Esta nova versão contém a maior quantidades de updates na história do OSSEC, com várias novas funcionalidades e soluções para bugs, incluindo:

* New multi-server architecture
* New platform support for Microsoft Vista (and Server 2008)
* New platform support for VMware ESX
* Added active response module for Windows
* CIS benchmarks on Linux (through the policy auditing)
* Added the VMWare Security hardening guideline to the policy auditing
* Added support for McAfee VirusScan Enterprise logs
* Added support for VMware ESX hostd logs
* Added support for Mac OS FTP server logs
* New tools to better manage the data stored (syscheck_control, rootcheck_control, log_test)

E muito mais.. Veja o changelog para ver todas as mudanças e seus contribuidores.

Faça o Download em: http://www.ossec.net/main/downloads

Antes mesmo de ser liberado para o público, o primeiro patch ocasionou significativas perdas de desempenho nos servidores em que foi testado. Porém, como a falha de segurança foi considerada mais grave que a redução de desempenho, o ISC preferiu liberar a primeira correção mesmo assim.

Mais detalhes na Linux Magazine Online.

Fonte: Linux Magazine Online

Esta nova versão inclui:

- Novo formato de logs (info)
* Solaris BSM auditing logs
* Asterisk logs
* Checkpoint e Smart Defense logs
* Debian package (dpkg) install/status/remove messages
* Shorewall logs
* Postfix SASL error messages
* Localized pure-ftpd messages (for 12 different languages)
* DJB multilog

- Tradução para grego da instalação.

-Adicionado ferramenta agent_control para gerenciar os agentes diretamente do servidor(info).

-Novas opções para syscheckd/rootcheckd para agendar melhor os scans (info).

-Melhoria na performance do agent Windows, especialmente no tratamento de grande logs de eventos.

-Adicionado novas opcoes ao Rootcheck para procurar por web exploits comuns no sistema ( usado para atacar outros).

Veja  o Changelog da verssão 1.5 completo para ver todas as mudanças e contribuidores:
http://www.ossec.net/announcements/v1.5-2008-05-02.txt

Faça o Download em: http://www.ossec.net/main/downloads

Gostariamos de Lembrar que a Under-Linux.Org tem orgulho em apoiar o Projeto OSSEC e recomenda o seu uso em qualquer ambiente.

Prezados,

Desde que o Caso Isabella Nardoni ganhou a atencao do publico, em 30 de
Marco, o CAIS identificou diversas tentativas de uso do tema como isca
para o download de software malicioso.

Assim como o acidente da TAM, em 2007, este caso esta’ sendo coberto pela
midia com grande destaque. Noticias extraordinarias, boletins especiais e
manchetes naturalmente deixam as pessoas curiosas sobre o desenvolvimento
do caso. A curiosidade, mais uma vez, e’ a vulnerabilidade que fraudadores
tentam explorar.

Lembramos que as iscas para download de software malicioso podem ser
enviadas por diversos meios: e-mail, instant messaging (MSN Messenger,
Yahoo! Messenger, Google Talk, entre outros) e ate’ mesmo Orkut, como foi
noticiado pela Folha Online (veja secao “Mais informacoes”).

Catalogo de Fraudes

O Centro de Atendimento a Incidentes de Seguranca (CAIS) da Rede Nacional
de Ensino e Pesquisa lancou, em 31 de marco, um catalogo de fraudes em seu
Website (http://www.rnp.br/cais/fraudes.php). Desde entao foram incluidos
mais de 150 amostras de fraude neste catalogo.

O objetivo principal da criacao desta pagina e’ contribuir com a seguranca
na Internet, por meio da disseminacao de informacao aos usuarios, evitando
assim o roubo de suas informacoes pessoais, como senhas de bancos ou
numeros de cartao de credito, bem como ressaltar os golpes que envolvem o
download e execucao inadvertida de software malicioso.

Sobre o Caso Isabella Nardoni, 6 modelos de fraudes ja chegaram ao
conhecimento do CAIS, todos tentando levar o usuario a fazer o download de
software malicioso. Estas mensagens traziam os seguintes textos no campo
assunto do e-mail fraudulento:

. G1 Online Isabella Nardoni
. Caso Isabella Nardoni: A verdade que a televisão não mostrou!
. Uol ultimas noticias
. Caso Isabella: Exclusivo vizinho grava o assasinato!
. Campanha em protesto a Izabella. ajude nos a divulgar
. Menina Jogada da janela

Assim, recomendamos fortemente a todos os usuarios a utilizarem um
firewall pessoal e a manterem seus aplicativos de anti-vírus e
anti-spyware sempre atualizados, com frequencia diaria ou de forma
automatica; nao abram anexos de qualquer especie sem antes analisa-los com
um anti-virus, e sempre certifiquem-se da autenticidade do endereco de
origem dos e-mails recebidos. Em caso de duvida, aconselha-se consultar os
sites oficiais da empresa ou instituicao citada na mensagem.

Mais informacoes:

. CAIS: Catalogo de Fraudes
http://www.rnp.br/cais/fraudes.php

. CAIS-Alerta: Mensagens falsas relacionadas ao acidente da TAM
http://www.rnp.br/cais/alertas/2007/cais-alr-20070719.html

. Catalogo de Fraudes CAIS: G1 Online Isabella Nardoni (18/04/2008)
http://www.rnp.br/cais/fraudes.php?id=161

. Catalogo de Fraudes CAIS: Caso Isabella Nardoni: A verdade que a televisão não mostrou! (17/04/2008)
http://www.rnp.br/cais/fraudes.php?id=156

. Catalogo de Fraudes CAIS: Uol ultimas noticias (14/04/2008)
http://www.rnp.br/cais/fraudes.php?id=150

. Catalogo de Fraudes CAIS: Caso Isabella: Exclusivo vizinho grava o assasinato! (11/04/2008)
http://www.rnp.br/cais/fraudes.php?id=139

. Catalogo de Fraudes CAIS: Campanha em protesto a Izabella. ajude nos a divulgar. (08/04/2008)
http://www.rnp.br/cais/fraudes.php?id=117

. Catalogo de Fraudes CAIS: Menina Jogada da janela (07/04/2008)
http://www.rnp.br/cais/fraudes.php?id=112

. Folha Online: Caso Isabella
http://www1.folha.uol.com.br/folha/especial/2008/casoisabella/

. Perfil no Orkut usa caso Isabella para disseminar programa invasor
http://www1.folha.uol.com.br/folha/informatica/ult124u388743.shtml

. Golpe online promete video inedito sobre o caso da menina Isabella
http://idgnow.uol.com.br/seguranca/2008/04/15/golpe-online-promete-video-inedito-sobre-o-caso-da-menina-isabella/

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.

Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Atenciosamente,

################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais@cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSAkFVOkli63F4U8VAQGYygQAokNg/uYIAtzGlCBF4Ud5ifZRtoCgm2Am
oK8cV4EkuyepDXvaRQ98aifY52IkWUN/bn9DP1Vfd8rI6yc4BaYAMfoc726j3RKi
snkzfankhJCR5cB/GcjAFxN6xCO79MlT2zdMlRVHI2eHI8abbTQTCgKa92×6kNYq
gebIcF3tU8g=
=Ji9n
—–END PGP SIGNATURE—–

• VAIO VGN-TZ37CN running Ubuntu 7.10
• Fujitsu U810 running Vista Ultimate SP1
• MacBook Air running OSX 10.5.2

No final do dia, somente o VAIO com Ubuntu permaneceu intacto. Vale a pena ler a íntegra do artigo, com detalhes sobre como foram organizadas as tentativas de invasão. Leia no DVLABS.

Fonte: Slashdot.

Artigo na íntegra: fernando.scherrer.nom.br

Todo conhecimento será estudado e implementado na hora por cada um, de modo que o aluno poderá aplicar o que aprendeu assim que sair do laboratório, com confiança e experiência só obtidas na prática.
Fortalecimento (Hardening) de Servidor Unix/Linux. Sábados - 29 de março, 05 de abril de 2008 e 12 de abril de 2008; Carga Horária : 18 horas; Horário : 09:00 às 16:00; Valor Promocional: R$ 720,00; Para matrículas efetuadas até 14 de março de 2008: R$ 576,00. O curso será ministrado no Centro de Treinamento UNIRIOTEC, localizado na Universidade Federal do Estado do Rio de Janeiro (UNIRIO) - Av.Pasteur, 458 - térreo - Prédio da Escola de Informática Aplicada - URCA. O local do curso conta com amplo estacionamento gratuito e segurança. Maiores informações em http://www.clavis.com.br/curso-hard.htm ou entrando em contato conosco através de http://www.clavis.com.br/contato.php

O método é resultado do trabalho de pesquisadores norte-americanos. O grupo acaba de demonstrar uma nova modalidade de ataques a computadores que compromete seriamente os conteúdos de sistemas de memória até então considerados seguros, particularmente os presentes em laptops.

Os atacantes foram capazes de superar uma série de medidas de segurança reunidas no que se chama de criptografia de disco, que, em teoria, foi criada para garantir a inviolabilidade de informações armazenadas na memória do computador.

Os pesquisadores conseguiram quebrar diversas tecnologias amplamente usadas, entre as quais a BitLocker, da Microsoft (usada no Windows Vista), o FileVault, da Apple (usado no Mac OS X), e a dm-crypt, usada em plataforma Linux. Segundo o grupo, o método usado é suficiente para vencer a grande maioria dos sistemas de criptografia de disco, uma vez que as tecnologias têm componentes arquitetônicos comuns.

“O problema é que, diferentemente de muitos dos problemas de segurança, não estamos falando, nesse caso, de um defeito menor. Trata-se de uma limitação fundamental na maneira como esses sistemas de segurança foram projetados”, afirmou.

O mais curioso é que o método envolveu o uso de simples latas de sprays, do tipo usado para remover poeira de teclados de computadores. O spray foi usado para resfriar os chips de memória dos laptops, de modo a fazer com que os “invasores” tivessem mais tempo para executar os ataques.

Ao virar as latas de cabeça para baixo, o líquido resultante expelido resfriou os chips a 50 graus negativos. Com isso, os pesquisadores diminuíram a velocidade da taxa de decaimento da memória RAM do laptop de alguns segundos para 10 minutos. O tempo resultante foi suficiente para recuperar 99,9% da informação instalada nessa memória temporária.

Os pesquisadores se valeram da maneira de funcionamento da memória RAM, que, diferentemente do que muitos imaginam, não é apagada imediatamente quando o laptop é desligado, mas em um processo que leva vários segundos.

Tecnologias de criptografia se baseiam no uso de chaves secretas para proteger os dados. Os computadores precisam dessas chaves para acessar os arquivos armazenados nos discos rígidos ou em outros drives. Quando um usuário autorizado digita a senha, o computador armazena a chave na memória RAM, de modo que os dados protegidos possam ser acessados regularmente. Essas chaves desaparecem assim que o chip de memória perde eletricidade quando a máquina é desligada.

O modo de ataque desenvolvido pelo grupo, focado na particularidade do chip de memória RAM reter por algum tempo as chaves, mostrou-se particularmente eficiente ao ser usado contra computadores que se encontravam ligados, mas não travados por sistemas de identificação por senha, como é o caso de muitos laptops em modo de stand by ou hibernação.

Ou seja, uma medida para diminuir o risco de invasão seria desligar o computador quando não em uso, ainda que em alguns casos nem mesmo isso seria suficiente, especialmente se a máquina estiver ligada à internet por cabo ou algum sistema sem fio.

Fonte: Inovação Tecnológica 

O termo sempre é associado à segurança de informações digitais, mas devemos nos lembrar que a informação pode estar em qualquer mídia, um cd-rom, um pendrive, uma folha de papel, um bloco de notas, uma agenda…

Imagine que você tem uma agenda, dessas de papel (lembra que isso existe?), e nesta agenda você tem todos os seus dados pessoas, compromissos, telefones de amigos e familiares, contatos profissionais, informações bancárias e etc. Agora imagine que você perde essa agenda… O que fazer? Toda a sua vida está nela, será muito fácil alguém se passar por você de posse te todas essas informações.

Neste artigo InFog fala sobre boas práticas ao lidar com informações pessoas e corporativas.

Continue lendo aqui.

Este artigo irá apresentar os principais conceitos envolvidos no SELinux e exemplificar algumas situações em que ele poderá trazer enormes benefícios para a segurança do sistema.

Leia mais: http://www.ha-mc.org/?q=node/22

A empresa SecureTest acredita que spywares podem ser facilmente colocados dentro dos dispositivos manufaturados na Ásia como switches e roteadores, fornecendo uma simples backdoor para empresas ou até para os governos orientais ‘escutarem’ as comunicações.

“As empresas devem mudar suas políticas de segurança e procedimentos imediatamente”, diz Ken Munro, diretor da SecureTest. “Esta é uma brecha real que precisamos fechar. O governo precisa agir rápido”.

“Eles comprariam um míssil da China, e colocariam para uso em um silo ocidental esperando que funcione quando direcionado para o oriente? É essencialmente isto que eles estão fazendo quanto instalam infraestrutura de redes produzidas no oriente, como switches e roteadores, não testados dentro do governo e de suas próprias redes coporativas.”

Ano passado o MI5 enviou uma cara para 300 empresas inglesas alertando sobre o risco de hackers chineses tentando roubar dados importantes. Os relatórios daquela época sugeriram que ambas Rolls Royce e Royal Dutch Shell “sofrer am assaltos de espiões”.

O problema foi debatido pelo governo por algum tempo. Em 2001, a então secretária estrangeira Robin Cook, alertou que a espionagem de computadores internacionais poderia gerar uma ameaça maior que o terrorismo para o Reino Unido.

Fonte: PC PRO

Adam Boileau demonstrou pela primeira vez o ‘hack’, que afeta computadores com Windows XP e que ainda não foi testado com Windows Vista, em uma conferência de sergurança que ocorreu em Sydney em 2006, mas a Microsoft ainda não desenvolveu a correção.

Entrevistado hoje, Boileau disse que a ferramenta, publicada para o público hoje, poderia “desbloquear máquinas Windows ou logar sem uma senha … apenas plugando um cabo firewire e rodando um comando”.

Boileau, um consultor da Immunity Inc., disse que ele não publicou a ferramenta para o público em 2006 porque “a Micorosft estava um pouco preocupada se o acesso a memória através da Firewire era um problema real de segurança ou não…”.

Mas agora que alguns anos se passaram e o problema não foi resolvido, Boileau decidiu publicar a ferramenta no seu próprio website.

Para usar a ferramenta, ‘hackers’ devem conectar um computador Linux a uma porta Firewire na máquina alvo. Esta máquina é então ‘enganada’ permitindo o computador do atacante ter permissões de leitura e gravação na sua memória.
Com acesso completo a memória, a ferramenta pode modificar a senha de protecão do Windows, que é armazenada lá, e torná-la ineficaz.

Paul Ducklin, chefe de tecnologia da empresa de segurança Sophos, disse que a falha de segurança achada por Boileau não é uma vulnerabilidade ou bug no senso tradicional, porque a habilidade de usar a porta Firewire para acessar a memória do computador era atualmente uma característica da Firewire.

“Se você tem porta Firewire, desative enquando você não está usando” disse Ducklin.

“Desta forma, se alguém tentar se conectar via Firewire, ele não conseguirá interagir com o seu PC”.

Ducklin também avisou as pessoas para serem cuidadosas quanto a darem acesso físico à seus computadores.

A Microsoft não estava disponível para comentar durante a publicação.

Fonte: http://www.smh.com.au/[...]/1204402423638.html