segunda-feira, 26 de julho de 2010

Monitore as portas de seu computador.

É muito importante você monitorar as portas de conexões de seu computador para identificação de Spywares, Keyloggers, Backdoors, etc.
O computador possui 65.536 portas e várias precisam estar abertas para o funcionamento de programas que utilizam a internet como Navegadores, Messenger. Resumindo, para existir conexões TCP/UDP é necessário uma porta de conexão. Portanto não adianta você identificar apenas uma porta aberta pois na maioria das vezes a porta realmente precisa estar abertas e conectadas, e são muitas. O ideal para você procurar portas abertas por arquivos mal intencionados é você associar a porta ao processo.

Vamos utilizar o Insecuritynet 3.X para isto:

Caso voce não possua o programa baixe no site da empresa que desenvolve o software:
www.insecuritynet.com.br

Entre em:
Inicio -> Gerenciamento Local -> Gerenciar Portas -> Visualizar portas abertas

Observe:



CODIGO DE CORES:

(VERDE) Portas em estado de escuta (aguardando conexões)
(AZUL) Portas conectadas
(CINZA) Portas abertas para o localhost

Veja que temos a porta 666 conectada e o processo é nc.exe

Agora identificamos algo estranho o que fazer ?

Obtendo dados importante da porta

Antes de cancelar a conexões, devemos obter dados.
Agora entre em:
iniciar -> defesa -> Port Info
Digite o numero da porta suspeita.



Observe que temos todos os dados:
IP do “Invasor”: Remote:192.168.137.1
Porta remota da “Invasor”: 50146
Processo ativo: nc.exe
Executável responsável pela conexão: C:\WINDOWS\nc.exe

Derrubando apenas a conexão suspeita:

Você pode derrubar apenas a conexão suspeita sem precisar se desconectar da internet.
Iniciar -> gerenciamento Local -> Fechar porta Local
(Digite a porta que você deseja fechar, em nosso caso a porta 666)




Cancelando o processo para poder excluir o executável.

Verifique se o processo está ativo, caso anda esteja, entre em:
Iniciar -> Gerenciamento Local -> Gerenciar Processos -> KILL -> Cancelar Processo
Digite o nome do processo “em nosso caso: nc.exe”



Agora você pode excluir o executável.
Já obtemos seu endereço anteriormente no “Port info”.
C:\WINDOWS\nc.exe




Importante:

Este exemplo foi com um processo simples e conhecido “nc.exe”
Vários vírus utilizam o mesmo nome dos processos do sistema, por isto se voce desconfiar de alguma coisa verifique o caminho do executável através do “Port Info”.
Existem vários métodos de esconder processos como DLL Injection, neste caso a identificação será apartir de endereços externos conectados. Resumindo, use seu conhecimento e sua criatividade para se defender. O software oferece exatamente isto, que você faça seus estudos, o programa tem as ferramentas mas a defesa é você quem faz.

Participe do curso online sobre Segurança Digital (ASCD)
Saiba mais, clique aqui

Sobre o insecuritynet
O insecuritynet é uma ferramenta muito versátil, o software foi desenvolvido para ser um laboratório virtual para estudos de segurança. Usando sua criatividade você pode utilizá-lo para diversas situações usando as ferramentas do software em conjunto.
Postado por às Nenhum comentário:

sábado, 17 de julho de 2010

GEONETSTAT



O GeoNetstat é um ferramenta capaz de obter todas as conexões em seu computador e determinar de que país é o IP remoto de cada conexão, independente de ser cliente ou servidor.
A ferramenta ainda possui um Mapa Mundi para você poder visualizar em quais pontos do planeta seu computador está conectado.

1-) A utilização é muito simples, basta abrir o geonetstat que automaticamente as conexões e o mapa será exibido.

Nesta imagem temos várias conexões de sites nos Estados Unidos, e no Reino Unido (Inglaterra) e uma conexão de FTP (porta 21) no Japão.

2-) Se voce quiser repetir o geonetstat basta teclar enter.


Sobre os dados das conexões:

Port - Remote IP - Port - Country

Porta Local (Porta usada um seu computador para a conexão)
IP Remoto (Endereço IP do computador remoto)
Porta remota (Porta usada pelo computador remoto)
País (País onde se encontra o computador remoto)

Codigo de cores:
[GREEN] Conexões comuns de websites e servidor de chat (portas 80, 443, 1863)
[RED] Outras conexões


Especificações do GeoNetstat Insecuritynet:
Janela de visualizao: Mapa Mundi, Tamanho pré definido.
Saida: Pontos do planeta da cada conexão
Dados de conexões: Porta Local.
IP remoto
Porta remota
País do IP remoto
Conexões de Websites em cor diferenciada.

Veja o Video Demosntrativo:



Downalod Clique aqui.

Participe do curso online sobre Segurança Digital (ASCD)
Saiba mais, clique aqui

________________________________________________
Postado por às Nenhum comentário:
Marcadores: , ,

PROTEÇÃO BASEADA EM TABELA PARA WINDOWS

O TCP TABLES possibilita você a criar regras de proteções para seu computador.

As regra são baseadas em conexões permitidas e não permitidas.

Antes de começar o tutorial precisamos relembrar sobre conexões:
Para existir uma conexão entre dois computadores precisa de cinco fatores:

  • IP Local (Endereço do computador local)
  • Porta Local (Porta de conexão no computador local)
  • IP Remoto (Endereço do outro computador)
  • Porta Remota (Porta de conexão do outro computador)
  • Processos (Programas que criam as conexões)

Com o TCP TABLES você pode mapear e definir quais são suas conexões seguras, e evitar novas conexões não permitidas.
Não é um firewall porque o TCP TABLE atua de forma diferente:

  • Você decide o que é confiável ou não antes do problema aparecer
  • Não existe bloqueio de porta, desta forma uma porta aparentemente aberta esta protegida internamente pelo TCP TABLE
  • O sistema funciona como um RADAR que detecta conexões não permitidas.

O TCP TABLE é uma ferramenta presente na versão 3.X do Insecuritynet

Vamos abrir a ferramenta.
Entre em:
Iniciar --> Defesa --> TCP TABLES

Criando Regras de defesa.
O programa vem com uma regra pré-configurada, que certamente não irá se aplicar á sua necessidade.
Mas vamos visualizar esta regra para que possamos entender a configuração.
Entre em: visualizar regra



Temos tres tipos de permissões:
+B (Bloqueado)
-P (Permitido mas submisso ao restante da tabela)
+P (Permissao total Independente do restante da tabela)



A tabela possui cinco itens:
IP LOCAL , PORTA LOCAL, IP REMOTO, PORTA REMOTA, PROCESSO
Cada item pode estar em dois modos:
MODO OPEN (Todos permitidos mas submisso ao resto da tabela)
MODO CLOSED (Todas bloqueados)

Vamos analizar os cinco itens da tabela:
IP LOCAL
Está no modo OPEN (Todos IPs locais permitidos mas submisso ao resto da tabela)
+P:127.0.0.1 (significa que conexões neste IP tem total permissão independente do resto da tabela)

PORTA LOCAL
Está no modo OPEN (Todas as portas locais permitidas, mas submisso ao resto da tabela)
+B:21 (proibida conexão na porta local 21)
+B:23 (proibida conexão na porta local 23)

IP REMOTO
Está no modo OPEN (Todos IPs Remotos permitidos mas submisso ao resto da tabela)
+B:140.211.167.55 (proibida conexão neste IP)

PORTA REMOTA
Está no modo CLOSED (Todas as portas bloqueadas, exceto as permitidas na tabela)
-P:80 (permitida conexão na porta remota 80 desde que o restante da conexão não seja bloqueado por outro item da tabela)
-P:443 (permitida conexão na porta remota 443 desde que o restante da conexão não seja bloqueado por outro item da tabela)

PROCESSO
Está no modo CLOSED (Todas os processos bloqueados, exceto as permitidas na tabela)
-P firefox.exe (processo permitido desde que o restante da conexão não seja bloqueado por outro item da tabela)
-P telnet.exe (processo permitido desde que o restante da conexão não seja bloqueado por outro item da tabela)
+P:msnmsgr.exe (Permissão total para o Messenger)
+P:System.exe (Permissão total para processos do sistema)

RESUMO DA TABELA
-Conexões no IP LOCAL "127.0.0.1", no processo "msnmsgr.exe" e no processo "System.exe" não serão bloqueados pelo TCP TABLES.
- Todos os processos (exceto os citados acima serão bloqueado pelo TCP TABLE)
- Todas as portas remotas serão bloqueados (exceto a 80 e a 443) serão bloqueadas)
- O IP remoto 140.211.167.55 será bloqueado
- Conexões nas portas locais 21 e 23 serão bloqueadas.
RESUMO DA TABELA

-Conexões no IP LOCAL "127.0.0.1", no processo "msnmsgr.exe" e no processo "System.exe" nao serão bloqueados pelo TCP TABLES.
- Todos os processos (exeto os citados acima serão bloqueado pelo TCP TABLE)
- Todas as portas remotas serão bloqueabos (exeto a 80 e a 443) serão bloqueadas)
- O IP remoto 140.211.167.55 será bloqueado
- Conexoes nas portas locais 21 e 23 serão bloqueadas.

TESTANDO A FERRAMENTA

Na tabela acima temos o IP 140.211.167.55 (este IP corresponde ao site "www.linux.com")
Vamos ativar o TCP TABLES.



Agora vamos abrir o site "www.linux.com" em nosso navegador de internet.



Observe que a conexão foi bloqueada, e o site nao foi aberto.



"O bloqueio do site www.linux.com foi apenas um exemplo técnico, a equipe insecuritynet não é contra a comunidade linux, nós usamos e recomendamos o sistema operacional linux. Inclusive foi a inspiraçao para a desenvolvimento do Insecuritynet."

OUTRO EXEMPLO

Vamos simular um keylogger tentando acessar um servidor SMTP para enviar emails.



Observe que o canexão foi bloqueada:





VISUALISANDO OS LOGs

O TCP TABLES cria um LOG de todos os bloqueios.
Você pode visualizar os LOGs em sua pasta de trabalho...\Meus documentos\Insecuritynet

Observe que todas os dados do bloqueio foram registrados (Inclusive o caminho do executável que tentou criar a conexão)

Podemos associar TCP TABLE á um radar, que localiza conexões não permitidas e as cancela

Nossa tabela padrão pode ser representada com a figura abaixo:

RELEMBRANDO O RESUMO DA TABELA
-Conexões no IP LOCAL "127.0.0.1", no processo "msnmsgr.exe" e no processo "System.exe" não serão bloqueados pelo TCP TABLES.
- Todos os processos (exceto os citados acima serão bloqueadas pelo TCP TABLE)
- Todas as portas remotas serão bloqueados (exceto a 80 e a 443) serão bloqueadas)
- O IP remoto 140.211.167.55 será bloqueado
- Conexões nas portas locais 21 e 23 serão bloqueadas.



EDITANDO SUA PROPRIA REGRA

O exemplo acima foi com uma regra que já vem configurada no software, claro que não se aplica à suas necessidades. A principal característica da ferramenta é que você é quem define o que é seguro e o que não é seguro. Você pode criar suas próprias regras de acordo com a sua necessidade e de acordo com os programas que você usa para conectar a internet.
Para editar basta entrar em “Editar regra”

Selecione uma das opções:
LOCAL IP LOC PORT REM IP REM PORT PROCESS

PERMITINDO UM ITEM

Neste exemplo vamos permitir que conexões na porta remota 25 não seja bloqueada (como foi bloqueada no exemplo acima)

Entre em REM PORT (Porta remota)
Escolha o modo CLOSED (para manter todas as outras portas bloqueadas)



Agora temos duas opções de permissões +P e -P.

+P (Permissao total)
-P (Permissao submissa)

Vamos add com permissão submissa (-P)



Digite a porta.



Observe que a porta foi adicionada na tabela:



Agora vamos criar novamente a conexão:



Observe que não houve bloqueio.



BLOQUEANDO UM ITEM.

Para bloquear um item é necessário que o item esteja no modo aberto, pois no modo fechado já esta bloqueado por padrão.
Neste exemplo vamos bloquear conexões na porta local 1245.

Selecione a opção Porta Local:

LOCAL IP LOC PORT REM IP REM PORT PROCESS

Escolha o modo Aberto "OPEN MODE"
Digite a porta e observe a tabela:

As conexões que utilizarem esta porta (1245) de seu computador serão bloqueadas.

PERMISSSÃO TOTAL PARA UM ITEM.

Em alguns casos é necessário dar permissão total para um item da tabela.
Por exemplo:
O IP local "127.0.0.1" é utilizado pelo navegador.
O Messenger utiliza varias portas aleatórias locais e remotas.

Você pode dar permissão total tanto em "OPEM MODE" como em "CLOSED MODE".
basta você escolher a opção +P
Com esta opção o Item será permitido independente de outro item da tabela estiver bloqueada a conexão.
No exemplo acima bloqueamos a porta local 1245, mas o processo "msnmsgr.exe" esta com permissão +P, isto significa que este processo tem permissão para tudo, inclusive para usar a porta 1245.

DICAS PARA EDIÇAO DE REGRAS

Antes de criar sua regra, faça um relatório de todos os programas que utilizam a internet em seu computador.
Não bloqueie atualizações de seu antivírus.
Mantenha o IP LOCAL em OPEN MODE porque se você possuir IP DINAMICO terá que sempre ficar modificando sua regra.
Mantenha a Porta local em OPEN MODE porque quando você cria um conexão externa sua porta local é aleatória. Use os bloqueios para bloquear possíveis servidores em sem computador.
Mantenha o IP REMOTO em OPEN MODE, pois cada site visitado é um IP remoto diferente, apenas deixe no modo CLOSED se o computador estiver atrás de uma proxy e libere o IP da proxy.
PORTAS REMOTAS E PROCESSOS mantenha no MODO CLOSED e adicione suas permissões, manter este itens abertos pode comprometer a segurança de sua REGRA.

----
Download do Software, Clique aqui
O TCP TABLES é apenas umas das ferramentas do software.

Participe do curso online sobre Segurança Digital (ASCD)
Saiba mais, clique aqui

________________________________________________
Postado por às Nenhum comentário:
Marcadores:

TUNELAMENTO DE DADOS

Neste tutorial vamos aprender sobre dados trafegando através de um túnel.

Antes vamos rever algumas coisas:
- Para haver uma conexão entre dois computadores no mínimo deve existir um cliente e um servidor.
- O servidor fica aguardando a conexão (modo escuta "Listing" )
- O cliente é quem realiza a conexão. (modo "Conect")

Exemplo:



O servidor de web fica aguardando sua conexão.

"Tunelar" dados é fazer com que estes dados trafeguem através de um terceiro computador, que irá servir de "ligação" entre cliente e servidor.



Podemos utilizar um túnel para estudos de protocolos de comunicação, pois através do túnel você pode visualizar os comandos entre cliente e servidor.

CRIANDO UM TÚNEL.

Vamos usar o Programa insecuritynet 3.X para criar nosso tunel.

Primeiro vamos definir quem será o cliente, o túnel e o servidor:

Cliente -> Nosso computador.
Túnel -> Programa insecuritynet
Servidor -> servidor de FTP da unicamp (Servidor Público)

Vamos criar nosso túnel.
1-) Abra o programa e entre em:
Iniciar -> Defesa -> Port Tunel

Vamos escolher como o túnel será conectado:
Nosso túnel deverá aguardar uma conexão e conectar no servidor da unicamp.
Então teremos que utilizar a opção "Listing -> Conect"

Vamos configurar o túnel para aguardar na porta 21 e redirecionar a conexão para o servidor "ftp.unicamp.br" na porta 21.
A porta 21 é a porta padrão para servidores FTP.

O túnel será aberto e ficará aguardando à conexão.


Vamos criar a conexão.
Agora nosso computador será "virtualmente" o servidor de FTP da unicamp

Vamos conectar em nosso "SUPOSTO SERVIDOR FTP LOCAL"



Observe o TUNEL



Você pode visualizar toda a comunicação entre cliente e servidor.
Os dados em VERDE são dados de entrada (Nosso cliente)
Os dados em AZUL são dados de saída (Servidor Unicamp)

Quando você cria um Túnel deste tipo seu computador passa a ser também um servidor.
Se outro computador conectar no túnel, automaticamente será conectado ao seu redirecionamento.

Neste exemplo vou redirecionar um serviço de recebimento de email (POP)



Observe o túnel quando um computador remoto conecta em "nosso serviço de pop".



O IP "192.168.0.1" conectou na nossa porta 110 e foi redirecionado para o IP 200.221.4.119 (servidor pop)
Os dados em verde são do computador "192.168.0.1". Os dados em azul são do servidor POP.
Como deu para perceber o túnel é uma ótima ferramenta para estudos de protocolos e conexões.

Participe do curso online sobre Segurança Digital (ASCD)
Saiba mais, clique aqui

________________________________________________

Postado por às Nenhum comentário:
Marcadores:

Invasão via Backdoors e Regras de Defesa



Este tutorial é á 17ª do curso "Arquiterura e segurança em comunicaçao de Dados"

Indice:
------------------------------
•Prefácio
•Backdoors
•Exemplo prático
•Possibilidades de conexões
•Análise do computador alvo
•Criando um Backdoor
•Conectando no Server
•Navegando no computador alvo
•Renomeando um arquivo
•Executando o arquivo no comutador remoto
•Criando um novo diretório
•Acessando outros diretórios
•Movendo arquivos
•Visualizando o conteúdo de um arquivo tipo texto
•Enviando uma mensagem para o computador alvo
•Baixando um arquivo do computador alvo para seu computador
•Obtendo dados do computador alvo
•Removendo o Backdoor do computador alvo
•Conclusão sobre o Backdoor
•Criando regras de defesa
•Proteção baseada em tabela para Windows (TCP TABLES)
•Análise da tabela padrão
•Testando a ferramenta
•Visualizando os LOGs
•Radar de proteção
•Editando sua própria regra
•Permitir, bloquear, permissão total de um item.
•Executando um Backdoor em um computador protegido com o TCP TABLES.
•Conclusão sobre firewall

Formato: PDF
Paginas: 37

Download Clique aqui.

Participe do curso online sobre Segurança Digital (ASCD)
Saiba mais, clique aqui

____________________________________

Postado por às Nenhum comentário:
Marcadores: ,

Novo Backdoor Command Line - Insecuritynet 3.X

Este video é sobre o novo Backdoor do Insecuritynet 3.X

O video é uma demostrçao de infecção, bem prático e dividido por etapas.
  • Como criar o Server
  • Infectando
  • Conectando
  • Manipulando arquivos
  • Diretorios
  • Enviando Mensagem
  • Obtendo Dados do Sistema
  • Download de Arquivos
  • Removendo o Backdoor
  • Politica de Segurança


Para baixar o Insecuritynet acesse:
www.insecuritynet.com.br

Download do tutorial em PDF
Clique aqui

Participe do curso online sobre Segurança Digital (ASCD)
Saiba mais, clique aqui

________________________________________________
Postado por às Nenhum comentário:
Marcadores:

Google cria busca segura por SSL




A grande maioria dos protocolos utilizados na internet não oferecem nenhum tipo de segurança quanto à privacidade.

As pesquisas do google por exemplo, seu provedor poderia "vender" sua capacidade de comprar.
O seu provedor poderia saber tudo o que você pesquisa no google, quais são seus interesses e te oferecer os produtos certos para você comprar. Estes dados poderiam ser capturados para outros fins (por exemplo espionagem).
Atualmente a google disponibilizou uma forma de pesquisa onde os dados são encriptados e não pode ser interceptados.
O site é:
https://www.google.com
Observe que não é o protocolo HTTP mas HTTPS
A site ainda está em faze de teste, claro que é um pouco mais lento pois os dados precisam ser encriptados e decriptados.
O protocolo HTTPS ja era usado nas sessões de logins (era o mínimo indispensável).

Mais exemplos de Falta de privacidade:
Quando você conversa no MSN, esta conversa trafega pela internet livremente, se alguém estiver no caminho (Na mesma rede privada, seu provedor, etc) pode facilmente ver tudo o que você esta falando.
Outro exemplo são logins de FTP, sua senha pode ser facilmente interceptada.
Por este motivo foram criados protocolos seguros que encriptam os dados, por exemplo:
HTTPS, SMTPS, SSH, etc.

Neste vídeo está explicando na prática toda a insegurança de alguns protocolos comuns. Está exemplificando como capturar conversas do Messenger e logins de FTP e também como utilizar criptografia para proteger seus dados e arquivos transmitidos.




Participe do curso online sobre Segurança Digital (ASCD)
Saiba mais, clique aqui

________________________________________________
Postado por às Nenhum comentário:
Marcadores:

Crie um honeypot em seu PC - (Iscas para Hackers)

A técnica de Honeypot é um tanto antiga, porem até
hoje é muito utilizada para captura de hackers mal
intencionados.Atualmente o Governo americano utiliza esta
técnicas em redes Wireless para estudar o comportamento destes
“Hackers”.


O conceito da técnica é muito simples:

Voce simula uma vulnerabilidade, como uma isca para os
“Hackers” se conectarem. Uma ves conectado voce
obtém o IP e seus comandos.

Vamos criar um Honeypot com a versão free do Insecuritynet 3.X (Você não precisa comprar a licença)


1-) Caso você não tenha o programa, baixe no site da empresa que desenvolve o software:
www.insecuritynet.com.br
Entre em: Produtos -> Insecuritynet 3.X
Instale o programa.

2-) Para navegar pelo software utilize as Setas e o Enter ( O programa roda em modo texto )
Entre em:
Iniciar -> Servidores -> Honeypots



O software possui três opções ( FTP, Telnet, Shell )
Vamos utilizar a opção TELNET (escolha telnet)



Automaticamente irá abrir o servidor honeypot.



3-) O Honeypot irá simular um serviço de telnet em seu
computador, voce pode escolher um nome para seu computador
fictício.

Digite o nome de usuário (Não utilize espaços)




4-) Dentro do seu computador fictício irá existir um falso arquivo chamado: “login_ftp.txt”
Voce poderá colocar algum dado dentro deste arquivo, claro que
você não irá colocar um dado verdadeiro mas sim
qualquer coisa que voce ache necessário para lubridiar nosso
“Hacker Invasor”



5-) Pronto seu Honeypot está criado, sua porta 23 ficará
aberta para o Honeypot aguardando algum “Invasor”. Caso
precise, adicione permissão ao seu firewall.




6-) Antes que alguém entre em seu honeypot você pode testa-lo.
Abra seu prompt de comando e digite:
telnet
ou
telnet 127.0.0.1




Tecle enter

Agora voce esta agindo como se fosse o invasor que descobriu uma porta aberta em seu computador.



Observe que o “suposto serviço” de telnet pediu uma
senha, não se preocupe ele esta configurado para aceitar
qualquer senha.

Agora temos uma SHELL em nossa mão



Vamos listar o conteúdo do computador fictício:
Comando DIR




Vamos olhar o conteúdo do arquivo “login_ftp.txt”
Type login_ftp.txt



Entrar no Desktop:
cd desktop
DIR



Observe que o sistema é idêntico à um computador Real.

7-) Agora é a parte mais interessante:
Voce pode monitorar tudo o que o “suposto Invasor” faz.
Obrserve no Honeypot (servidor)



--------




Temos o IP da “Hacker Invasor”
Em cinza temos os diretórios em que o “hacker Invasor” entrou e o que ele viu.
Em verde temos os comandos que ele executou
Em azul temos o conteúdo falso que voce criou para ele ver ( caso ele veja)

Agora volte ao Insecuritynet
Tecle “I” o programa voltará ao inicio.
Entre em “logs”



Automaticamente a pasta de logs é aberta.





Abra o arquivo honeypots.log



Observe que temos todos os dados da conexão, com um detalhe
Importantíssimo (A hora exata da conexão) Se voce tem o
IP e a Hora que ele conectou e a pessoa realmente esta tentando te
invadir, caso o problema torne-se judicial, por lei o provedor é
obrigado a dizer de onde veio a conexão para as autoridades
legais.
Mesmo usando Jumps, hoje é complicado se esconder mesmo
atrás de 50 maquinas, também neste caso já
não é uma questão técnica, mas
burocrática e investigativa.

Participe do curso online sobre Segurança Digital (ASCD)
Saiba mais, clique aqui

_____________________________________________
Postado por às Nenhum comentário:
Marcadores:
Assinar: Postagens (Atom)