Um pouco do Mundo, Submundo...

This blog is dead!

2010-08-25T08:21:00.000-04:00

Esse blog mudou de endereço. Por favor, atualizem seus RSS para o novo site.

http://mundosubmundo.kaiux.com/

De volta ao trabalho

2010-05-11T08:22:00.000-04:00

Olá pessoal,

A partir de segunda-feira (18/05/2010) volto a atualizar o blog com mais notícias, dicas, hacks e muito mais.

Aguarde!

Reduzindo consumo de CPU no GNOME

2010-03-13T00:22:00.000-04:00

Muita gente reclama que o GNOME é pesado, no entanto, é possível através de alguns truques, reduzir o consumo de CPU. Por exemplo, escolher um tema mais leve, exibição de ícones pelo nautilus entre outros.

A dica é do próprio site do GNOME. Se o tema do seu desktop é o CRUX, por exemplo, você deve escolher algumas opções mais leves em "margens da janela". Você pode combiar o tema CRUX com as bordas no estilo Atlanta ou Esco.

Outra dica é alterar o comportamento do Nautilus. Por exemplo, desabilitar a contagem de itens em cada diretório, não apresentar textos nas miniaturas de ícones, ou ainda, remover ícones do desktop. Você pode testar cada opção e avaliar o resultado. A lista de dicas é grande.

Boa Sorte!

Fonte:
http://library.gnome.org/admin/system-admin-guide/stable/performance-8.html.pt

O radicalismo da FSF é péssimo ao Software Livre

2010-03-09T13:34:00.000-04:00

Uma breve pausa entre o curso de Perl e minha dissertação de mestrado, gostaria de compartilhar alguns pensamentos sobre a FSF.

Certos momentos tenho que admitir que Richard Stallman, idealizador do projeto GNU, acerta em alguns posicionamentos sobre software livre, no entanto, seu extremismo e o não respeito à minha liberdade de escolha, levam todo o seu discurso por água baixo.

Por exemplo, a FSF não endossa o Debian GNU/Linux pela capacidade oferecida ao usuário em adicionar software não livre na sua distribuição. Fazendo uma analogia com a definição de Segurança através da Obscuridade, essa idéia do Stallman está fadada ao erro. Em outras palavras, se o usuário da distribuição não souber que é possível utilizar tal recurso ele não o fará. Isso é ridículo.

A FSF está subjugando a capacidade do seu usuário. A Microsoft já pecou inúmeras vezes por tentar subjugar seu usuário. Está na hora da FSF começar a respeitar à vontade do usuário em utilizar o que ele quiser. Isto é, se eu quiser utilizar uma distribuição livre e, mesmo assim, adicionar alguns softwares não livres, quero ter essa liberdade de escolha. Ninguém pode opinar sobre minha decisão. A liberdade é minha em usar o que quero!

Por outro lado, também aceito que usar blobs no Kernel sejam uma grande desvantagem. Mas isso está sendo, aos poucos, removidos. Um passo de cada vez, Mr Stallman.

Veja abaixo a negação ao Debian pela FSF.

Debian
Debian's Social Contract does say that all software in the main distribution will be free software. Unfortunately, that's not always true in practice. Debian has repeatedly made tacit or explicit exceptions for specific pieces of nonfree software, such as the blobs included in or accompanying Linux. We're still hopeful that there won't be such exceptions in the future, but we can't turn a blind eye to the situation as it stands today.

Debian also provides a repository of nonfree software. According to the project, this software is "not part of the Debian system." We understand that's important for organizational reasons, but users would be hard-pressed to make a distinction. The nonfree repositories are often featured as prominently as the main ones throughout Debian's web site, documentation, and other materials.

Stallman já fez muito ao movimento do SL. Temos que agradecê-lo pelo seu esforço nessa batalha. Mas interferir na minha liberdade de escolha é uma direção totalmente equivocada que a FSF está tomando.

Boa reflexão.

Declaração de Vetores em Perl

2010-02-18T02:15:00.002-04:00

Continuando os posts do nosso curso de Perl, vamos aprender o processo de declaração de vetores.

O que são Vetores em Perl?
Em Perl o conceito de Vetores envolve uma lista de valores do tipo scalar. Cada elemento ou valor nessa lista é ordenado conforme um índice. Os valores na lista são apresentados em um "( )", por exemplo: (1,2,3,4,5).

Como Vetores em Perl são declarados?
Diferente do símbolo utilizado pelas variáveis do tipo scalar "$", vetores em Perl empregam o "@" para definir este tipo de variável.

my @NOME = ("Linus", "Stallman", "Debian", "Apt-Get");

O índice inicial do vetor é definido como "0". Portanto, para imprimir o nome do desenvolvedor do kernel do Linux:

print $NOME[0];

Exemplo 1

#!/usr/bin/perl
my @NOME = ("Linus", "Stallman", "Debian", "Apt-Get");
print $NOME[0] . ", criou o Kernel do Linux\n";
print $NOME[1] . " ajuda ate hoje o projeto GNU\n";
print "Para atualizar o $NOME[2] voce deve usar o $NOME[3]\n";

Existem também outras formas de declaração de vetores. Por exemplo:

my @SENHAS = ('123456', 'root', 'admin', 'demo', 'guest');

my @SENHAS = qw(abc 123456 twitter orkut facebook);

Como imprimir o último elemento do vetor?
print "Ultimo elemento $NOME[-1] \n";

Manipulando o valor de um Vetor

$NOME[0] = "Mundo Submundo";

Essa mudança atribui "Mundo Submundo" a posição $NOME[0].

Descobrindo o tamanho de um Vetor

my $TAM = @NOME;
print "Tamanho do vetor $TAM\n";

Uma forma alternativa para encontrar o tamanho de uma variável é utilizando a função "scalar". Por exemplo:

my $SIZE = scalar(@NOME);
print "Encontrei o tamanho... $SIZE \n";

Você pode adicionar um novo elemento ao vetor. Por exemplo:

$NOME[4] = "Mais um elemento";

Finalizando, vamos ver os exemplos apresentados aqui em um script só.

#!/usr/bin/perl

my @NOME = ("Linus", "Stallman", "Debian", "Apt-Get");

print $NOME[0] . ", criou o Kernel do Linux\n";
print $NOME[1] . " ajuda ate hoje o projeto GNU\n";
print "Para atualizar o $NOME[2] voce deve usar o $NOME[3]\n";
print "Ultimo elemento $NOME[-1] \n";

$NOME[0] = "Mundo Submundo";
print $NOME[0] . ", criou o Kernel do Linux\n";

my $TAM = @NOME;
print "Tamanho do vetor $TAM\n";

$NOME[4] = "Mais um elemento";
my $SIZE = scalar(@NOME);
print "Encontrei o tamanho... $SIZE \n";

Boa Sorte!

Google Buzz - Minha vida é um livro aberto

2010-02-10T15:44:00.002-04:00

(Atualizado em 28/02/2009)
Como coletar informações privilegiadas de várias redes e armazená-las em um único local?

Reposta: Google Buzz

Tenham muita atenção em ficar conectados em várias redes sociais permitindo que o Google Buzz tenha acesso. Imagine um banco de dados sobre a sua vida, costumes, relacionamentos, fotos e tudo mais.

Quanto que vale seus dados?

Coletar informações pelo gmail, orkut e blogspot não era suficiente?

Atualização:
Estava lendo o blog do Alexandre Oliva e para minha felicidade, várias pessoas compartilham do mesmo pensamento que tive ao ver o produto Buzz!

Reproduzo aqui alguns trechos da publicação do Oliva.

..."Faz tempo que lhe dou acesso a algumas partes íntimas da minha vida. No começo, eram só arquivos de listas públicas. Aí, você me ajudou a manter contato com amigos que de outra forma eu talvez nunca mais encontrasse. Aí você começou a escutar minhas conversas, mas até isso era mais ou menos ok, pois eu tinha aceitado, não tinha? Você sempre disse que eu podia confiar em você, e eu confiei. Não parecia que você iria compartilhar a informação particular que eu compartilhei com você, então a confiança foi aumentando ao longo dos anos..."

...

"E aí o Buzz me atingiu. Foi demais pra mim.

Até onde sei, não dependo de minha privacidade neste momento para minha segurança física, como Harriet Jacobs, ou para o desempenho de meu trabalho, como jornalistas que tiveram suas fontes expostas quando Buzz foi empurrado para cima deles."

Leia mais em:
http://www.fsfla.org/svnwiki/blogs/lxo/2010-02-14-bye-bye-google.pt.html

O Márcio do projeto do SL também publicou um texto muito interessante sobre o Buzz!
http://softwarelivre.org/marciomr/blog/google-buzz

Quotes em Perl

2010-02-09T01:20:00.002-04:00

Continuando os posts sobre Perl, vamos aprender um pouco sobre citações ou quotes de strings.

Podemos declarar strings em Perl como no post anterior ou utilizando alguns operadores de strings.

my $TEXTO = "Mundo SubMundo";

my $TEXTO = qq(Mundo SubMundo);

Você também pode criar um tipo de "delimitador", veja o exemplo abaixo:

my $TEXTO = q/ exemplos 'de' quotes /;

Atualizado 09/02/2010
O Daniel Mantovani encontrou um erro e deixou um comentário interessante sobre interpolação em Perl. Acho que meu último post e esse não ficaram tão claros assim, foi mal.

O que é Interpolação de Variáveis?

Pela definição do livro Learning Perl, quando uma string está utilizando double-quoted, " ", ela está suscetível a interpolação de variável, isto é, o nome da variável será substituído pelo conteúdo que ela carrega. Por exemplo:

my $MUNDO="Submundo";
print "Bem vindo ao Mundo: $MUNDO";

my $NOME="Knuth - Darth Vader,";
my $MUNDO=qq($NOME brilha muito no Submundo);
print "Exemplo: $MUNDO \n";

Outro exemplo do Livro Professional PERL Programming.

$text = qq{ "$interpolated" ($text) 'and quotes too' };

Você pode criar delimitadores lógicos, ou seja, se você inicia um delimitador com { o Perl espera que você termine também com }. O código poderia ficar assim:

$interpolated = "Darth";
$text = 'Vader $Rulez';
$text = qq{ "$interpolated" ($text) 'and quotes too' };
print $text;

Outro recurso poderoso do Perl é demonstrado quando queremos declarar uma lista de strings separadas por espaços em branco e " ".

my @vetor = qw(mundo submundo Perl Rulez);

No próximo post mostraremos mais exemplos de variáveis com @vetores.

Boa Sorte.

Declaração de variáveis scalar em Perl

2010-02-03T23:51:00.003-04:00

Resolvi que (re)aprenderei Perl durante os próximos meses. Então alguns post serão relacionados com redes / perl / segurança e assim vai.

Aos hereges, Perl não está morto ;p

Scalar
A forma mais simples de dados que o Perl sabe manipular é o tipo scalar. Uma variável do tipo scalar pode ser número (12345, 12.1, 3.1e20) ou uma string de caracteres (Mundo Submundo, Olá Mundo).

Exemplos de números: Ponto Flutuante

1.24
255.000
3.1e20
-6.5e24

Exemplo de números: Inteiros

123456
-40
0

Exemplos de números: Não decimais

0377 (octal)
0xff (hexadecimal)
0b11111111 (binário)

Exemplos de string: Seqüência de caracteres

MundoSubmundo
"Mundo Submundo"
Mundo_Submundo

Exemplos Práticos: Valores Numéricos

2 + 3
3 * 12
2.3 - 3.4
14 / 2
10 % 3 # módulo

Diferença entre strings utilizando ' ' e " "

Nos dois casos da declaração estamos utilizando uma sequência de caracteres, no entanto, strings com " " tem um poder a mais. Você pode utilizar caracteres de escape.

Exemplos:
\n - Nova Linha
\e - Return
\t - Tab (espaço)
\\ - Uma barra invertida
\" - Um "

Mas atenção, ao utilizar uma variável dentro de ' ', ao invés de imprimir o valor que foi atribuído, você estará imprimindo a própria variável

Operadores de String

Concatenação: As funcionalidades do Perl são muito boas, você pode concatenar duas string utilizando um '.'. Veja o exemplo abaixo
"Mundo" . "Submundo"
"Ola Mundo" . "\n"

Repetição de String: Supondo que você deseja imprimir "mundomundomundo"? O Perl oferece um operador especial para este tipo de atividade. Para imprimir uma variável neste estilo faça:

"mundo" x 3

Agora vamos criar algumas variáveis do tipo scalar. Dica: use my $NOME_VARIÁVEL

Código de exemplo:

#!/usr/bin/perl

my $NOME="Kaio Rafel";
my $MUNDO="Mundo" . "Submundo";
my $IDADE=70;

my $RESULTADO=10 + 23;

print "Ola $NOME" . "\n";
print "Voce esta no $MUNDO \n";
print "O $NOME tem $IDADE anos\n";
print "Resultado da soma: $RESULTADO\n";
print "Dividindo a idade pelo resultado " . $IDADE / $RESULTADO . "\n";
print 'Ola $NOME' . "\n";

Descubra porque o resultado de "Mundo Submundo" é MundoSubmundo.

Até a próxima

Criando Vetores em R (R-Project)

2010-01-31T22:49:00.000-04:00

Você pode criar vetores no R de várias maneiras, vamos lá:

1) Criando um vetor de 1 a 20.

VetorA = 1:20

Ou você pode utilizar (prefiro a primeira sintaxe)

VetorA <- 1:20

Para conferir o conteúdo do VetorA, digite "VetorA" e o resultado:

VetorA
[1] 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

2) Criando um vetor de 1 a 20 posições com valores aleatórios entre 10 e 20.

VetorB = runif(20, min=10, max=20)

Para conferir o resultado, digite: "VetorB"

VetorB
[1] 12.02838 19.35733 10.13571 17.37354 11.57784 10.91672 16.58202 13.20014
[9] 14.33324 14.77567 19.03896 11.95811 11.18410 11.74925 18.60907 17.96009
[17] 11.90258 15.28090 12.24648 15.73790

3) Criando um vetor com "A", "B" e "C".

VetorC = c("A", "B", "C")

Para conferir o resultado, digite: "VetorC"

VetorC
[1] "A" "B" "C"

4) Criando um vetor de 1 a 20 com intervalos de 2 em 2.

VetorD=c(seq(1,20,by=2))

Para conferir o resultado, digite: "VetorD"

VetorD
[1] 1 3 5 7 9 11 13 15 17 19

Boa Sorte

Software Livre Vs Terceiro Mundo Vs Dependência Tecnológia.

2010-01-28T00:23:00.001-04:00

O que software livre, terceiro mundo e dependência tecnológica tem haver? Talvez este assunto já tenha sido muito batido, inúmeros sites já comentaram, brigas ideológicas, hackers desenvolvendo aplicações no seu tempo livre, falta de credibilidade e muitos outros FUDs.

Por outro lado, enquanto escrevo este post, estou ouvindo o pronunciamento do presidente dos EUA, Barack Obama, sobre o "Estado da União" e, dois pontos do pronunciamento me chamaram muita atenção, desenvolvimento de novas tecnologias e investimento em educação de base (matemática e ciências).

O presidente americano quer investir mais em tecnologias como geração de energia limpa, telecomunicações, redução de gazes do efeito estufa entre outros. Mas aqui no Submundo, Terceiro Mundo, Brasil, nossos políticos estão preocupados em aliviar seus pares que colocam o dinheiro na meia ou desviam dinheiro para comprar panetone.

Devido essas aliviadas camaradas, o Brasil sempre depende de alguma tecnologia importada. Vejam o caso do satélite Goes-10 que foi desativado em dezembro de 2009. E nossa observação, como fica? Vamos dizer que estamos largados no universo. Tudo porque os políticos não levam o assunto tecnológico a sério, é claro, muito são analfabetos digitais.

Enquanto comprarmos tecnologias de outros países, enviarmos dinheiro para o estrangeiro, estaremos na mão dos outros. Por isso, o Software Livre é mais que uma questão de liberdade, através do software livre trazemos desenvolvimento para o país, inovamos em tecnologia e investimos em educação.

Essa problemática do satélite meteorológico foi uma lição para todos os brasileiros. Uma coisa é fato, sem educação não existe desenvolvimento e erradicação da pobreza. Se continuarmos nessa situação, será muito difícil sair desse Mundo Submundo.

Instalação do SCREEN no FreeBSD

2010-01-27T19:32:00.000-04:00

A instalação do screen no FreeBSD é bem simples!

1) Encontre o utilitário no sistema:

whereis screen

Na minha máquina o resultado é: /usr/ports/sysutils/screen. Entre neste diretório.

2) Com o root, compile, instale e limpe:

make;make install;make clean

Pronto, agora digite screen no terminal e para fechar a sessão sem desconectar digite: ctlr+a+d
Para reconectar digite: screen -r

Welcome to the Jungle Baby

2010-01-04T17:00:00.000-04:00

Prezados leitores,

Ainda estou terminando um projeto, por isso estou sumido, mas gostaria de mostrá-los, especialmente para quem não é de Manaus, como é que as coisas são resolvidas aqui: Intimidação dos poderosos!

http://oavesso.com.br/omalfazejo/2010/01/04/e-aqui-que-trabalha-a-dra-bianca-abinader/

Moção de repúdio contra Sarney por censura a blogueiros

2009-12-18T16:24:00.000-04:00

Assino também.

MOÇÃO DE REPÚDIO

Ao senador José Sarney, por patrocinar o cerceamento da liberdade de expressão de blogs e meios de comunicação dos Estados do Amapá e São Paulo, e, consequentemente, do Brasil.

Existem no Estado do Amapá diversos jornalistas e blogueiros que estão com pendências econômicas na justiça devido a ações judiciais movidas pelo Senador José Sarney (PMDB/AP), cuja fundamentação é de teor meramente político. Nas eleições de 2006, o funcionário do Senado, Fernando Aurélio de Azevedo Aquino, que ocupa o cargo de policial legislativo federal, assinou, segundo comprovante expedido pela Justiça Eleitoral, exatas 105 ações contra jornalistas, radialistas e blogueiros amapaenses. Foram vítimas desse tipo de ação e tiveram seu direito a livre expressão cerceado, as irmãs Alcilene e Alcinéa Cavalcante, os jornalistas Humberto Moreira, Domiciano Gomes, Antonio Correa Neto, o jornal Folha do Amapá, o fotógrafo Chico Terra e a Rádio Comunitária Novo Tempo. A jornalista Alcinéa Cavalcante deve cerca de R$ 2,5 milhões por ter publicado a foto de uma charge com o símbolo, nascido em 2006, do movimento Xô Sarney criado naquele Estado pela Sociedade Civil. Os demais jornalistas e blogueiros do Estado também vivem a mesma situação de ver seus minguados recursos serem bloqueados para pagar multas impostas pelas ações do Senador Sarney.

No Estado de São Paulo, o Jornal O Estado de São Paulo encontra-se há 137 dias sob censura por ter publicado matérias que continham informações da Operação Faktor, mais conhecida como Boi Barrica. O recurso judicial, que pôs o jornal sob censura foi apresentado pelo empresário Fernando Sarney, filho do senador José Sarney. Diante do exposto, nós, participantes da I Conferência Nacional de Comunicação (CONFECOM), vimos manifestar através desta moção, nosso repúdio ao senador José Sarney por patrocinar o cerceamento da liberdade de expressão de blogs e meios de comunicação do Amapá, de São Paulo e do Brasil.

Brasília, 17 de dezembro de 2009

Conheça o blog da Alcinéa.

Festa na Prodam, parte II

2009-12-18T14:34:00.000-04:00

E agora? De novo? 2 vezes no mesmo mês? Uhnnnnnnnnnnn

De novo, De novo, De novo

Segue a imagem da invasão:

"All this has happened before, and all of it will happen again, and again, and again, again...."

Solução #2 Aceita

2009-12-18T13:23:00.002-04:00

Boa notícia.

Participei e minha solução foi aceita no Network Forensics Puzzle Contest #2. Foram submetidas 150 respostas, 79 soluções foram declaradas como corretas, 15 abordagens foram eleitas como semifinalistas, dos 8 finalistas, dois foram os grandes campeões.

Congratulations to Franck Guénichot and Jeremy Rossi

Um link com as soluções dos semifinalistas está disponível em: http://forensicscontest.com/contest02/Finalists/

Nome das pessoas que tiveram sua abordagem aceita: http://forensicscontest.com/#correct

O próximo Puzzle vem mais complicado segundo os organizadores do Evento. Vamos lá para um próximo desafio.

Boa sorte

Leitura Recomendada

2009-12-18T13:12:00.000-04:00

Enquanto preparo um tutorial sobre programação em Socket e Pcap sugiro alguns livros e sites para leitura.

1) Programação em C & Estrutura de dados:

C & Data Structures (Electrical and Computer Engineering Series) [Link]
Writing Secure Code, Second Edition [Link]
Pointers and Memory (Muito bom!!!) [Link]
Biblioteca de Stanford: http://cslibrary.stanford.edu/

2) Segurança e comportamento humano

Psychology and Security Resource Page [Link]

Boa leitura

Non-authenticated data OK: Non-authenticated data is acceptable

2009-12-06T19:40:00.002-04:00

Geralmente as perguntas DNS são bem formadas, mas como tudo tem sua exceção, veja a seguinte consulta DNS

00:00:13.372296 IP CLIENTE_DNS.43525 > SERVIDOR_DNS.53: 14737% [1au] MX? DOMÍNIO.gov.br. (39)

Vamos observar com mais detalhes esse pacote

00:00:13.372296 IP (tos 0x0, ttl 49, id 0, offset 0, flags [DF], proto: UDP (17), length: 67) CLIENTE_DNS.43525 > SERVIDOR_DNS.53: [udp sum ok] 14737% [1au] MX? DOMÍNIO.gov.br. ar: . OPT UDPsize=4096 (39)

Observando as flags da consulta DNS a partir do tshark, podemos constatar:

Flags: 0x0010 (Standard query)
        0... .... .... .... = Response: Message is a query
        .000 0... .... .... = Opcode: Standard query (0)
        .... ..0. .... .... = Truncated: Message is not truncated
        .... ...0 .... .... = Recursion desired: Don't do query recursively
        .... .... .0.. .... = Z: reserved (0)
        .... .... ...1 .... = Non-authenticated data OK: Non-authenticated data is acceptable

A mensagem "Non-authenticated data OK: Non-authenticated data is acceptable" presente no campo RCODE pode ser traduzida como o CLIENTE_DNS desejando estabelecer uma conexão com o SERVIDOR_DNS utilizando EDNS0, ou seja, Extension Mechanisms for DNS.

Para mais detalhes acesse a RFC 2671.

Fonte: http://osdir.com/ml/network.dns.bind9.user/2003-09/msg00098.html

Boa sorte

Sem Sorte no sort - No space left on device

2009-12-05T15:44:00.000-04:00

Investigando alguns arquivos precisei organizar 793464 linhas do "arquivo.txt" quando o sort retornou o erro por falta de espaço em disco

cat arquivo.txt | sort -n -k1 -r
/tmp: write failed, filesystem is full
sort: write failed: /tmp/sortvQKTQo: No space left on device

Como resolver o seguinte problema?

Fácil. Crie um diretório temporário seu próprio HOME, se tiver espaço é claro, e depois execute o comando sort com os seguintes parâmetros:

cat arquivo.txt | sort -n -k1 -r -T ~/TEMP/

Tanto no Debian Lenny quando no FreeBSD o comando acima funciona sem erros (não sei outras distros, sorry)

PS: Quando você instalar um servidor para vários usuários escolha muito bem a forma de particionar o HD para evitar alguns problemas de falta de espaço.

Leitura recomendada

2009-12-04T18:59:00.000-04:00

Para quem está interessado em aprender algumas abordagens de testes de penetração em aplicações web, sugiro a leitura do OWASP Testing Guide V3.0 Project

The OWASP Testing Guide includes a "best practice" penetration testing framework which users can implement in their own organizations and a "low level" penetration testing guide that describes techniques for testing most common web application and web service security issues.

Download: http://www.owasp.org/index.php/Category:OWASP_Testing_Project

Festa na Prodam

2009-12-03T23:17:00.004-04:00

Atualizado
Parece que mais uma vez a infra-estrutura da PRODAM (Processamento de dados do Amazonas) foi comprometida pelo atacante chamado infos.pcx s4r4d0

1) Site oficial do Governo do Amazonas (já tiraram do ar)

2) Agencia de Comunicação do Estado do Amazonas

Outra

3) Site da PRODAM

(Atualização)
Estava lendo um jornal da cidade, 04/12/2009, e vi uma declaração do diretor de tecnologia da Prodam afirmando que os sites da Prodam nunca tiveram seus serviços comprometidos. É mesmo? E o que isso aqui quer dizer?

http://www.zone-h.com.br/component/option,com_attacks/Itemid,43/filter_ip,200.242.43.143
http://www.zone-h.com.br/component/option,com_attacks/Itemid,43/filter_domain,www.amazonas.am.gov.br

"All this has happened before, and all of it will happen again"

Solução para Network Forensics Puzzle Contest #2

2009-11-25T02:50:00.002-04:00

Depois de 45 dias, finalmente o pessoal do Network Forensics Puzzle Contest liberou as respostas para o segundo Puzzle. As respostas para este desafio podem ser encontradas aqui: http://forensicscontest.com/2009/11/24/puzzle-2-answers

Respostas da Network Forensic

1. What is Ann’s email address?
Answer 1: sneakyg33k@aol.com

2. What is Ann’s email password?
Answer 2: 558r00lz

3. What is Ann’s secret lover’s email address?
Answer 3: mistersecretx@aol.com

4. What two items did Ann tell her secret lover to bring?
Answer 4: A fake passport and a bathing suit

5. What is the NAME of the attachment Ann sent to her secret lover?
Answer 5: secretrendezvous.docx

6. What is the MD5sum of the attachment Ann sent to her secret lover?
Answer 6: 9e423e11db88f01bbff81172839e1923

7. In what CITY and COUNTRY is their rendez-vous point?
Answer 7: Playa del Carmen, Mexico

8. What is the MD5sum of the image embedded in the document?
Answer 8: aadeace50997b1ba24b09ac2ef1940b7

Minha Solução

Baixando o arquivo .pcap

wget -c http://forensicscontest.com/contest02/evidence02.pcap

Utilize o tcpflow[1] para entender o comportamento de comunicação entre os hosts.

Instalando o tcpflow no Debian Lenny

sudo aptitude install tcpflow

tcpflow -r evidence02.pcap

O resultado do comando criará 4 arquivos:

064.012.102.142.00587-192.168.001.159.01036
064.012.102.142.00587-192.168.001.159.01038
192.168.001.159.01036-064.012.102.142.00587
192.168.001.159.01038-064.012.102.142.00587

Explicando:

064.012.102.142.|  00587  | - | 192.168.001.159.| 01036
source_ip         src_ptr      destination_ip    dst_ptr

Consultando a documentação do SMTP [2] (Simple Mail Transfer Protocol) e a RFC 4409, Message Submission for Mail, podemos entender um pouco mais do detalhes desta comunicação.

O emprego da porta 587 tenta restringir que programas de código malicioso enviem SPAM para outros domínios. Esta solução é uma alternativa para a limitação do SMTP que não faz autenticação de seus usuários.

Abrindo o arquivo 064.012.102.142.00587-192.168.001.159.01036 podemos observar o seguinte conteúdo:

$ cat 064.012.102.142.00587-192.168.001.159.01036

220 cia-mc06.mx.aol.com ESMTP mail_cia-mc06.1; Sat, 10 Oct 2009 15:35:16 -0400
250-cia-mc06.mx.aol.com host-69-140-19-190.static.comcast.net
250-AUTH=LOGIN PLAIN XAOL-UAS-MB
250-AUTH LOGIN PLAIN XAOL-UAS-MB
250-STARTTLS
250-CHUNKING
250-BINARYMIME
250-X-AOL-FWD-BY-REF
250-X-AOL-DIV_TAG
250-X-AOL-OUTBOX-COPY
250 HELP
334 VXNlcm5hbWU6
334 UGFzc3dvcmQ6
235 AUTHENTICATION SUCCESSFUL
250 OK
250 OK
354 START MAIL INPUT, END WITH "." ON A LINE BY ITSELF
250 OK
221 SERVICE CLOSING CHANNEL

Neste arquivo podemos encontrar o usuário (e-mail) e a senha das perguntas 1 e 2. Para entender melhor, visualize este tráfego no Wireshark.

wireshark -r evidence02.pcap

Utilize o Filtro: smtp, conforme ilustra a figura abaixo:

De acordo com a RFC 2554 [3], SMTP Service Extension for Authentication, "S" denota uma mensagem enviada pelo Servidor de E-mail e "C" uma mensagem enviada pelo Cliente.

Então as linhas "334 VXNlcm5hbWU6" e "334 UGFzc3dvcmQ6" querem dizer? Estas linhas estão codificadas na BASE64, portanto, podemos quebrá-las de duas formas (ou mais) para descobrir seu significado.

Instalando o metamail no Debian Lenny

sudo aptitude install metamail

Decodificando VXNlcm5hbWU6:

printf "VXNlcm5hbWU6" | mimencode -u
ou
printf "VXNlcm5hbWU6" | base64 -d

Decodificando UGFzc3dvcmQ6:

printf "UGFzc3dvcmQ6" | mimencode -u
ou
printf "UGFzc3dvcmQ6" | base64 -d

O primeiro é "Username:" e o segundo "Password:"

Se você observar com mais cuidado, perceberá que os arquivos iniciando com 192.168* possuem tamanho distintos, 1,5K e 280K.

Analisando o arquivo 192.168.001.159.01036-064.012.102.142.00587:

$ head 192.168.001.159.01036-064.012.102.142.00587
EHLO annlaptop
AUTH LOGIN
c25lYWt5ZzMza0Bhb2wuY29t
NTU4cjAwbHo=
MAIL FROM:
RCPT TO:
DATA
Message-ID: <000901ca49ae$89d698c0$9f01a8c0@annlaptop>
From: "Ann Dercover"
To:

Neste conteúdo o mais imporante são as duas linhas que seguem logo abaixo do "AUTH LOGIN".
Usuário: c25lYWt5ZzMza0Bhb2wuY29t e Senha: NTU4cjAwbHo=

Decodificando o usuário:

printf "c25lYWt5ZzMza0Bhb2wuY29t" | mimencode -u
ou
printf "c25lYWt5ZzMza0Bhb2wuY29t" | base64 -d

Resultado da #1 pergunta: sneakyg33k@aol.com

Decodificando a senha:

printf "NTU4cjAwbHo=" | mimencode -u
ou
printf "NTU4cjAwbHo=" | base64 -d

Resultado da #2 pergunta: 558r00lz

Se você olhou o segundo arquivo 192.168.001.159.01038-064.012.102.142.00587, percebeu que o conteúdo do mesmo deixa mais eviente quem é o namorado (amante) da Ann

head 192.168.001.159.01038-064.012.102.142.00587
...
RCPT TO:
...

Resultado da #3 pergunta: mistersecretx@aol.com

Como o arquivo maior possui mais dados, vamos analisá-lo com mais calma. Observe as linhas 33 e 34 abaixo:

33 Hi sweetheart! Bring your fake passport and a bathing suit. Address =
34 attached. love, Ann

Ok, então a resposta para a pergunta de número 4 foi encontrada.

Resultado da #4 pergunta: Bring your fake passport and a bathing suit

Agora precisamos descobrir o nome do arquivo que foi enviado para o amante da Ann. Observe a linhas 56 abaixo:

56 name="secretrendezvous.docx"

Resultado da #5 pergunta: secretrendezvous.docx

Um ponto interessante a ser notado é a linha 57 que informa a codificação que a mensagem está armazenada. "Content-Transfer-Encoding: base64"

Tudo o que estiver entre as linhas 61 e 3700, você pode extrair, por que este montante de texto é o arquivo que precisamos abrir.

sed -n '61,3700p' 192.168.001.159.01038-064.012.102.142.00587 > secret.txt

Agora, vamos decodificar no formato base64

cat secret.txt | base64 -d > secret.docx
ou
perl -MMIME::Base64 -ne 'print decode_base64($_)' < secret.txt > secret.docx

Descobrindo a resposta do questionamento 6

md5sum secret.docx

Resultado da #6 pergunta: 9e423e11db88f01bbff81172839e1923

Utilize o OpenOffice.org ou o BrOffice.org para abrir o arquivo secret.docx

Resultado da #7 pergunta: Playa del Carmen, Mexico

Até onde sei, todo documento .docx, na verdade, é um arquivo compactado zip, portanto, vamos extrair a figura da última pergunta.

unzip secret.docx

E depois

md5sum word/media/image1.png

Resultado da #8 pergunta: aadeace50997b1ba24b09ac2ef1940b7

Outras soluções já publicadas
http://www.offenseindepth.com/smtpcat/puzzle2.txt
http://john.scillieri.com/blog/2009/11/solving-the-network-forensics-puzzle-contest-2/

Obrigado aos organizadores do Puzzle, foi muito divertido!

Algumas Fontes:
1 - http://www.circlemud.org/~jelson/software/tcpflow/
2 - http://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol
3 - http://www.rfc-archive.org/getrfc.php?rfc=2554
http://www.gadgetwiz.com/protocols/smtp-auth-example.html
http://perl.active-venture.com/lib/MIME/Base64.html
http://www.activexperts.com/support/activemail/auth/

Porque a saúde pública no Brasil é um caos?

2009-11-22T15:15:00.001-04:00

Não foi a primeira vez que questionei a eficiência da saúde pública brasileira. Infelizmente, sempre chego à mesma conclusão; a saúde pública não precisa de mais investimento, na verdade, o que falta é "o paciente correto".

Desconheço a realidade da saúde pública de outros estados brasileiros. Mas pela média, descrita em jornais, internet, TV, acho que posso supor que a situação repete-se do norte ao sul. Além disso, não posso culpar os hospitais particulares pelo caos que ocorre diariamente na vida do cidadão mais humilde, quem possui renda extra pode e deve buscar soluções alternativas para sarar uma enfermidade.

Esta semana, 19/11/2009, tive que levar meu Tio ao hospital João Lúcio, localizado aqui em Manaus, Amazonas. João Lúcio é um hospital relativamente novo, foi reformado recentemente, mais de 200 novos leitos foram entregues, conforme a reportagem do jornal Amazonas Em Tempo

Mesmo com 200 novos leitos, muitos pacientes estavam recebendo tratamento no corredor, pessoas com doenças graves, outras não. Ou seja, a realidade diária de um hospital público.

Fiquei pensando porque que as pessoas tinham que ser submetidas a este tipo de exposição? Porque devemos acordar às 3h para conseguir uma senha no INSS? Porque o povo mais humilde só se fode neste país?

Procurei, procurei, perguntei de alguém e não achei nenhum "o paciente correto". Perguntei ainda se um dia "o paciente correto" já passara por ali. Ninguém nunca viu ou ouviu falar.

Lembrei que ouvi há muito tempo que atual prefeito da cidade de Manaus, Amazonino Mendes, na época, Governador, havia sido internado no hospital João Lúcio por causa de um problema de saúde.

Oras, quer dizer então que um dia algum "o paciente correto" já tivera utilizado um hospital público? Parece que foi verdade, não sei.

Acredito que a saúde pública não precisa de mais investimentos, já pagamos uma tonelada de impostos diariamente. Porque devemos pagar ainda mais? Alguns deputados desejam a volta da CPMF.Sou totalmente contra esta idéia iluminada.

O representante do povo, vereador, deputado e senador não deve ter um plano de saúde privado. Quer dizer, o representante do povo, "o paciente correto", a partir do momento que utilizasse o mesmo serviço que seu eleitorado encara diariamente, o sistema de saúde brasileira seria a melhor do mundo.

Faço o seguinte desafio a qualquer político: Utilize o SUS (sistema único de saúde) durante 4/8 anos, o tempo do seu mandato político. No final deste período, faça uma análise para ver o que realmente mudou ou não na saúde.

É muito fácil falar sobre políticas da saude brasileira sem mesmo utilizá-la.

Tudo é uma questão de ponto de vista

2009-11-17T12:18:00.000-04:00

DNS tcpdump hacks

2009-11-17T01:33:00.003-04:00

O tcpdump é o verdadeiro canivete suíço de todo o administrador de sistemas e operadores de rede. A partir dos filtros de pacotes Berkley (Berkeley Packet Filter - BPF) podemos estender as funcionalidades do tcpdump.

Cabeçalho UDP / UDP Header
Por exemplo, o cabeçalho do UDP definido na RFC.

Filtros UDP para cada campo do cabeçalho UDP.

udp[0:2] = source port
udp[2:2] = destination port
udp[4:2] = datagram length
udp[6:2] = UDP checksum

Digamos que deseja-se obter apenas consultas UDP menores que 36 bytes. Para entender o exemplo, faça o download do arquivo dns.pcap do site do wireshark.

Podemos observar a imagem abaixo referente a seleção de um pacote. Expandindo o User Datagram Protocol (UDP), podemos observar os campos do cabeçalho UDP.

É importante notar em "Length" que 36 (decimal) bytes equivale a 0024 em hexadecimal, portanto para filtrarmos pacotes com esta característica, o filtro do tcpdumpo ficaria:

tcpdump -n -l -r dns.cap udp[4:2] = 0x0024

Se desejarmos filtrar apenas consultas UDP maiores que 36 bytes e menores que 50 bytes, o filtro tcpdump ficaria:

tcpdump -n -l -r dns.cap 'udp[4:2] >= 0x0024 and udp[4:2] <= 0x0032'

Cabeçalho DNS / DNS Header

Agora que ficou claro como funciona o filtro para o UDP, vamos fazer algumas consultas DNS mais rebuscadas.

Praticamente todas as consultas DNS trafegam em cima do protocolo UDP, a não ser aquelas utilizadas para transferência de zona de domínio. Esta característica permite acessar os campos do cabeçalho DNS utilizando o mesmo filtro UDP. Por exemplo, como o último campo do UDP equivale a 'upd[6:2]', então, o próximo campo do DNS, query ID, poderia ser acessado com o filtro 'udp[8:2]'. Já o campo "Flags and Codes" equivale a 'udp[10:2]'. Vejamos mais exemplos abaixo.

A figura a seguir apresenta o cabeçalho DNS que permitirá o entendimento dos próximos exemplos.

No cabeçalho ilustrado, estamos apenas interessados no campo: "Flags and Codes". Este campo permite identificar se uma consulta DNS é uma solicitação ou uma resposta, se a resposta foi enviada por um servidor autoritário pelo domínio, mensagens truncadas, etc. Sugiro a leitura dos parâmetros do DNS no site da IANA e a RFC 1035 do DNS

A imagem a seguir apresenta alguns parâmetros habilitados no campo estudado.

O campo QR (query-response flag) quando estiver marcado com '0' ilustrará uma pergunta DNS, no entanto, quando '1' for habilitado, a mensagem DNS é uma resposta.

Vejamos o exemplo do filtro tcpdump abaixo apresentando apenas consultas/queries:

tcpdump -n -l -r dns.cap 'udp[10:2] == 0x0100'

Porque o bit RD (Recursion Desired) está habilitado com '1' ? Isto acontece nos casos onde a análise do tráfego DNS é realizada do lado do cliente que possui um servidor DNS recursivo disponível. Existem também outras situações em que esta situação pode ocorrer, mas no geral, é isso mesmo.

Atenção: Se você estiver monitorando tráfego de Servidores autoritativos, sem recursividade, o resultado do filtro pode ser:

tcpdump -n -l -r dns.cap 'udp[10:2] == 0x0000'

Alguns filtros por resposta com RCODE (Response code) definido como:

No Error = 0x8180 ou 0x8580

Name Error = 0x8583

Para saber o que '0x8583' está referenciando, vamos transformar esse número em base binária, 1000010110000011. Separando os bits por campo, temos:

1  | 0000 | 1 | 0 | 1 | 1 | 000 |0011
a     b     c   d   e   f    g     h

a) = QR
b) = OPCODE
c) = AA
d) = TC
e) = RD
f) = RA
g) = Z (reservado/reserved)
h) = RCODE

É só isso. Você pode utilizar esse mapa para outras consultas mais detalhadas.

Boa sorte

Fonte:
http://trepullins.net/02-09-2008/fun-with-tcpdump-bpf-and-udp
http://www.iana.org/assignments/dns-parameters
http://www.tcpipguide.com/free/diagrams/dnsheaderformat.png
http://nmap.org/book/images/hdr/MJB-UDP-Header-800x264.png

Desafio de Segurança #2 - Forensics Contest

2009-11-07T22:05:00.000-04:00

Acabei de enviar minha solução para o desafio da Sans. Assim que sair o resultado publico minha reposta.

Segue o desafio:

Puzzle #2: Ann Skips Bail
After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town.
“We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the police chief. “The packet capture may contain clues to her whereabouts.”
You are the forensic investigator. Your mission is to figure out what Ann emailed, where she went, and recover evidence including:
1. What is Ann’s email address?
2. What is Ann’s email password?
3. What is Ann’s secret lover’s email address?
4. What two items did Ann tell her secret lover to bring?
5. What is the NAME of the attachment Ann sent to her secret lover?
6. What is the MD5sum of the attachment Ann sent to her secret lover?
7. In what CITY and COUNTRY is their rendez-vous point?
8. What is the MD5sum of the image embedded in the document?
Please use the Official Submission form to submit your answers. Prize TBD.
Here is your evidence file:
http://forensicscontest.com/contest02/evidence02.pcap
MD5 (evidence02.pcap) = cfac149a49175ac8e89d5b5b5d69bad3

Para mais detalhes, acesse: http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail