Category: Segurança de TI


São Paulo – McAfee diz que 39% dos entrevistados esperam mais perdas na crise. Brasil está entre países que mais gastam para proteger dados.

Mundialmente, as empresas de tecnologia perderam mais de 1 trilhão de dólares com o roubo de dados em 2008, revela o relatório “Economias Desprotegidas: Proteção de Informações Vitais”, da McAfee.

O levantamento, feito com mais de 800 empresas nos Estados Unidos, Reino Unido,  Alemanha, Japão, China, Índia, Brasil e Dubai, mostra que sua perda conjunta em propriedade intelectual chegou a 4,6 bilhões de dólares.

Acesse aqui a matéria na íntegra.

Fonte: IDG NOW!

Todo administrador de servidor e-mail que se preze e mantém seus conhecimentos atualizados, sabe muito bem o que é uma lista RBL. Mas, para quem não sabe, as listas RBL são listas negras de endereços IP geradas por órgãos internacionais. Cada órgão tem seu critério e forma de inserção e remoção dos endereços, mas sempre obedecendo a idéia de ser um endereço suspeito ou possível de SPAM.

Existem diversas listas negras na Internet, e no site de cada um destes órgãos existem informações de como implementar a lista no servidor e também de como remover seu servidor da lista negra (caso esteja).

O objetivo deste post é apenas passar como dica a todos um site bastante interessante, onde é possível em apenas em uma única busca verificar em quais listas negras um servidor de e-mail pode estar:

http://www.base64.com.br/support/multirbl/

Abraço,

O CAIS está repassando o alerta da Security Focus intitulado “Linux Kernel Multiple Prior to 2.6.24.1 Multiple Memory Access Vulnerabilities (Bugtraq ID 27704)”, que trata de múltiplas vulnerabilidades em diversas versões do kernel do Linux.

Existem múltiplas vulnerabilidades no gerenciamento de memória do kernel do Linux que permitem que um usuário comum leia ou escreva dados em áreas arbitrárias da memória. Se exploradas com sucesso estas vulnerabilidades permitem que o atacante obtenha o controle total sobre o sistema.

O CAIS destaca que uma vulnerabilidade local deste tipo é crítica, uma vez que qualquer usuário poderia explorá-la. Alem disso, já existem códigos maliciosos capazes de explorar essa vulnerabilidade disponíveis publicamente.

Vale lembrar que este tipo de ataque local normalmente está associado a ataques remotos feitos através de vulnerabilidades em outros programas, como aplicativos PHP, serviços públicos ou ataques de forca bruta contra o serviço SSH.

Após conseguir acesso ao sistema através desses métodos, o atacante pode utilizar as vulnerabilidades locais para conseguir acesso de administrador.

Sistemas afetados:

  • Kernel do Linux 2.6.24.1 e anteriores

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

Versões do kernel que implementem o patch “grsecurity” e tenham a variável PAX_MEMORY_UDEREF corretamente configurada não são vulneráveis.

Alem disso, o código comentado na pagina abaixo pode ser utilizado para desabilitar temporariamente a função do kernel vulnerável, até o próximo reinício do sistema: http://article.gmane.org/gmane.linux.debian.devel.kernel/35305

Mais informações:

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Fonte: RNP/CAIS

O CAIS está repassando o alerta da Microsoft, intitulado “MS08-003 – Vulnerability in Active Directory Could Allow Denial of Service (946538)”, que trata de uma vulnerabilidade recém-descoberta no Active Directory.

A vulnerabilidade existe devido à validação incorreta de solicitações LDAP especialmente montadas. Caso um atacante consiga explorar com sucesso esta vulnerabilidade, ele poderá levar o sistema a uma condição de negação de serviço (DoS).

Esta vulnerabilidade também está presente em implementações do Active Directory Application Mode (ADAM) quando instalado em Windows XP e Windows Server 2003.

O Active Directory é responsável por centralizar a autenticação e autorização para serviços entre computadores que utilizam o Microsoft Windows e LDAP (Lightweight Directory Access Protocol) é um protocolo para acesso ao Active Directory.

Sistemas afetados:

  • Microsoft Windows 2000 Server Service Pack 4 (Active Directory)
  • Windows XP Professional Service Pack 2 (ADAM)
  • Windows XP Professional x64 Edition (ADAM)
  • Windows XP Professional Edition Service Pack 2 (ADAM)
  • Windows Server 2003 Service Pack 1 (Active Directory)
  • Windows Server 2003 Service Pack 2 (Active Directory)
  • Windows Server 2003 Service Pack 1 (ADAM)
  • Windows Server 2003 Service Pack 2 (ADAM)
  • Windows Server 2003 x64 Edition (Active Directory)
  • Windows Server 2003 x64 Edition Service Pack 2 (Active Directory)
  • Windows Server 2003 x64 Edition (ADAM)
  • Windows Server 2003 x64 Edition Service Pack 2 (ADAM)
  • Windows Server 2003 com SP1 para sistemas baseados em Itanium (Active Directory)
  • Windows Server 2003 com SP2 para sistemas baseados em Itanium (Active Directory)

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

Mais informações:

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Fonte: RNP/CAIS

De acordo com o IDG Now, um novo cavalo-de-tróia, ainda sem nome, começou a se espalhar via o Windows Live Messenger, da Microsoft, e já infectou cerca de 11 mil PCs em menos de 24 horas, informou a empresa de segurança Aladdin Knowledge Systems.

“Ainda não sabemos o que ele faz, mas no momento está criando um exército de bots”, declarou Roei Lichtman, diretor da Aladdin. “No final, é claro, vai enviar comandos para este exército para fazer alguma coisa”.

Os usuários do Windows Live Messenger, programa de mensagem instantânea da Microsoft, recebem uma mensagem com um arquivo Zip que pode conter o arquivo malicioso.

Como outras pragas virtuais espalhadas via software de mensagem instantânea, a ameaça chega via os contatos do software armazenados pela pessoa.

As ameaças online por meio de softwares de mensagens instantâneas ainda são raras, quando comparadas aquelas que se espalham via e-mail.

Veja aqui a matéria completa e outras relacionadas

Mais um passo nessa guerra! Parece mesmo, que nós, Administradores de Redes e Sistemas estamos cada vez melhor combatendo os ataques digitais nas redes de computadores. Hoje  (14/11), a Agência FAPESP publicou que o CAIS (Centro de Atendimento a Incidentes de Segurança) da Rede Nacional de Ensino e Pesquisa (RNP) registrou uma queda de 59% nos incidentes de segurança envolvendo as redes de computadores das comunidades acadêmica e científica brasileiras no terceiro trimestre de 2007 em relação ao mesmo período de 2006.

Foram detectados e tratados pelos técnicos da RNP 8.080 incidentes de segurança, 11,6 mil a menos do que no terceiro trimestre do ano passado.

Dos incidentes, 49,12% referem-se a envio de spam em grande escala, 18,57% a tentativas de invasão de sistemas e 13,89% à propagação de vírus e worms (programa auto-replicante que, diferentemente de um vírus, não precisa de um programa “hospedeiro” para se propagar pelo computador) por meio de botnets (computadores infectados e controlados a distância por atacantes).

Também foram tratados 225 casos de troca de páginas, em que o atacante substitui o conteúdo original de uma página web ou inclui conteúdo não autorizado no site atacado, e ainda 88 casos de phishing, ataques que têm por objetivo obter dados confidenciais de usuários.

Veja aqui a matéria completa

Sabemos que sempre existe aquele “engraçadinho” que adora usar Tags HTML em cadastros, ou para dar um destaque ou para danificar o website. Bom, os engraçadinhos que continuem a tentar, mas uma forma básica de fazer com que a página não interprete as Tags vinda desses cadastros é utilizando o método Server.HtmlEncode, para quem desenvolve em ASP. Este método substitui caracteres perigosos por uma seqüência de caracteres que é exibida pelo navegador corretamente, mas não é danosa para o website.

Então substitua seus recordsets:

<%=rs_mural("mensagem")%>

por:

<%=Server.HTMLEncode(rs_mural("mensagem"))%>

PRONTO!

O que seria exibido assim: MENSAGEM TAL, será exibido agora assim: <b>MENSAGEM TAL</b>.

Olá pessoal, dando continuidade a matéria do dia 10/10/2007 (Procmail – Bloqueando por Anexos, URLs e Corpo da Mensagem), algo que sempre vamos precisar é adicionar algumas exceções aos bloqueios, então vamos lá!

Mas, como assim, exceções?

Bom, existe geralmente alguns domínios que são de confiança para a chegada de e-mails em nosso servidores, como o todo .gov.br, gmail.com, brturbo.com.br, entre outros.

Qual a regra que devo implementar?

Primeiro leia a matéria anterior sobre Procmail – Bloqueando por Anexos, URLs e Corpo da Mensagem

Deve-se implementar a regra acima das regras de bloqueios de URLs e Corpo da Mensagem:

:0
* ^From.*gov\.br
$DEFAULT
:0
* ^From.*gmail\.com
$DEFAULT
:0
* ^From.*hotmail\.com
$DEFAULT
:0
* ^From.*yahoo\.com\.br
$DEFAULT
:0
* ^From.*brturbo\.com\.br
$DEFAULT
:0
* ^From.*bol\.com\.br
$DEFAULT

Assim, todos os e-mails vindo dos domínios .gov.br, gmail.com, hotmail.com, yahoo.com,  brturbo.com.br e bol.com.br passaram sem chegar às outras regras.

Abraço.

Fonte:
http://www.panix.com/~elflord/unix/procmail.html

Para quem não sabe, Procmail é um agente de entrega LOCAL que se encarrega de postar a mensagem localmente, ou seja, gravá-la efetivamente na caixa postal do usuário. Não é uma alternativa ao Sendmail, Exim ou Qmail, pois estes servem para enviar mensagens entre máquinas distintas usando SMTP (Simple Mail Transfer Protocol). No Linux, tipicamente, o Sendmail faz uso do Procmail para entregas locais de mensagens.

Devido ao constante crescimento dos SPAMs, o Administrador de Sistema precisa sempre esta atualizado quanto as alternativas para minimizá-lo, e o Procmail pode ajudar bastante nesta luta.

Em agosto quase 90% dos e-mails corporativos eram spams, diz pesquisa

Abaixo publicarei minha última implementação no /etc/procmailrc, a qual bloqueia mensagens com anexos com algumas extensões, URLs e texto no Corpo da Mensagem:

## INICIO

## Bloqueio de e-mails que contenham anexos com algumas extensões
## de arquivos
## Apaga os e-mails bloqueados
## Arquivo
blockmail.pl localizado no diretório /etc/procmail.d/
SHELL=/bin/sh

:0 HB
* ! ? /etc/procmail.d/blockmail.pl

{
:0
/dev/null
}

## Bloqueio de e-mails que contenham URLs no Corpo da Mensagem
## com algumas extensões
## Apaga os e-mails bloqueados
:0 B

* ((ht|f)tp(s?))\://([0-9a-z\-\_]+\.)+([a-z][a-z]|[a-z][a-z][a-z])(\:[0-9]+)?(/+)(([0-9a-z\-\~\_\%\.]+/+)+)?([0-9a-z\-\.\~\_\%]+\.)+(exe|scr|pif|com|cmd|bat)([^0-9a-z\-\.\~\_\%/]|$)

/dev/null

## Bloqueio de e-mails que contenham algumas palavras
## no Corpo da Mensagem
## Envia os e-mails bloqueado para o diretório
## /var/log/emailsrecusados/sefin
:0 B

* (money|three|steps|plugged|enlarge|left|millions|featured|separate|
yourself|exploded|unbeatable|cardinals|stings|going|before|eremetic|
safe|effective|morning|night|pills|only|manster|definitive|
confidence|will|love|other|performance|pleasure|something|bigger|
better|erection|orgasm|sessions|customers|seeing|weeks|months|first|
second|haha|these|girl|dating|penis)

/var/log/emailsrecusados/sefin

## FIM

Importante, cada regra possuí apenas 3 linhas, a primeira indicando o tipo de comando, a segunda indica o que vai ser bloqueado e a terceira indica o destino da mensagem bloqueada. Lembre-se, 3 linhas!

Estas são apenas regras que podem ser implementadas no Procmail, ou seja, somente elas não fazem com que o Procmail funcione perfeitamente, o arquivo procmailrc contém outras linhas.

Até!

O Portal Linux Security Brasil, do nosso amigo de TI, Renato Murilo Langona, vem publicando constantemente atualizações do tutorial sobre Permissões de Arquivos em UNIX, que por sinal, é de ótima qualidade em uma desenvoltura leve. Recomendo a leitura…

Este tutorial é de autoria do MELEU, e tem como principais áreas: 

1. Identificações

2. Permissões de Arquivos
    2.1. Permissões Básicas
    2.2. Permissões Especiais

3. Sobre Alguns Comandos
    3.1. chmod
    3.2. ls
    3.3. find
    3.4. test
    3.5. umask
    3.6. chattr
    3.7. Outros Comandos

4. Usando C
    4.1. Informações sobre Arquivos
    4.2. Mudando Permissões

5. Esquemas Úteis

Acesse aqui o tutorial Permissões de Arquivos em UNIX

Recomendo a leitura!