e criptografo as seguintes partes do web.config:

identity
connectionStrings
Para utilizar isso fica muito facil:
Alterar o web.config incluindo a sua connectionString (servidor, datasource, etc, etc):
<connectionStrings> <add name="MainConnectionString" connectionString="server=foobar.tralala-br.com;database=SEGURANCA;Trusted_Connection=yes" providerName="System.Data.SqlClient" /> </connectionStrings>

E basta alterar a sua aplicação para utilizar as informações do web.config (C#):
SqlConnection myConnection = new SqlConnection(ConfigurationManager.ConnectionStrings["MainConnectionString"].ConnectionString);
Agora basta criptografar: Pode se utilizar chaves RSA ou a chave DPAPI da maquina (Que é a opção que escolhi) através do aspnet_regiis.exe:
aspnet_regiis.exe -pef "connectionStrings" "C:\Inetpub\wwwroot\MeuSite" –prov "DataProtectionConfigurationProvider"
Observação: Esta tecnica protege contra quem consegue ter acesso ao arquivo web.config. Caso a pessoa tenha acesso a máquina, é possivel rodar novamente o aspnet.regiis.exe e decifrar o arquivo sem problemas. Caso rode o aspnet_regiis.exe em outra máquina, não conseguirá pois a chave DPAPI é diferente.
VP

2007-01-16T09:10:00.000-02:00

Parece meio lammer mas..

Parece meio lammer mais lendo a lista dos "10 sofwares mais baixados em 2006" uma coisa podemos notar: dos 10 softwares, 5 são de segurança. Isso demonstra que o usuário está se preocupando com o tema Segurança.

Referente ao post anterior: Tá faltando tempo pra mexer, mas tá quase pronto.

2007-01-02T13:33:00.000-02:00

Breaking Captchas

Uma forma mais facil do que utilizar uma engine renderizadora de html (geko por exemplo) ou leitor OCR e coisas do genero seria:

1. Carregar o captchas em sites porno, warez, foruns e etc.
2. Forçar um usuário a utilizar o captchas para acessar algum conteudo
3. Pegar o resultado inputado para o usuário, e repassar para o site original e executar a ação maliciosa (falar "malicioso" da sempre um tom pornografico nas coisas.. haha)

Deixa eu escrever um codigo para isso :-)

2006-12-20T13:51:00.000-02:00

Tunando o IE x Firefox malandrão

Para aumentar o numero de conexões simultaneas que o IE consegue fazer (o padrão recomendado pela RFC 2068 é: 2 downloads simultaneos e 1 na fila de espera) basta editar a chave de registro HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings e adicionar os seguintes valores (no exemplo, para termos 10 conexões simultaneas):

MaxConnectionsPer1_0Server=Dword:0000000a
MaxConnectionsPerServer"=Dword:0000000a

Melhor do que saber que você conseguirá baixar mais arquivos simultaneos, é saber que sempre que você acessa uma pagina, o browser normalmente faz uma conexão para fazer download da HTML e outra conexão para puxar as imagens. Com um numero maior de conexões simultaneas, menor será o tempo gasto para carregar uma pagina.

O Engraçado é que no firefox se você digitar no address bar o comando about:config, você verá a variavel network.http.max-connections-per-server (que é a equivalente a configuração citada acima para o IE) setada para 8. Quer dizer, por padrão o Firefox vem em desacordo ao proposto pela RFC2068, o que as vezes passa a sensação para o usuário que o Firefox, tem melhor desempenho.. mmmmm

2006-11-17T17:29:00.000-02:00

PowerShell 2

Que bacana:

fciv C:\ -r -sha1 -type *.exe -xml saida1.xml
fciv C:\ -r -sha1 -type *.exe -xml saida2.xml
diff $(cat saida1.xml) $(cat saida2.xml)
...

Meia duzia de scripts e tenho algo melhor do que o "saudoso" tripwire :-)

2006-11-17T14:42:00.000-02:00

PowerShell
Uh la lá, já tinha mexido com a powershell nas versões beta.. parecia legal, mas parece que ficou melhor. Dá para dar man comando (Na verdade já vem varios aliases de comandos *nix like, como por exemplo kill,man, ls), é só dar um alias e ver os comandos.. A unica coisa que não gostei é que, apesar de ter toda a beleza de uma bash + fileutils + procutils + all-gnu-stuffs, a utilização de memória é altissima (para uma simples shell), acho que é por ter todos os comandos built-ins..

Vamos continuar a fuçar por aqui

2006-11-08T10:28:00.000-02:00

Good Coder

Outro dia me perguntaram, como fazer para ser um bom programador.
Não, eu não me considero um bom progamador, na verdade acho que sou do tipo que faz bons codigos de forma tosca. Existem programadores que se prendem a uma nova tecnica e novos estilos e acabam fazendo coisas toscas de forma boa.. eu os admiro entretanto sou muito ansioso, gosto de ver tudo funcionando rapidamente :-)

A minha formula para me tornar um programador nunca foi "programar nos meus momentos livres", pelo contrario sempre tratei a programação como parte do meu trabalho. Por que:
1) Você é cobrado por isso; e
2) Você é pago por isso.

No meu ultimo emprego, percebi o que mais gosto de desenvolver: Automatização de processos. Gosto de pegar um processo manual, semi automatico ou inexistente mas desejado e automatiza-lo, seja uma simples criação de excel, sistema de monitoramento anti-fraudes ou até um sistema de gerencia de identidades.

Outro ponto importante: Aprender novas linguagens. Isso por que uma nova linguagem sempre vem carregada de novos conceitos e novas tecnicas e truques que te forçam a quebrar velhos paradigmas e sair do comodismo.

Blá blá blá, segue um codigo que segue um pouco isso: Um sftp client que suporta multiplos servidores e arquivos para enviar e receber, tudo isso configurado através de um arquivo XML. Na sintaxe do XML, caso você não passe nenhum parametro para a tag "passwd", o script tentará utilizar seu par de chaves assimétricas. Sim o script é escrito em ruby!

Tenho outra versão que já está suportanto a validação do checksum para identificar se os arquivos chegaram de forma integra. Eu não postei aqui pq isso já faz parte de outro modulo que quem saiba um dia, eu publique.

O código se encontra aqui e o xml se encontra aqui.

Se alguem precisar de algo, me escreva.

2006-10-25T17:44:00.000-02:00

RUBY
Eu já falei que Ruby é sexy ?

Ainda tenho algumas dificuldades mas no geral, tem saido bastante coisa interessante :-)

Segue uma funçao estilo GetPass do Unix para rodar em ambiente Windows :-)
#Require magico...
require 'Win32API'

# HACK PRA WINDOWS... Eu queria uma GetPass nativa do ruby :-(
@getch = Win32API.new("crtdll", "_getch", [], 'L')

def getpass(prompt)
print prompt
pass = ''
while ((c = @getch.call) != 13)
putc "*"
pass << c.chr
end
puts "\n"
return pass
end

Para utiliza-la basta chamar:

passwd = getpass("Digite sua senha: ")
puts passwd

Rules ;-)

2006-01-09T14:58:00.000-02:00

Doing a Dave:

Para ninguem dizer que a Microsoft não tem senso de humor. E o mais incrivel, é que é na MS-UK.

http://www.microsoft.com/uk/msdn/security/default.mspx

2005-12-14T15:19:00.000-02:00

Analise de Pacotes II:
Eu escrevi um perlzinho para gerar estatisticas de rede e o interessante é como o resultado é utilizado
No meu caso estou usando para contabilizar os SMTP top spammers e as regras de firewallque mais fazem match, para reodernar minha rulebase.
O Script se encontra aqui, como argumento é necessario se passar um arquivo pcap.Eu acho boa essa solução pois assim fico livre de plataforma e ferramenta.
O arquivo pcap precisa estar no formato do tcpdump, para transformar outros pcap files no formato do tcpdump basta utilizar o editcap (vem junto com o ethereal).

2005-12-09T15:01:00.000-02:00

Analise de pacotes de forma estruturada

Com intuito de desmistificar o ato de analisar pacotes TCP/IP e transformar esta atividade em uma atividade mais clara e bem definida e que, possa ser executada por qualquer fornecendo resultados mais "palpaveis" podendo estes, serem analisados posteriormente ou em conjunto de outras areas, eliminando assim a palavra do "dito especialista" que normalmente fornece um parecer a respeito da situação, baseado em "feeling" e outras fontes de informações um tanto quanto obscura. Eu tenho algo que tento seguir quando sou envolvido em alguma atividade deste tipo ou informações, que eu gostariade receber se estivesse envolvido em um processo que depende de uma analise de pacotes feito por terceiros (Acredite, abrir o tcpdump e fazer cara de entendido, não adianta :-)) Dados importantes da analise: - Alvo da analise (Qual servidor/firewall/gateway, interface eth0/eth1/eth2, etc); - Periodo da analise (minutos, numero de pacotes e etc); - Identificar e sumarizar todos os protocolos e servicos contindos no trafego analisado (Top 10,Top 5, Numeros absolutos e etc); - Identificar todos endereços IPs e Portas (TCP/UDP,etc) envolvidos no trafego; e - Identificar dados das sessoes/conexoes; Com estas informações já se é possivel ter algumas respostas importantes como: - Qual o volume de trafego meu gateway (Ou qualquer outro dispositivo) estava processando no momento da analise (Capturar o trafego na interface interna e externa); - Quais são os protocolos e servicos mais utilizados; - Quem fala com quem (ip de origem e destino,portas de origem e destino, qual o volume de dados trocados entre as maquinas e etc); - Identificar a presença de algum trafego anomalo; - Identificar a presença de ações degradantes e gargalos; e - Violações da politica de segurança vigente; - Etc, Etc, Etc :-)

2005-11-28T10:08:00.000-02:00

Garantindo a empregabilidade :-)

Esse documento é muito bom! Descreve alguns topicos importantes para desenvolvedores manterem seus empregos mantendo seus codigos incomprensiveis :-)

http://thc.org/root/phun/unmaintain.html

2005-11-18T16:16:00.000-02:00

Tecnicas Anti-Rootkit II:
Pronto o codigo está aqui.
O projeto (VS 7) + versao compilada se encontra aqui.
Minha ideia agora é: fazer algo (Filtro de File System ??) para interceptar os executaveis antes de serem carregados pelo Loader e verificar se a tabela de endereçamento das funçoes importadas de dlls como kernel32.dll, ntdll.dll estao corretas ou se existe algum hook pendurado nelas... mmm será ?

2005-11-17T11:17:00.000-02:00

Tecnica Anti-Rootkit

A idéia é a seguinte: Enumerar os processos via API e enumerar os processos via System Call ou outra coisa low-level e comparar. Caso haja diferença :-)

O codigo para enumerar via API está aqui

Para enumerar via Low-level está em...her bem, ainda nao fiz mas vou fazer (Strauuuuuuuuusss).

2005-11-03T10:05:00.000-02:00

DRM indo longe demais

Dessa vez a Sony mexeu com o cara errado, Mark Russinovich um dos cabeças da sysinternals pegou um pequeno sofware instalado para evitar copias com caracteristicas bem parecidas com as de um Malware usando devices hookando api e tudo mais que se tem direito. Chega ser hilário: http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html

2005-10-25T12:03:00.000-02:00

Completando o topico sobre o minix.

Achei o historico e perfeito flameware Linus x Tanenbaum.

Repare que a diferente visão entre o Linus e o Tanenbaum é o principal responsavel por o Linux ter ganho tanto espaço e o Linus ter se tornado um "quase milionario" enquanto o Minix ainda é um sistema operacional de geeks e o Tanenbaum continua como professor + editor de livros :-)

http://people.fluidsignal.com/~luferbu/misc/Linus_vs_Tanenbaum.html

Não vou por esse post no blog do deathstar, pois senao daqui a pouco o gugu come meu cotoco

2005-10-24T11:29:00.000-02:00

Microsoft Command Shell

Demorou, mas a Microsoft lancou a "MCH".. ficou DO C*RALHO!!!

Tem um guide sobre o assunto: http://arstechnica.com/guides/other/msh.ars/1 muito bem feito e extenso, perceba a sintax SQL LIKE e estruturas Perlhash like.

Demorou mais saiu e pra variar.. muito bem feita!

2005-10-24T10:31:00.000-02:00

MINIX V3 RELEASED!!!

Demais, o Senhor Andy Tanenbaum lançou oficialmente o Minix v3.

Agora temos realmente em nossas mãos um sistema operacional verdadeiramente "Microkernel based" . Isso me faz lembrar da vez que o Tanenbaum falou para o Linus em plena comp.os.minix "Se você fosse meu aluno, receberia apenas um 7 pelo seu sistema operacional"

Mal posso esperar para por a mão no livro "Operating Systems Design and Implementation" terceira edição :-)))

2005-10-18T11:25:00.000-02:00

Boas praticas em desenvolvimento WEB

No site do W3C tem um bom documento descrevendo boas praticas no desenvolvimento web.

Um ponto importante citado é quando utilizar GET e POST em FORMs WEB.Resumindo: Para ações de consulta USE GET, para qualquer ação que seja diferente de consulta, use POST. Detalhe: Por mais que em alguns sistemas se resuma a um SELECT, a autenticação não é uma consulta.

2005-10-10T16:27:00.000-02:00

Melhorias no MySQL

Até que enfim o MySQL está virando um banco de dados de gente grande!
A versão 5.0 do mysql traz algumas features interessantes como por exemplo SSL, Trigger SQL e Stored Procedures.
Por que utilizar Stored Procedure ? Dois motivos. Primeiro é mais rapido, não do ponto de vista computacional, uma vez que não há codigo compilado, entretanto é mais rápido do pontode vista de rede, pois caso sua procedure envolva verificação e ações (validação,insert, drop e etc) isso tudo será executado no banco de dados.Outro motivo importante é do ponto de vista de segurança, pois quanto menos expormos do nosso banco e inteligencia de nosso sistema para o mundo, menor a superficie de ataque possivel de ser explorada.
Por exemplo, caso alguem tenha acesso ao codigo de acesso ao banco de dados é melhor que esta pessoa visualize CALL sp_DoUpdate(registro) do que : DROP IF EXISTS TB_BLABLA;CREATE TABLE TB_BLABLA(...);
Infelizmente as informações na documentação está meio fraca, mas fuçando achei algumas coisas interessantes:
Penei para achar as Stored Procedures criadas por mim. Depois de muita cabeçada achei como listar as stored procedures existentes, assim como mostrar o codigo delas. Pode ser interessante utilizar tais comandos via SQL Injection em algum Pen-test (set evil_bit = on ;-)
Para listar:SELECT * FROM mysql.proc; (Eu consigo listar o codigo tb, entretanto o proximo comando o output é melhor)
Para visualizar o codigo utilizado para dar criar a procedure:show CREATE PROCEDURE sp_MinhaProcedure;
É isso :-)

2005-09-27T11:30:00.000-02:00

Adeus Skype

Depois da noticia que a eBay comprou o Skype, prontamente o desinstalei da minha maquina e passei a buscar alternativas. Talvez a mais interessante foi um programa chamado GIZMO que ao contrario do Skype, utiliza SIP como protocolo de VoIP e Jabber como protocolo de IM.
Por utilizar um protocolo padrão, é prometido por parte da equipe que desenvolve o GIZMO, fazer o mesmo conversar com qualquer dispositivo que entenda SIP, além de ser mais facil gerenciar o trafego que entra/sai da sua rede via Firewalls (O Skype usa porta 80 mas nao o protocolo HTTP, o que acaba gerando problema com alguns firewalls/proxies mais "inteligentes") e ser garantida a segurança do protocolo por ser um padrão aberto. Dois unicos problemas do ponto de vista de segurança existentes no GIZMO: Comunicação centralizada (No skype é peer-to-peer) em alguns servidores e algoritimos de criptografia até agora não foram revelados (skype utiliza AES 256 + RSA 1024).
Eu já estou utilizando, se alguem quiser testar, me avise!

2005-09-20T16:24:00.000-02:00

WebServices Security

Estou comecando um projetinho utilizando webservice com intuito de prover interfaces de acessos a algumas bases de dados corporativos. Lendo uns docs da MS, vi algo que me deixou assustado:

"One of the first questions newcomers to SOAP ask is how does SOAP deal with security. Early in its development, SOAP was seen as an HTTP-based protocol so the assumption was made that HTTP security would be adequate for SOAP. After all, there are thousands of Web applications running today using HTTP security so surely this is adequate for SOAP. For this reason, the current SOAP standard assumes security is a transport issue and is silent on security issues. "

O Engraçado é que o protocolo SOAP, nada mais é do que um xml arranjado. Ora, não é dificil de pensar que os ataques em cima de aplicações web tb funcionem em cima de web services e lendo o texto acima fica a impressão que aplicações que utilizam SOAP, não precisam se preocupar com session-id, cookies, filtro na entrada de dados, replay attacks e etc. Essas colocações soam de forma perigosa, pelo jeito vai ter muito nego falando "Estou seguro, uso SSL" por muito tempo.

2005-09-15T12:06:00.000-02:00

CNASI - SP

Hoje madruguei para ir assistir a palestra do meu amigo Augusto Quadros Paes de Barros sobre o futuro das backdoores.

Além da palestra ter sido muito bem feita e conduzida, ele mostrou uma prova de conceito de um backdoor implementado em BHO (Browser Helper Object) e como já estou mexendo com esta tecnologia pude tirar algumas conclusoes a respeito.

- O IE precisa urgentemente entrar no processo de Trustworthy Computing por consequencia utilizar a SDL. O IE infelizmente não é "secure by design". É preciso que a Microsoft antes de implementar uma nova feature, pense no novo leque de oportunidades que os atacantes terão para explora-la.

- O IE6 e IE7 Beta 1, não conseguem controlar de maneira efetiva o que é attachado a ele, é preciso um maior controle. Segundo a MS isso será melhorado no IE7 Beta 2. Mas ainda não é o suficiente, queremos uma capacidade heuristica no IE para identificar se o BHO attachado é malicioso ou não (Será que não é suspeito alguem reescrever um post/get, ou gravar um log das paginas navegadas, dados digitados em entry boxes ?)

- Gracas ao metasploit fizemos um payload que instala um BHO ao explorarmos a vulnerabilidade ms-05-29 e acreditem, nenhum barulho foi gerado, o IE simplesmente instalou. Esse sem duvida é o pior dos mundos... e eu nao gostaria de enfrenta-lo

2005-09-14T18:01:00.000-02:00

Windows Syscall ShellCode

Paper legal na SecurityFocus:
http://www.securityfocus.com/infocus/1844

Só acho que será um saco tratar cada versao de OS, Service Pack e etc uma vez que os numeros das syscalls mudam. Apesar de a maioria de shellcodes utilizam enderecos hardcoded de funcoes que variam tb a cada SP, lingua e etc.
Bom que essa tecnica bypassa a protecao do VS.NET contra buffer overflows e qualquer outro tipo de checking feito em nivel de API/ring3, uma pena que o XP SP 2 + Data Execution Prevention (DEP) já consegue derrubar esse tecnica uma vez que, se o hardware suportar DEP, mesmo em ring 0 vc nao consegue bypassar a protecao.
DEP vai ser a solução ? Provavelmente não a curto prazo pois todos aplicativos que rodam alguma coisa JIT terão problemas por normalmente rodarem codigos no stack, além dos desenvolvedores terem que passar a se acostumar a marcar a memoria como executavel ou somente leitura quando chamarem a funcao Virtualloc() e utilizar a funcao VirtualProtect().
As empresas deverão passar o seus aplicativos pelo crivo do Application Compatibility Toolkit da MS ou pelo menos instruir o seus usuários a cadastrarem seus aplicativos na sessão de exceptions do DEP. Alias, alguem malicioso pode cadastrar um aplicativo vulneravel e pronto bau bau protecao :-)

2005-09-13T08:10:00.000-02:00

GSM SECURITY

Estou com minha leitora de smart-card / SIM fritando tentando puxar o IMSI e o Ki de alguns SIM cards que eu tenho.
Para quem nao sabe, o IMSI é a sua identificação na rede e o KI a chave de autenticação do usuário, ambos sao usados para montar a pergunta de um processo de challenge response.
No algoritimo utilizado em cartões mais antigos (COMP128-v1), era possivel se acessar diretamente estes dados no SIM Card.Acho que por causa da necessidade de phone banking, java e etc, as operadoras no brasil já estão utilizando COMP128-v2/v3, que infelizmente (para mim, neste contexto :-)) ainda ninguem quebrou. Aproveitei este meio tempo para configurar o framework da opencard, instalar o eclipse e começar a mexer com javacard (Para quem falava com saudosismo do limite maximo de 64k :-)) que parece muito bacana.

2005-09-13T01:16:00.000-02:00

As 6 ideias mais idiotas

Excelente texto do Ranum http://www.ranum.com/security/computer_security/editorials/dumb/ .

Engraçado que me deparei com a primeira regra do "Default Permit" outro dia.

Vi em uma empresa de um colega meu, o Filtro de conteudo web funcionando no "Default Permit", pois caso o Filtro de conteudo ficasse fora, nao pararia a navegação (!!) - É um risco assumido, ele me disse.

Pensei na hora o quao importante é a navegação x o risco de um worm postar via urls na china com informações dos ips de zombies internos, acessos indevidos a partir da rede interna, a falta de controle de funcionamento do filtro de conteudo pois a equipe de TI nao precisa se preocupar em por o servico no ar afinal "é transparente para o usuário", funcionarios tentando acessar sites bloqueados o dia todo uma vez que "Em alguns momentos o orkut funciona", alem de reverse backdoors (Igual aquele perlzinho maneiro da THC) que passariam numa boa para o mundo... preferi não discutir pra nao perder o amigo...

2005-09-07T02:09:00.000-02:00

Resposta do Schneier sobre o algoritimo SEED :-)
Eu perguntei algumas coisas alem disso mas o "core das questoes":

>you wrote:
>Korea Information Security Agency (KISA) are trying to add SEED Cipher Suites
>to TLS, and if (even) you never heard about it, has IETF skill to analyze
>how strong is this "new" algorithm ?
No.
It would take years of analysis.
Bruce

Engraçado, será que esse algoritimo vai passar ?

2005-09-06T11:18:00.000-02:00

Em nome da soberania nacional

Quando a politica de controle de utilização de criptografia de 128 bits para usuários de fora do U.S era eficaz, a Korea do Sul desenvolveu um algoritimo simetrico proprio 128 bits chamado SEED.

Vi que já saiu uma RFC descrevendo o algoritimo, s-boxes e vetores de teste. O Algoritimo foi criado para ser utilizado com acesso a internet banking, mas com o passar do tempo perceberam a sua baixa utilização de memoria comparado a outros algoritimos e agora tem sido sugerida a sua utilização em equipamentos com poucos recursos como dispositivos moveis e smart cards.

Vi em julho que existe um draft já publicado para inclusão do algoritimo no pacote TLS, vamos ver se outros produtos (Como por exemplo firewalls) irão passar a suportar o SEED.

Postei uma mensagem pro Bruce Schneier pedindo um overview dele sobre o algoritimo, vamos ver o que ele acha.

Pedi também o codigo em C para a KISA, vamos ver se eles o enviam para um terceiro-mundista qualquer ;-)

2005-09-05T19:37:00.000-02:00

Multiplas politicas de senha por dominio

Alguem já tentou configurar diversas politicas de senhas dentro de um mesmo dominio (Active Directory) ? Pois é acreditem, não funciona!

A politica de senhas é domain wide. É comum termos cenarios onde um grupo de contas em especifico tenham uma politica mais forte, mas infelizmente não há como obrigarmos.
Na verdade caso você queira especificar uma politica em uma determinada OU, as contas que estiverem dentro da OU (somente máquinas, pois esta politica se aplica a máquinas... mas pera, eu quero aplicar a politica em contas de usuarios, pq essa politica só se aplica a máquinas ? já explico...) terão a politica valendo somente para contas locais, ficou claro ? Claro que não!

A Microsoft diz oficialmente que a politica de senhas se aplica a máquina, pois como tudo para o ad é uma conta (seja usuarios ou maquinas) e aplicando a politica em nivel de dominio, todas as maquinas receberao estas politicas e por consequencia os usuarios.

A resposta nao oficial é que setar esta politica pra cada usuário seria muito trabalho. Pois quando um usuário quisesse trocar sua senha, seria necessário verificar a politica daquele usuário, depois da maquina, ver quem faz overhide em quem e ai fazer valer a politica correta. Sendo tudo por máquina, se N usuários tentarem trocar a senha a partir daquela maquina, a politica verificada será a mesma.

Um ponto de atencao: Se vc tiver N politicas que definem a politica de senhas, prevalecerá a ultima politica a ser aplicada, portanto tome cuidado com as wide domain policies, você pode estar enfraquecendo as politicas de senha do seu dominio.

Agora, qual seria a solução onde é necessário uma politica de senhas para usuários (10 chars, alfanumericos, politica de desbloqueio mais rigida) e precisa de outra politica para senhas de servicos (20 chars, aflanumericos, sem politica de desbloqueio ou politica de desbloqueio mais "light") ?

A principio temos duas soluções:

Criar contas locais nos servidores que contem os servicos, jogar essas maquinas numa OU e aplicar a politica de senhas em cima desta OU
Criar um dominio separado para as contas de servico, fazer trust entre os dominios e criar uma politica de senhas separadas

Como vocês podem ver, nenhuma das duas é boa em "Facilidade de gerenciamento". Acredito que a Microsoft poderia melhorar este controle, garantindo apenas que politicas pontuais aplicadas em OUs não enfraquecessem a politica default.

2005-09-02T12:13:00.000-02:00

Researchers....

Eu tava dando uma olhada num projeto da ms chamado Shield bem interessante de proteção contra worms. O Shield implementa uns filtros genericos utilizando a tecnologia de LSP, (Layered Service Provider) e analise o trafego fazendo match contra assinaturas de ataque. Lembro que numa empresa que trabalhei, participei do desenvolvimento de um prototipo de filtro web em cima de LSP, uma tecnologia pouco documentada, obscura e mal vista até mesmo pela a equipe de desenvolvimento da MS. Lembro que o maior problema era pra cadastrar o LSP na pilha tcp/ip, pois havia diferencas entre versoes do windows (A instalação tinha que ocorrer em 9x,NT,W2K,XP,etc. Vou varrer meus arquivos em casa pra ver se tenho algo feito, quem sabe eu encontre algo e poste aqui.
Infelizmente esse projeto não oferece pacote para download. Não acredito que ele vá pra frente, alguem discorda ?

2005-09-02T11:06:00.000-02:00

Limite do Desktop Heap

Tive serios problemas aqui na minha maquina ao tentar abrir mais do que 40 apps simultaneos.
Dando uma buscada na net achei a seguinte possibilidade de configuração

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]Windows="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16"

Na sessão SharedSection que tem o valor 3072 para outro valor como por exemplo 4096. Esta opcao diz respeito a kilobytes utilizados pelo heap de cada desktop interativo dentro do WinSta0.

Mais informações: http://support.microsoft.com/default.aspx?scid=kb;EN-US;184802

2005-09-01T12:51:00.000-02:00

Mexendo nas permissões do Exchange

Se alguem aqui já precisou mexer nas ACLs de acesso a caixa postal de um objeto usuário no AD, sabe que isso é um saco. Depois de alguns dias brincando e fuçando (thanks god msdn), construi um monstrinho para negar todos acessos a caixa postal. Trabalho importante para uma boa revisão de acesso :-)

Codigo Aqui

2005-09-01T12:23:00.000-02:00

Metodo Invoke: Solução para a preguica dos desenvolvedores do .NET

Para quem mexe com ADSI, já deve ter notado que algumas propriedades não foram incluidas e você acaba ficando sem acesso, a unica forma de acessar estas propriedades é via o metodo Invoke da classe DirectoryEntry.

//Funcao para setar o logonHour do funcionario via invoke
private static void SetLHo(DirectoryEntry entry, byte[] bb)
{
entry.Invoke("Put","logonHours",bb);
}

Na verdade o Invoke é só um wrapper para se chamar a função Put. Detalhe, isso não é só no .NET, vi também que no Delphi é a mesma coisa. A unica forma de se acessar todas as propriedades sem "perrengue", é via o bom e velho C.

2005-08-31T16:42:00.000-02:00

Mais detalhes sobre o phishing filter do IE 7

http://blogs.msdn.com/ie/archive/2005/08/31/458663.aspx

Acho que será pouco efetivo uma vez - dependendo da velocidade do processo de report, analise e classificação - que um site clonado, principalmente de banco, normalmente em menos de 30 minutos já faz um belo estrago. Não acredito que este processo seja mais rapido do que isso.

BTW testamos aqui alguns sites clonados e claro não estavam bloqueados. Reportamos pelo canal do IE 7 e pelo menos até 2 horas depois os sites ainda não estavam classificados como phishing.

2005-08-31T15:23:00.000-02:00

Documento sobre segurança no IE 6 + Windows XP SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E550F940-37A0-4541-B5E2-704AB386C3ED&displaylang=en

Muito bom, indispensavel para qualquer Microslave.

2005-08-31T14:45:00.000-02:00

Mais sobre politicas de senhas:

Esse blog da technet traz algumas informações legais sobre o assunto.
olhem a data, os caras estavam falando disso a um pouco mais de um ano.

2005-08-31T12:54:00.000-02:00

Politica de senhas - Algo a ser revisto (Trechos retirados da DDOS-L. Obrigado aos amigos da lista!)

Sempre que lemos os "best-praticies" espalhados pela internet ou recebemos alguma consultoria, um tema mais do que batido é a politica de senhas. Normalmente o que ouvimos por ai é:

- Tamanho: 7 a 8 caracteres
- Vida util da senha: 30-45 dias
- Maximo de tentativas antes do bloqueio: 3 a 5
- Tempo para se zerar o contador de "Maximo de tentativas antes do bloqueio": ?
- Tempo de desbloqueio Automatico: Eterno (Desbloqueado somente pelo o administrador)
- Tempo minimo entre trocas de senhas: ?
- Historico de senhas (Impede a repetição de senhas antigas): ?

Mas será que estes valores se aplicam a todos os cenários ? Como escolher a melhor combinação ? Colocarei aqui 2 cenários para entendermos melhor o por que deste post:

Primeiro Cenário: Se a sua preocupação for Brute-Force Online (FTP Bruteforce, Pop3 BruteForce, HTTP BruteForce, etc...)

é só fazer uma analise combinatória simples:

a senha tem 8 caracteres alfanumericos, podem repetir, caixa alta/baixa e caracteres especiais:

98 * 98 * 98 * 98 * 98 * 98 * 98 * 98 = 8507630225817856 de possibilidades.

Se o sistema bloquear depois de 3 tentativas e liberar depois de meia hora, poderiamos tentar por dia de forma "online" :
48 * 3 = 144 senhas/dia

Se nós temos 8507630225817856 possibilidades e só conseguimos tentar 144 senhas/dia, seriam necessários aproximadamente: 59080765457068 dias para se percorrer todas as possibilidades. Claro que numa situação assim fica mais facil atacar a base de senhas, mas é só uma forma de se ilustrar, vc pode pegar dados do l0pht de benchmark e fazer as contas também para chegar em um valor ideal dos parametros de senha.

Segundo Cenário:
O segundo cenário é o ataque a base de senhas (ex: Base NTLM/Windows 2003).

Um computador moderno hoje com a tabela completa ABNT2 tem 98 caracteres, mas para seguirmos um standard a ASCII tem 94 caracteres (incluindo os casos) , vamos usar aqui a tabela ASCII como exemplo ok ? Em um PIII 900 (Qualquer um aqui tem um desktop mais potente), era possivel se percorrer 1.2 milhoes senhas/segundo. Num site russo achei referencia de nego com P4 fazendo 2.100.000 senhas/segundos, vamos trabalhar com o cenário do P4, pois o LC5 tem como pré requisito P3 1GHz.

Se montarmos o espaço de todas as possibilidades de chars alfanumericos e com repetição teriamos

94^8 = 6095689385410816 de possibilidades, usando o l0pht em um P4 conseguiriamos percorrer 181440000000 senhas/dia.

Portanto conseguiriamos percorrer o espaço total em aprox. 33596 dias ou também conhecido como 92 anos. Veja nem estamos falando em hashs pre computados as famosas "Rainbow Tables" assim como o modo heuristico de funcionamento, estamos falando somente de BRUTE FORCE (Operações mais pesadas e caras do ponto de vista de processamento).

Falando um pouco mais sobre as "Rainbow Tables"
quebrar senhas com todos os caracteres possíveis (sem
contar os ALT-etc) de até 10 posições (Alguma politica de senhas exige mais do que isso ?)
em menos de uma hora. O pessoal vende essas tabelas em DVDs, o LC5 e o
Cain já suportam trabalhar com elas. Acesso à base de senhas hoje
significa que elas serão quebradas em tempo hábil, ponto. Consulte o
http://www.antsight.com/zsl/rainbowcrack/ para mais informações.

Resumo: O ideal hoje é evitar o uso de passwords e passar a utilizar passphrases. É mais facil de se lembrar de frases como "% D3us 4jud4 Qu3m C3d0 M4dRug4 $"do que senhas complexas do tipo $RFDSe12#. No ambiente microsoft pode-se abusar de passphrases de 127 caracteres unicode, podendo se criar frases do tipo "É Barnabé se coça ai pra quebrar essa S3nh4!?#".

Talvez mais tarde ou amanhã (leia-se, quando eu tiver tempo) postarei aqui uma planilha que criei para brincar com esses numeros.

2005-08-30T15:33:00.000-02:00

Documento interessante do Michael Howard sobre "Drop de privilegios" para navegação:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure01182005.asp

Encaro com bons olhos este tipo de iniciativa entretanto sabemos que existe formas de enganar um processo rodando com maior previlegio. É possivel por exemplo um componente rodando dentro deste "IE Restrito" enviar mensagens com intuito de, via Explorer, chamar ele mesmo dentro do contexto com maior previlegio e burlar esta proteção.
Esta é uma forma simples de elevação de previlegios não tão comum por não haver necessidade de ser praticada. Basta o programa malicioso enviar uma mensagem WM_LBUTTONDOWN para o botão iniciar do windows, via SendKey chamar o "Run..." copiar o full path do programa malicioso, enviar o enter e pronto, bye bye proteção.
Isso não é magica e as funções para isso estão na user32.dll.

2005-08-30T15:18:00.000-02:00

Citação em um documento da Microsoft.

http://www.microsoft.com/brasil/technet/Colunas/AyltonSouza/Zotob.mspx

Aylton, que bom que você gostou das pizzas que eu encomendei :-)

2005-08-26T14:25:00.000-02:00

Estou efetuando os testes no novo Internet Explorer 7 Beta 1.
Como caracteristicas principais de segurança, ele traz o "Phishing Filter", que tem como o intuito apoiar o usuário na identificação e reporte de sites "clonados", além do drop de privilegios do processo do IE (Somente no VISTA).

Infelizmente para o cenário nacional, o Phishing não é o principal causador de fraudes bancarias, e sim o Scam.

Pelo o que entendi da ferramenta, você tem uma opção de verificação online (Indisponivel no momento), e tem a possibilidade de reportar um site clonado. Já consegui reportar alguns sites mas ainda não consegui fazer nenhuma verificação online. Aliás, gostaria de saber quanto tempo demorará para os sites clonados serem identificados e reportados pelo IE 7 para os usuários.
Acho que vou falar com os desenvolvedores

2005-08-25T16:12:00.000-02:00

Este projeto é interessante: http://research.microsoft.com/HoneyMonkey/

A idéia é identificar sites hospedando codigos maliciosos e novas vulnerabilidades que tem como intuito explorar vulnerabilidades em cima do IE. Vamos acompanhando a evolução e os papers publicados.

2005-08-20T16:01:00.000-02:00

Worm contra Worm

Eu escrevi um "monstrinho" para em caso de emergencia, caso estivesse uma rede infectada com o worm ZOTOB, bastaria startar esse programa para ele se propagar na rede e instalar os patches. Note que ele pode ser usado para qualquer patch, basta trocar o pacote do patch.

Por falta de tempo, não escrevi uma função para listar todos os computadores windows 2000 vulneraveis, para isso eu usei o csvde, exportei as informacoes para um excel, separei o Distinguished name das máquinas em um arquivo txt e usei esse arquivo txt como input (machines.csv).

Note que para "tentar" evitar de varrer sempre as mesmas máquinas quando o worm é copiado, usei uma função para randomizar o conteudo da lista de maquinas antes de varre-la em busca de novos hosts vulneraveis. Veja tb que criei uma funcao para pingar antes os hosts vulneraveis, portanto se voces souberem de antemao que o ping é barrado em algum gateway, ou tirem a funcao ou abram as regras de firewalling :-)

Voce precisa roda-lo no contexto de domain admin (Ei, isso aqui é uma ferramenta para administradores, lembrem disso kiddies!)

O Codigo se encontra aqui: http://getdata.codigolivre.org.br/machine_patch.txt

Note que existe um aplica.bat, o seu conteudo é simples:

C:\patch\Windows2000-KB899588-x86-ENU.EXE /quiet /promptrestart