S-ar parea ca update-ul anterior, 2.8.2, nu a acoperit toate bresele de securitate existente pana la versiunea 2.8.1, asa ca un nou update de securitate a fost lansat. 
Recomandam upgrade-ul la ultima versiune stabila a platformei Wordpress, versiunea 2.8.3

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: analiza vulnerabilitati, vulnerabilitati, wordpress

O noua varianta a binecunoscutei platforme de blogging Wordpress, versiunea 2.8.2, a fost lansata cu scopul de a repara o vulnerabilitate de tip Cross-site scripting / XSS. Exploatarea vulnerabilitatii poate duce la redirectarea administratorului blog-ului vulnerabil catre o alta pagina, deoarece mecanismul de afisare a comentariilor in panoul de control nu realizeaza in mod corespunzator filtrarea adresei Web a autorului comentariului (potentialul atacator).
Anuntul oficial poate fi accesat aici

Recomandam upgrade-ul la ultima versiune stabila a platformei: Wordpress 2.8.2

Upgrade-ul se poate face automat, din panoul de control (meniul Tools->Upgrade sau click pe “Please update now” in zona superioara a panoului, daca sunteti avertizati de existenta versiunii 2.8.2) sau manual – descarcand ultima versiune de aici

© Netsec Interactive Solutions, 2009. | Permalink | One comment | Add to del.icio.us
Post tags: analiza vulnerabilitati, vulnerabilitati, wordpress

In articolul de astazi, va prezentam 15 unelte de securitate pentru sisteme Linux / UNIX. Mentionam ca majoritatea acestor unelte sunt disponibile si pentru alte sisteme de operare cum ar fi Microsoft Windows. Recomandam ca aplicatiile / uneltele prezentate in acest articol sa fie utilizate NUMAI in scopuri constructive si/sau educative!

1. Nmap  Security Scanner

Nmap “Network Mapper” este, probabil, cel mai cunoscut si mai utilizat port-scanner. Nmap este capabil sa descopere detalii importante despre sistemele din retea cum ar fi:

• aplicatii si porturi TCP/UDP “deschise”, utilizate de respectivele aplicatii
• versiunile exacte ale serviciilor si aplicatiilor active
• sistemele de operare: Nmap poate recunoaste de la distanta tipurile si versiunile sistemelor de operare, aceasta tehnica fiind numita OS Fingerprinting.

nmap security scanner

2. Nessus

Nessus este un scanner de vulnerabilitati extrem de raspandit, fiind utilizat de peste 90.000 organizatii la nivel mondial. Nessus este capabil sa identifice de la distanta potentialele vulnerabilitati de pe sisteme. Pe langa vulnerabilitati, Nessus poate identifica si problemele de configurare care pot duce la propagarea unor probleme de functionalitate ale sistemelor si ale retelelor.

Nessus vulnerability scanner

3. Wireshark

Wireshark, cunoscut in trecut cu numele Ethereal, este un utilitar de tip “packet sniffer” ce poate fi utilizat pentru interceptarea comunicatiilor din retea. Wireshark permite analiza in timp real a comunicatiilor din retea, fiind similar ca si functionalitate cu tcpdump, totusi Wireshark fiind mai “prietenos” datorita interfetei GUI. Wireshark este disponibil pe mai multe platforme, atat Linux / Unix cat si Windows sau Mac OS X.

Wireshark network protocol analyzer

4. Ettercap

Ettercap este un alt utilitar de tip “packet sniffer” capabil sa intercepteze traficul din retea si sa filtreze traficul “sensibil”, capturand astfel parole transmise “in clar” (necriptate) cum ar fi cele ale comunicatiilor E-Mail POP3, IMAP sau ale sesiunilor Telnet. Ettercap poate fi rulat atat in consola, in mod text, cat si in mod grafic.

Ettercap packet sniffer

5. Dsniff

Dsniff este un alt utilitar de tip “packet sniffer” ce poate fi utilizat pentru interceptarea informatiilor sensibile ce traverseaza reteaua cum ar fi: nume utilizatori si parole, pagini Web ce au fost accesate de catre utilizatori, continutul mesajelor E-Mail etc

Dsniff packet sniffer

6. Metasploit Framework

Metasploit Framework este o platforma de testare si utilizare a exploiturilor. Metasploit Framework contine o colectie impresionanta de exploit-uri ce pot fi utilizate pentru testarea intruziva a vulnerabilitatilor din retea.

metasploit vncinject login

7. Nikto

Nikto este un scanner de vulnerabilitati Web, capabil sa identifice cateva mii de potentiale vulnerabilitati ale aplicatiilor si serverelor Web. Nikto este, de asemenea, capabil sa identifice atat versiunea serverului Web scanat cat si modulele / extensiile Web active ca de exemplu: mod_ssl, mod_perl, mod_rewrite, WebDAV etc
Scanarea de vulnerabilitati nu este intruziva si pot fi generate multe alerte de tip “false positive” (alerte false) datorita modului in care Nikto interpreteaza raspunsurile primite de la serverele scanate. Chiar si asa, este o unealta foarte utila ce nu trebuie sa lipseasca din “arsenalul” unui administrator de server(e) Web sau de securitate.

Nikto web vulnerability scanner

8. Aircrack-ng

Aircrack-ng este un set de utilitare pentru securitatea retelelor wireless 802.11. Aircrack-ng poate fi utilizat pentru a sparge/recupera parole/chei wireless de tip WEP si WPA-PSK.

9. rkhunter / Rootkit Hunter

Rootkit Hunter este un utilitar usor de folosit ce ruleaza pe sisteme UNIX / Linux si are scopul de a detecta prezenta rootkit-urilor si a altor unelte nedorite.

10. chkrootkit

chkrootkit este un alt utilitar similiar rkhunter, folosit in acelasi scop, de a va asigura ca sistemul nu a fost compromis si nu sunt prezente pe el aplicatii de tip backdoor/rootkit.

chkrootkit

11. Snort

Snort este o aplicatie de tip Network Intrusion Prevention/ Detection System (IPS/IDS) capabila sa analizeze in timp real traficul din retea – identificand atacurile indreptate impotriva sistemelor, cum ar fi cele de tip buffer-overflow/stack-overflow, SQL Injection, scanarea de porturi si chiar atacurile de tip DoS/DDoS.
Snort este, fara indoiala, cel mai raspandit sistem de detectie si prevenire a atacurilor.

12. netcat / nc

netcat este un utilitar folosit pentru transmiterea (citire/scriere) datelor in cadrul retelelor, prin protocolul TCP/IP.

13. John the Ripper

John the Ripper este un utilitar de tip “password cracking” ce poate fi folosit pentru extragerea parolelor din hash-uri MD5, blowfish, DES, Windows LM si nu numai. Descoperirea parolelor se face prin metode de tip bruteforce si prin utilizarea dictionarelor de parole.
John the Ripper este foarte util pentru extragerea parolelor din fisiere de parole (ex: fisierul /etc/shadow) ce au fost obtinute in urma compromiterii unor sisteme.

John the ripper password cracker

14. Tripwire

Tripwire este un utilitar pentru monitorizarea integritatii sistemului de fisiere de pe servere sau statii de lucru. Tripwire poate atentiona administratorii atunci cand fisierele importante au fost modificate, corupte sau inlaturate.

15. Backtrack

Nu in ultimul rand, amintim o distributie Linux in care sunt inglobate majoritatea uneltelor amintite mai sus, plus multe altele. Backtrack este o distributie Linux dedicata analizei de securitate si a testelor de penetrare / penetration testing. Backtrack contine o colectie mare si variata de unelte de securitate ce pot fi folosite pentru identificarea, analiza si exploatarea propriu-zisa a vulnerabilitatilor din cadrul retelelor.

BackTrack penetration testing Linux distribution

Nu ezitati sa propuneti si alte unelte de securitate pentru Linux / UNIX , contribuind astfel la continuarea listei intr-un articol viitor.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: analiza vulnerabilitati, monitorizare acces internet, penetration testing, prevenire intruziuni, scanare vulnerabilitati, securitate linux, sisteme de securitate, tutoriale securitate

HijackThis, cunoscut si ca HJT, este o aplicatie freeware de tip spyware-removal tool oferita gratuit de TrendMicro.
Unealta ruleaza pe sisteme de operare Microsoft Windows XP si mai noi.

Utilitatea acestei aplicatii de securitate a fost recunoscuta de-a lungul timpului de catre utilizatorii si dezvoltatorii ei deoarece este printre putinele aplicatii de tip spyware-removal ce foloseste un mecanism de detectie de tip heuristic. O aplicatie de inlaturare spyware / Spyware-removal ‘clasica’ va detecta amenintarile din calculatorul scanat printr-un proces de comparare permanenta a unor portiuni din fisierele de pe sistem, a memoriei RAM precum si a registrilor Windows cu o baza de date de semnaturi specifice spyware-ului. Aceasta metoda, desi eficienta, are o serie de dezavantaje fata de metoda HijackThis:
-procesul de scanare este consumator de timp;
-o baza de date neactuala nu va proteja impotriva celor mai noi amenintari;
-”industria” spyware genereaza un numar impresionant de noi metode de atac in intervaluri de timp foarte scurte.

HijackThis, pe de alta parte, foloseste o metoda heuristica pentru detectia spyware-ului: Aplicatia va genera foarte rapid o lista extinsa ce va contine toate serviciile, procesele, aplicatiile si plug-in-urile unor aplicatii ce ruleaza pe sistem la momentul scanarii. Aceasta lista va fi comparata cu o lista de referinta a unui sistem de operare cunoscut ca si “curat”. Acesta ultima lista insoteste aplicatia HijackThis, este stocata criptat, fara drepturi de scriere.

HijackThis va analiza, in ordine:

-Registrii Windows, unde va cauta orice modificari fata de baseline-ul “sigur”
-Fisierele de tip autoloading (.ini) unde va marca orice aplicatie ce porneste automat odata cu sistemul
-Fisierele de configurare pentru cele mai utilizate Web Browsere: Internet Explorer/Mozila Firefox/Opera, unde va cauta modificari ale paginilor de start implicite, ale plugin-urilor incarcate de browser la start-up etc.
-Alte locatii din Registrii Windows pentru a descoperi orice modificare, adaugare sau stergere de obiecte de tip BHO (Browser Helper Object), DPF (Downloaded Program Files), Toolbars, Dialers etc.

In urma verificarilor, aplicatia va genera un fisier log ce evidentiaza toate modificarile sau adaugirile din categoriile mentionate anterior. Acest log va fi analizat de utilizator pentru a decide care dintre elementele descoperite constituie posibile amenintari de tip spyware. HijackThis este o unealta deosebit de puternica pentru analizarea exhaustiva a starii de sanatate a sistemului de operare, insa, poate fi dificil de utilizat pentru utilizatorii ce nu sunt familiarizati cu notiunile de securitate IT.

In continuare vom analiza un Log HijackThis, explicand fiecare dintre elementele descoperite de aplicatie precum si masurile luate pentru eliminarea amenintarilor.

Log-ul generat de aplicatie prezinta o lista a tuturor nonconformitatilor descoperite in sistem, insa, pentru utilizatorul obisnuit, exprimarea poate parea criptica. HJT utilizeaza o codificare pentru a indica resursa in care a fost descoperita nonconformitatea, dupa cum urmeaza:

Rx – Problema descoperita la nivel de registrii (modificare, creeare sau stergerea unei chei de registrii)
Fx – Fisiere de configurare ale sistemului de operare ce au fost modificate
Nx – Modificari in configurarea implicita a browserelor Web si a plug-in-urilor acestora
Oxx - Alte modificari ale sistemului de operare cum ar fi: modificari ale fisierelor de configurare pentru anumite servicii Windows, instalarea de programe de tip dialer, adaugarea de tool-bar-uri si butoane in diverse aplicatii etc.

Cum interpretam rezultatele log-ului si care sunt actiunile corective?

In screenshot-ul alaturat putem observa cateva nonconformitati descoperite la nivel de registrii Windows (cod R0 si R1). Apasand butonul marcat cu albastru un screenshot, “Info on Selected Items” putem analiza problema descoperita.

La o prima vedere, in cazul primei chei “R1 – HKCU\Software\Microsoft\Internet Explorer\Main,SearchBar=http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9…” putem considera ca este vorba despre un agent spyware raportat prin HijackThis.  Apeland la butonul “Info on Selected Items” observam, defapt, ca este vorba despre intrarea in registrii corespondenta Search-Bar-ului Yahoo ce vine instalat odata cu clientul Messenger. Stergerea acestei chei, prin selectare si apasare pe butonul marcat cu rosu, “Fix Checked” duce la eliminarea barei de cautare Yahoo ce apare in Internet Explorer.

Repetand pasii pentru fiecare dintre erorile semnalate de HijackThis putem distinge foarte usor intre amenintari reale de tip spyware si rezultate de tip “Fals-Pozitiv” care alerteaza asupra unor aplicatii legitime, instalate chiar cu stiinta utilizatorului, cum este cazul de mai sus.
In continuarea listei putem apela la acelasi algoritm de analiza pentru a verifica nonconformitatile codate Fx, Nx si Oxx. In cazul celor din urma, HijackThis va afisa o lista cuprinzatoare a tuturor aplicatiilor si serviciilor de sistem ce pornesc odata cu Windows-ul. Este foarte important de stiut cum ca o mare parte dintre agentii spyware sunt incarcati odata cu sistemul de operare, fie prin intermediul unui program ce este lansat la pornire “Auto Run” sau prin intermediul unui Serviciu nelegitim marcat ca fiind unul util.

Efectuati un scurt inventar al aplicatiilor utile ce pornesc odata cu calculatorul dumneavoastra. Notati denumirea fisierelor executabile prin care acestea sunt lansate. Din lista afisata de HijackThis, sectiunea Others – Oxx, stergeti orice intrare ce nu corespunde inventarului dumneavoastra, din ramurile StartUp si RunAtStartup.
Va recomandam, deasemenea, sa consultati Knowledge Base-ul Online al Microsoft pentru a va documenta asupra serviciilor esentiale pentru incarcarea sistemului de operare Windows, eliminand, astfel, toate serviciile nelegitime incarcate la pornire de agenti spyware, virus etc.

Regula de baza in lucrul cu HijackThis este: “Verifica de 3 ori si sterge o singura data” deoarece fiecare dintre modificarile posibile pot afecta stabilitatea sau chiar functionarea sistemului de operare! Asadar, utilizati aceasta unealta deosebit de puternica cu un grad sporit de atentie!

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: analiza vulnerabilitati, anti-spyware, anti-virus, hijackthis, securitate windows, sisteme de securitate, tutoriale securitate

Contrar afirmatiilor unor producatori de solutii de securitate comerciale, un sistem PC pe care ruleaza sistemul de operare Microsoft Windows poate fi protejat impotriva atacurilor folosind aplicatii gratuite, eficienta acestora fiind cel putin egala cu cea a multor solutii comerciale consacrate.

Mai jos vom enumera 5 aplicatii care va pot proteja PC-ul in fata celor mai des intalnite amenintari informatice cum ar fi: virusi, worms, troieni, keyloggers, phishing, SPAM, vulnerabilitati ale aplicatiilor samd

1. Aplicatie anti-virus Avast Home Edition – asigura protectie completa impotriva virusilor, suporta sistemele de operare Windows pe 64 de biti, fiind una dintre primele solutii anti-virus cu suport nativ pentru sistemele de operare Microsoft Windows pe 64 de biti. Unul dintre punctele forte ale acestei solutii anti-virus este consumul foarte redus de resurse ale sistemului, in comparatie cu multe aplicatii anti-virus care nu sunt disponibile gratuit, rularea motorului de scanare in timp real facandu-se fara a deranja utilizatorul.

Pentru a utiliza solutia Avast Home Edition este necesara inregistrarea pe site-ul producatorului. In urma inregistrarii, va fi emisa o cheie de inregistrare cu valabilitate de 1 an, putand fi reinnoita dupa expirare.

2. Firewall – rolul unei aplicatii firewall este unul cat se poate de simplu, si anume: prevenirea comunicatiei nepermise pe baza regulilor de acces. Blocarea accesului neautorizat se face in functie de sursa si destinatie pachetelor TCP/UDP.

Consideram ca o aplicatie firewall trebuie sa fie una simpla si in acelasi timp eficienta, pentru a nu bloca aplicatiile ce ruleaza in mod legitim, ingreunand sau chiar facand imposibila utilizarea PC-ului.

Chiar daca exista multe solutii firewall complexe ce ofera o granularitate ridicata a optiunilor de configurare, in cazul de fata simplitatea si eficienta primeaza in fata complexitatii, care de cele mai multe ori duce la ingreunarea utilizarii PC-ului.

Asadar, recomandam solutia care se integreaza cel mai bine cu sistemul de operare Microsoft Windows : aplicatia firewall implicita a sistemului Microsoft Windows, aceasta oferind o protectie eficienta impotriva conexiunilor nedorite, nefiind nevoie de utilizarea unei solutii complementare. Asigurati-va ca firewall-ul din Windows este activ, accesand meniul Start -> Control Panel -> Windows Firewall

3. Anti-Spam / Anti-Phishing

Transmiterea de mesaje de tip SPAM si Phishing a luat amploare in ultimii ani, inventivitatea si adaptabilitatea atacatorilor punand la grea incercare producatorii de solutii Anti-Spam si Anti-Phishing.
Pentru o protectie eficienta impotriva amenintarilor SPAM si Phishing, recomandam utilizarea clientului de E-Mail Mozilla Thunderbird. Filtrul adaptiv Anti-Spam al acestui client de E-Mail este foarte eficient, putand sa “invete” cum sa clasifice mesajele primite, in urma marcarii de catre utilizator a mesajelor, asa cum poate fi observat in imaginea alaturata.

4. Protectie impotriva amenintarilor de tip Spyware, Malware, Adware etc

O aplicatie consacrata, foarte eficienta in lupta impotriva amenintarilor de tip Spyware, este Spybot Search & Destroy (Spybot-S&D). Rolul aplicatiei Spybot S&D este de a completa functiile aplicatiilor de tip Anti-Virus, fiind o solutie dedicata amenintarilor Spyware, in vreme ce produsele Anti-Virus, de cele mai multe ori, trateaza superficial aceste amenintari.

Pentru a diminua riscul expunerii la amenintari Spyware, recomandam utilizarea unui browser “mai sigur”, care nu a avut foarte multe vulnerabilitati critice in trecut. Printre alternativele “sigure” la MS Internet Explorer se numara Mozilla Firefox si Google Chrome, ambele oferind un nivel de securitate ridicat, mai ales prin suportul pentru plugin-uri de securitate (doar in cazul Firefox; Google Chrome nesuportand plugin-uri, deocamdata).

5. Scanarea de vulnerabilitati si controlul update-urilor / patch-urilor aplicatiilor si ale sistemului de operare

Cele mai des utilizate aplicatii sunt tinta celor mai multe potentiale vulnerabilitati, interesul atacatorilor fiind indreptat spre aplicatiile cele mai comune cum ar fi Microsoft Office, suitele software Adobe, browsere, aplicatii de tip messenger samd

Pentru a gestiona toate aplicatiile instalate pe calculator si a fi in permanenta la curent cu ultimele update-uri de securitate, recomandam utilizarea aplicatiei Secunia Personal Software Inspector – PSI. Aceasta aplicatie ruleaza in mod rezident, gestionand aplicatiile instalate si alertand utilizatorul atunci cand una sau mai multe din aplicatiile prezente pe PC necesita interventia pentru aplicarea de patch-uri de securitate. Secunia PSI poate realiza un scor al nivelului de securitate actual, in functie de numarul de vulnerabilitati descoperite.

Secunia PSI faciliteaza aplicarea de update-uri de securitate aplicatiilor care au nevoie de acestea, oferind link direct catre paginile de unde pot fi descarcate si instalate update-urile de securitate.

© Netsec Interactive Solutions, 2009. | Permalink | One comment | Add to del.icio.us
Post tags: analiza vulnerabilitati, anti-spam, anti-virus, firewall, phishing, scanare vulnerabilitati, securitate windows, sisteme de securitate, tutoriale securitate

Analiza vulnerabilitatilor este realizata utilizand produse specializate, actualizate “la zi” pentru a oferi o imagine de ansamblu asupra breselor de securitate din reteaua analizata precum si metodele de inlaturare sau acoperire a acestora. Pentru a oferi o protectie actuala si eficienta impotriva amenintarilor informatice ce exploateaza vulnerabilitatile existente in retea, procesul de analiza a vulnerabilitatilor poate fi programat la intervale de timp prestabilite, de exemplu: 1, 3, 6 luni.

Un raport de analiza a vulnerabilitatilor va contine informatii detaliate despre numarul de statii vulnerabile, tipul vulnerabilitatilor descoperite precum si principalele actiuni de inlaturare a vulnerabilitatilor.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: analiza evenimente securitate, analiza vulnerabilitati, ISO 27001, servicii securitate informatica, SMSI