The Twenty Most Critical Internet Security Vulnerabilities The Experts Consensus

Version 5.0 October 8, 2004 Copyright (C) 2001-2004, SANS Institute Perguntas e comentrios podem ser enviados a top20@sans.org. ----- Ir ao Indice das Ameaas Top 20 -----

Introduo The SANS Top 20 Internet Security Vulnerabilities A grande maioria dos worms e outros ataques bem sucedidos possvel graas a vulnerabilidades em um pequeno nmero de servios mais comuns nos sistemas operacionais. Os atacantes informticos so oportunistas. Eles pegam os caminhos mais fceis e convenientes e exploram as falhas mais conhecidas com as ferramentas amplamente conhecidas. Eles contam que as organizaes no corrigem os problemas, e geralmente fazem um scanning indiscriminado por toda a internet, procurando sistemas vulnerveis. A disseminao fcil e destrutiva dos worms, como o Blaster, Slammer e Code Red, pode ser ligada diretamente explorao de vulnerabilidades no corrigidas. Quatro anos atrs, o SANS Institute, em conjunto com o National Infrastructure Protection Center (NIPC) e o FBI lanou um documento com um sumrio das 10 Vulnerabilidades Mais Criticas da Internet. Milhares de organizaes utilizaram aquela e as listas Top 20 que se seguiram nos anos seguintes, para priorizar seus esforos para que eles ento pudessem fechar primeiro as falhas mais perigosas. Os servios vulnerveis que levaram aos exemplos acima, Blaster, Slammer, e Code Red, assim como o worm NIMDA, esto naquela lista. Esta lista atualizada do SANS Top 20 na verdade duas listas Top 10: os 10 servios vulnerveis mais comuns no Windows e os 10 servios vulnerveis mais comuns explorados nos UNIX e Linux. Embora existam milhares de incidentes de segurana todos os anos que afetam esses sistemas operacionais, a grande maioria dos ataques visa um ou mais destes vinte servios vulnerveis. A lista Top 20 um consenso de uma lista de vulnerabilidades que exigem aes imediatas. Ela o resultado de um processo que juntou dezenas de especialistas em segurana lideres em suas reas. Eles vem das agencias federais mais preocupadas com questes de segurana, como US, UK e Singapura; de empresas lideres produtoras de software de segurana e de consultoras; de universidades com os melhores programas de segurana; muitas outras organizaes; e do SANS Institute. A lista dos participantes pode ser encontrada no final deste documento. A lista Top 20 do SANS um documento dinmico. Ela inclui instrues passo a passo e referencias a informaes adicionais que podem ser teis para a correo das falhas de segurana. Atualizaremos a lista e suas instrues medida que se identifiquem ameaas mais crticas e mtodos mais recentes ou apropriados de proteo, e agradecemos suas sugestes durante todo esse processo. Este um documento com o consenso da comunidade sua experincia em combater atacantes e eliminar

vulnerabilidades pode ajudar a outras pessoas. Por favor, envie suas sugestes por email a top20@sans.org

Notas para os Leitores

Numeros CVE Voc encontrar referncias aos nmeros CVE (Common Vulnerabilities and Exposures) que acompanham cada vulnerabilidade. Tambm poder encontrar nmeros CAN. Os nmeros CAN so candidatos a nmeros CVE que ainda no foram completamente verificados. Para maiores detalhes sobre o projeto premiado CVE, veja http://cve.mitre.org. Os nmeros CVE e CAN refletem as vulnerabilidades top que deveriam ser tratadas para cada item. Cada referencia de vulnerabilidade CVE tem um link com o registro de vulnerabilidade no servio de indexao de vulnerabilidades ICAT do National Institute of Standards and Technology (http://icat.nist.gov). O ICAT proporciona uma breve descrio de cada vulnerabilidade, uma lista de caractersticas de cada vulnerabilidade (como intervalo de ataque associado e dano potencial), uma lista dos nomes do software vulnervel e nmeros de verso, e links a vulnerability advisory e informao de patches. Portas a Bloquear no Firewall ---- Ir ao Indice das Portas Vulneraveis Mais Comuns ---Ao final do documento, voc encontrar uma seo extra que inclue uma lista das portas que so comumente sondadas e atacadas. Ao bloquear o trfego estas portas no firewall ou em outro dispositivo de proteo na rede de permetro, voc estar adicionando um nvel extra de defesa que ajudar a proteger dos erros e omisses de configurao. Note, no entanto, que usar um firewall ou roteador para bloquear trfego de rede direcionado a uma porta especfica no protege a essa porta de ataques de usurios internos ou de hackers que tenham penetrado na sua rede usando outros meios. Tambm muito mais segura a prtica de implementar a denegao ou bloqueio default para impedir todo trfego que no esteja explicitamente permitido nas configuraes de firewalls e roteadores, em lugar de bloquear portas especficas. back to top ^

Vulnerabilities Top nos Sistemas Windows

W1 Servidores Web W2 O Servio Workstation W3 Servios de Acesso Remoto W4 Microsoft SQL Server (MSSQL) W5 Autenticao W6 Web Browsers W7 Programas de File-Sharing W8 Exposies do LSASS W9 Clientes de Email W10 Instant Messaging

Vulnerabilidades Top nos Sistemas UNIX

U1 BIND Domain Name System U2 Servidores Web U3 Autenticao U4 Version Control Systems U5 Servios de Transporte de Email U6 Simple Network Management Protocol (SNMP) U7 Open Secure Sockets Layer (SSL) U8 Configuraes Errneas dos Servios NIS/NFS U9 Bancos de Dados U10 Kernel back to top ^

Vulnerabilidades Top nos Sistemas Windows (W)

W1 Servidores Web W1.1 Descrio As instalaes default de vrios servidores HTTP e componentes adicionais para atender os requests HTTP bem como o streaming de mdia na Internet das plataformas Windows mostraram ser vulnerveis a vrios ataques ao longo do tempo. O impacto dessas vulnerabilidades podem incluir: Denial of Service Exposio ou compromisso de arquivos confidenciais ou dados Execuo de comandos arbitrrios no servidos Comprometer completamente o servidor

Os servidores HTTP como o IIS, Apache, e iPlanet (agora SunOne) tiveram muitos problemas que foram remendados com patches na medida em que foram sendo descobertos. Assegure-se que todos os patches esto atualizados para o servidor e que a verso mais recente a que est rodando. Na maioria das instalaes de software dos servidores HTTP a configurao default esta aberta deixando grandes brechas para serem exploradas. Assegure-se de dedicar tempo para ajustar a configurao de maneira a permitir somente um conjunto mnimo de caractersticas requerido para o sitio web operar adequadamente. O IIS usa um lao de programao conhecido como ISAPI para associar arquivos que tenham determinadas extenses com DLLs (conhecidas como filtros ISAPI). Preprocessadores como ColdFusion e PHP usam ISAPI, e o IIS inclui muitos filtros ISAPI para controlar funes tais como Active Server Pages (ASP), servios web .Net, e o compartilhamento de impressoras baseado na web. Muitos filtros ISAPI instalados por default com o IIS no so necessrios na maioria das instalaes, e mutiods desses filtros so explorveis. Exemplos de programas maliciosos que usam este tipo de mecanismo de propagao incluem os conhecidos worms Code Red e Code Red 2. Habilite somente as extenses ISAPI que o servidor web necessita reconhecer. Tambm aconselhvel restringir as opes HTTP que possam ser usadas com cada extenso ISAPI permitida. A maioria dos servidores web inclui exemplos de programas ou stios web desenhados para demonstrar a funcionalidade do servidor web. Esses programas no foram desenhados para operar de maneira segura em um ambiente de produo. Alguns

desses programas de exemplo esto permitidos visualizar ou sobrescrever arquivos arbitrrios bem como acesso remoto a outras informaes crticas do servidor, incluindo a senha do administrador. Remova esses programas antes de colocar o servidor em produo. Uma instalao IIS que no se efetue manuteno peridica tambm est sujeita s vulnerabilidades descobertas desde a data de publicao do software. Os exemplos incluem as vulnerabilidades relacionadas a PCT e SSL que foram tratadas pelo patch MS04-011 da Microsoft, e que poderiam permitir uma condio Denial of Service ou permitir que um atacante tome controle do servidor. A instalao a tempo de patches nos servidores de acesso pblico critica. Add-nos de terceiros para web tais como ColdFusion e PHP podem trazer vulnerabilidades adicionais numa instalao IIS, tanto por configurao inadequada ou atravs de vulnerabilidades prprias do produto. W1.2 Sistemas Operacionais Afetados Todos os sistemas Microsoft Windows com um servidor web instalado so passiveis de ser afetados. Isso inclui, mas no est limitado a: Microsoft IIS: Windows NT4.0 ou superior, incluindo XP Professional Apache HTTP server: Windows NT 4.0 SP3 ou superior, tambm podem estar rodando em Win95 e Win98 Sun Java System/Sun One/iPlanet Web Server: Windows NT 4.0 SP6 ou superior

Observao: Windows 2000 Server vem com o IIS instalado por default, tal como muitos descobriram durante a infames erupes do Nimda e do Code Red. Ademais, alguns aplicativos de terceiros requerem a funcionalidade oferecida pelo IIS, possivelmente resultando em administradores instalando esse software sem que se dem conta. Nunca suponha que uma rede est imune a ataques ao servidor web simplesmente porque o servidor web no foi intencionalmente instalado; audite regularmente as redes buscando por servidores web "rogue". Veja "Como determinar se voc est vulnervel" abaixo para mais informao. W1.3 Referncias CVE/CAN a. IIS CVE CVE CVE CVE entries entries entries entries for for for for IIS IIS IIS IIS 2.0 3.0 4.0 5.0

b. Apache CAN-2001-0729, CAN-2002-0249, CAN-2002-0654, CAN-2002-0661, CAN2002-0661, CAN-2003-0016, CAN-2003-0017, CAN-2003-0460, CAN-20030844, CAN-2004-0492, CAN-2004-0493 CVE-1999-0448, CVE-2000-0505, CVE-2001-1342, CVE-2001-1342 Mdulos Apache: CAN-2003-0844, CAN-2004-0492

c. iPlanet/Sun

CAN-2002-0686, CAN-2002-1042, CAN-2002-1315, CAN-2002-1315, CAN2002-1316, CAN-2003-0411, CAN-2003-0412, CAN-2003-0414, CAN-20030676, CAN-2003-0676 CVE-2000-1077, CVE-2000-1077, CVE-2001-0252, CVE-2001-0327, CVE-20010327, CVE-2002-0845, CVE-2002-0845

d. Add-ons

CAN-1999-0455, CAN-1999-0477, CAN-1999-1124, CAN-2001-0535, CAN2001-1120, CAN-2002-1309, CAN-2003-0172 CVE-1999-0756, CVE-1999-0922, CVE-1999-0924, CVE-2000-0410, CVE-20000538

ColdFusion: CVE-1999-0756 CVE-1999-0760, CVE-1999-0922, CVE-19990924, CAN-2002-1309, CAN-2004-0407, CVE-2000-0189, CVE-2000-0382, CVE-2000-0410, CVE-2000-0538, CVE-2002-0576 PHP: CAN-2002-0249, CAN-2003-0172 e. Outros Servios CAN-1999-1369, CAN-2003-0227, CAN-2003-0349, CAN-2003-0725, CAN2003-0905 CVE-1999-0896, CVE-1999-1045, CVE-2000-0211, CVE-2000-0272, CVE-20000474, CVE-2000-1181, CVE-2001-0083 eEye SecureIIS: CAN-2001-0524 Jakarta Tomcat: CAN-2003-0045 W1.4 Como determinar se voc est vulnervel Toda as instalaes default ou sem aplicao de patches de servidores web se supe que esto vulnerveis. A maioria dos vendedores de servidores e servios web fornece uma abundancia de informao relacionada aos problemas atuais de segurana. Os exemplos incluem: Apache HTTP Server Main Page & Security Report Microsoft TechNet Security Centre Microsoft Internet Information Server (IIS) Security Centre Sun Web, Portal, & Directory Servers Download Centre Macromedia Security Zone Real Networks Security Issues PHP Home Page e Downloads

Tambm verifique todos os patches de servio associados ao servidor web bem como as revises de software, incluindo configuraes, informaes de segurana que vo em contra o vendedor e a CVE database regularmente para avaliar a vulnerabilidade potencial. importante compreender que se descobrem novos problemas regularmente e uma boa pratica consultar a base de dados CVE para avaliar adequadamente a vulnerabilidade potencial.

Existem algumas ferramentas de avaliao locais e remotas para ajudar os administradores de servidores web a auditar suas redes, incluindo: Nessus (Open-source) SARA (Open-source) Nikto (Open-source) eEye Free Utilities & Commercial Scanners Microsoft Baseline Security Analyzer (especfico de IIS)

Recomenda-se rodar ferramentas remotas de avaliao de vulnerabilidade em toda a rede, em vez de faz-lo somente em servidores conhecidos, para avaliar a vulnerabilidade potencial de instalaes de servidores web "rogue". W1.5 Como se proteger Para a maioria dos sistemas 1. Aplique os patches apropriados ao servio HTTP bem como ao Sistema Operacional e qualquer aplicativo instalados no mesmo host. Atualize os patches e mantenha-os em dia. 2. Instale anti-virus local e software de Deteco de Intrusos baseado em host. Assegure-se de manter ambos atualizados com relao aos patches e revisar os arquivos de log freqentemente. 3. Desabilite interpretadores de script que no esto em uso e remova seus executveis. Por exemplo; perl, perlscript, vbscript, jscript, javascript, e php. 4. Habilite logging no caso de que se encontre disponvel e revise os arquivos de log freqentemente, preferivelmente atravs de um processo automatizado que sumariza os eventos e reporta excees e eventos suspeitosos. 5. Use sistema do tipo syslog para armazenar os arquivos de logs do Sistema Operacional e logs HTTPd de maneira segura em outro sistema. 6. Remova ou restrinja as ferramentas de sistema que so comumente usadas por atacantes para ajud-los com o comprometimento inicial e expandir alem do host que serviu de vitima inicial. Por exemplo; tftp(.exe), ftp(.exe), cmd.exe, bash, net.exe, remote.exe, e telnet(.exe). 7. Limite os aplicativos rodando no host ao servio/daemon HTTP e seus servios de apoio. 8. Sempre que for possvel, no execute autenticao de domnio ou de outro tipo neste host. 9. Conhea e minimize qualquer meio que permita comunicao com a parte interior da rede e que so realizados atravs o servidor(es) web publico. Por exemplo, compartilhamentos NetBIOS, relaes de confiana, e interao de bases de dados. 10. Use convenes de nomes de contas e esquemas de senhas diferentes entre os sistemas acessveis publicamente e os sistemas internos da rede. Qualquer vazamento de informao de um sistema acessvel publicamente no deveria favorecer um ataque aos sistemas internos. a. IIS Instalar patches num servidor durante a instalao necessrio mas no suficiente. medida que se descobrem novas debilidades do IIS, aplique os patches correspondentes. O Windows Update e Automatic update so opes para instalaes de servidores nicos. HFNetChk, o Network Security Hotfix Checker, ajuda o

administrador de sistemas a escanear sistemas locais ou remotos em busca de patches atualizados. Essa ferramenta funciona com Windows NT 4, Windows 2000, e Windows XP. A ltima verso pode ser baixada da Microsoft em http://www.microsoft.com/technet/security/tools/hfnetchk.asp. Ademais, h um documento til titulado Securing a Windows 2000 IIS Web Server Lessons Learned por Harpal, pode ser encontrado na SANS Reading Room. Use IIS Lockdown Wizard para robustecer a instalao Microsoft publicou uma ferramenta simples para ajudar a assegurar instalaes IIS e que se conhece como IIS Lockdown Wizard. A verso atual pode ser baixada da Microsoft em http://www.microsoft.com/technet/security/tools/locktool.asp Rodando o IIS Lockdown Wizard em modo "custom" ou "expert" permitira as seguintes modificaes recomendadas a serem realizadas numa instalao IIS: Desabilitar WebDAV (a menos que o ambiente inevitavelmente o requeira para a publicao de contedo web). Eliminar mapeos de extenses ISAPI desnecessrias (incluindo .htr, .idq, .ism, e .printer em particular). Eliminar os programas de exemplo. Impedir o servidor web de executar comandos que so comumente usados em um comprometimento (Por exemplo, cmd.exe e tftp.exe). A SANS Reading Room contm o documento Using Microsofts IISlockdown tool to protect your IIS Web Server por Jeff Wichman que trata especificamente da ferramenta IISlockdown. Use URLScan para filtrar requerimentos HTTP Muitos exploits IIS, incluindo o Code Blue e o Code Red usam pacotes maliciosamente formados de HTTP em ataques directory traversal ou buffer overflow. O filtro URLScan pode ser configurado para rejeitar esses pacotes antes que o servidor tenta processlos. A verso atual esta integrada no IIS Lockdown Wizard, mas pode ser baixada separadamente da Microsoft em http://www.microsoft.com/technet/security/tools/urlscan.mspx. b. Apache Os problemas de controle de acesso, restrio por IP e os mdulos de segurana Apache, bem como diversos outros assuntos, so discutidos na pgina Apache Tutorials. Ademais, Securing Apache: Step-by-Step por Artur Maj um documento muito til que se encontra na SANS Reading Room e que cobre detalhadamente as tarefas de assegurar um servidor Apache. c. iPlanet/Sun One Edmundo Farinas trata do tpico assegurar iPlanet em seu documento Security Considerations for the iPlanet Enterprise Web Server on Solaris o qual se encontra na SANS Reading Room.

Ademais, Sun publica o documento Sun ONE Application Server Security Goals que detalha os passos recomendados para assegurar um servidor iPlanet/Sun One. d. Add-ons Em caso que se usem add-ons de terceiros tais como ColdFusion, PerlIIS, ou PHP verifique os sites dos vendedores para encontrar patches, bem como conselhos de configuraes. Por razes bvias, Microsoft no inclui patches de terceiros no Windows Update ou servios relacionados. Para informao sobre como proteger ColdFusion, veja o documento da SANS Reading Room titulado Web Application Security, with a Focus on ColdFusion por Joseph Higgins. Localizado na SANS Reading Room, Securing PHP: Step-by-step por Artur Maj ilustra o processo de assegurar aplicativos PHP. Ademais, um recurso til o PHP Manual, Chapter 16. Security, que trata a segurana de PHP detalhadamente. e. Outros servios Enquanto h passos gerais listados acima que podem ser tomados para assegurar a maioria dos servios web, cada servidor geralmente tem seu conjunto prprio de atualizaes e patches fornecidas pelo vendedor, configuraes recomendadas, e caractersticas de logging. Revise a documentao incluindo toda informao colocada no web site do vendedor e assegure-se de registrar para cada servio de notificao e newsletter que ele tenha disponvel. Isto ajudara a mant-lo informado de pontos importantes de segurana e a trat-los rpida e eficientemente. back to top ^ W2 O Servio Workstation W2.1 Descrio O servio Windows Workstation responsvel pelo processamento de peties de usurios para acessar a recursos tais como arquivos e impressoras. O servio determine se o recurso se encontra no sistema local ou em um compartilhamento na rede, e reenvia apropriadamente o correspondente requerimento. As funes de gerenciamento de redes oferecidas pelo servio podem ser invocadas atravs de qualquer dos seguintes mecanismos: Chamadas DCE/RPC sobre o protocolo SMB com conexo prvia ao servio usando o named pipe \\pipe\wkssvc. Chamadas diretas DCE/RPC por uma porta UDP (> 1024) Chamadas diretas DCE/RPC por uma porta TCP (> 1024) Note que o servio se enlaa primeira porta disponvel TCP ou UDP que seja maior que 1024. O servio Workstation contm um buffer overflow baseado no stack que pode ser ativado por uma chamada DCE/RPC especialmente construda. O problema surge

porque os parmetros so passados funo de logging sem nenhuma verificao de limites. Este overflow pode ser explorado por um atacante remoto no autenticado para executar cdigo arbitrrio no sistema Windows com privilgios de Sistema. O atacante pode obter controle total do sistema comprometido. O cdigo de exploit para realizar a vulnerabilidade est publicado em Internet e foi reutilizado em algumas variaes do worm Phatbot/Gaobot que infectou a milhes de sistemas em todo o mundo. W2.2 Sistemas Operacionais Afetados Windows 2000 SP2, SP3 E SP4 Windows XP Windows XP 64 Bit Edition W2.3 Referncias CVE/CAN CAN-2003-0812 W2.4 Como determinar se voc est vulnervel Os sistemas rodando Windows 2000 sem o patch MS03-049 e Windows XP sem o patch MS03-043 so vulnerveis. Verifique as seguintes entradas no registro de Windows: KB828035: Baixo HKLM\Software\Microsoft\Updates\Windows XP (Windows XP) KB828749: Baixo HKLM\Software\Microsoft\Updates\Windows 2000 (Windows 2000) Se estas entradas no esto presentes, o sistema Windows est vulnervel. Alternativamente, use um escaneador de redes como o Microsoft Baseline Security Analyzer (MBSA) para verificar se uma atualizao apropriada foi instalada. O MBSA pode ser baixado de http://www.microsoft.com/technet/security/tools/mbsahome.mspx W2.5 Como se proteger (a) Assegure-se que os sistemas Windows tenham todos os patches de segurana instalados. Especificamente assegure-se de que os sistemas Windows 2000 tenham o patch MS03-049 e os sistemas Windows XP o patch MS03-043 instalados. (b) Bloqueie as portas 139/tcp e 445/tcp no permetro da rede. Isto impede que um atacante remoto explore o overflow atravs do SMB. (c) Abra somente as portas TCP necessrias maiores que 1024 no permetro da rede. Isto impede que um atacante remoto explore o overflow atravs de chamadas DCE/RPC. Note que difcil bloquear portas UDP acima de 1024 no firewall j que as portas neste intervalo so utilizadas como portas transitrias. (d) Use o Filtrado TCP/IP disponvel em Windows 2000 e XP, ou o Internet Connection Firewall nos sistemas Windows XP para bloquear acesso entrante s portas afetadas. (e) Para aplicativos de terceiros rodando em plataformas personalizadas Windows 2000/XP assegure-se de aplicar um patch apropriado fornecido pelo vendedor. Por exemplo, Cisco publicou um advisory afirmando que h vrios produtos de Cisco vulnerveis a este overflow.Cisco tambm forneceu os patches. (f) Se o sistema stand-alone, ou seja, no pertence ao ambiente de rede Windows, ento o servio Workstation pode ser desativado sem nenhuma conseqncia.

Informao adicional: Microsoft Advisory http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx eEye Advisory http://www.eeye.com/html/Research/Advisories/AD20031111.html CERT Advisories http://www.cert.org/advisories/CA-2003-28.html http://www.kb.cert.org/vuls/id/567620 CORE Security Advisory http://archives.neohapsis.com/archives/vulnwatch/2003-q4/0066.html Cisco Advisory http://www.cisco.com/warp/public/707/cisco-sa-20040129-ms03-049.shtml Gaobot Worm http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html back to top ^ W3 Servios de Acesso Remoto W3.1 Descrio A famlia de Plataformas Operacionais Windows suporta uma variedade de diferentes mtodos e tecnologias de rede. H suporte nativo para a maioria dos protocolos de rede padro e tambm funcionalidade prpria para muitos dos mtodos e tcnicas de redes especficas de Microsoft. Entre estas tecnologias de rede especificas de MS esto os notoriamente inseguros ou mal configurados items tais como os compartilhamentos de rede NETBIOS, sesso annima null session, acesso remoto ao registro, e servios RPC. Estes items constituem uma grande parte dos exploits a nvel de rede em Windows e esto sumarizados a seguir. NETBIOS Compartilhamento de Redes Windows sem proteo, Microsoft Windows lhe d ao sistema host a habilidade de compartilhar arquivos e pastas ao longo da rede com outros hosts atravs de compartilhamento de rede Windows. O mecanismo subjacente desta caracterstica o protocolo Server Message Block (SMB), ou Common Internet File System (CIFS). Estes protocolos permitem que um host manipule arquivos remotos como se fossem locais. Apesar de que isto uma caracterstica til e poderosa de Windows, a configurao inapropriada de compartilhamentos de rede pode expor arquivos crticos do sistema ou podem oferecer um mecanismo que permita um indesejvel usurio ou programa a tomar controle total do host. Uma das maneiras em que o worm which I-Worm.Klez.ah (Klez Family), Sircam virus (veja CERT Advisory 2001-22) e worm Nimda (veja CERT Advisory 2001-26) se expandiram to rapidamente no 2001 foi descobrindo compartilhamentos de redes desprotegidos e colocando copias de si mesmos nesses compartilhamentos. Muitos proprietrios de computadores inadvertidamente abriram seus sistemas a hackers quando tinham na realidade a inteno de melhorar a eficincia de trabalho com colaboradores externos tornando seus discos legveis e permitindo escritura por usurios da rede. Entretanto, utilizando cautela para

assegurar uma configurao apropriada da rede, os riscos de compromisso podem ser adequadamente mitigados. Anonymous Logon Uma sesso nula uma sesso estabelecida sem credenciais (por exemplo, nome e senha em branco). As sesses nulas podem ser usadas para mostrar informao sobre usurios, grupos, compartilhamentos e polticas de senhas. Os servios de Microsoft Windows NT rodando como conta Local System no computador local se comunica com outros servios atravs da rede estabelecendo para isso uma sesso nula. Windows 2000 e servios mais novos rodando como conta Local System no computador local usam a conta de computador local para autenticar outros servidores. O Active Directory rodando em modo nativo no aceita consultas atravs de sesses nulas. Em modo mixto, Active Directory permite acesso compatvel PreWindows 2000, aceitando consultas de sesses nulas, as quais, por seu lado, herdam as vulnerabilidades da sesso nula de Windows NT. Remote Registry Access - Microsoft Windows 9x, Windows CE, Windows NT, Windows 2000, Windows 2003, Windows ME e Windows XP empregam uma hierarquia central de base de dados, conhecida como o registro, para gerenciar software, configuraes de dispositivos, e configuraes de usurios. Permisses imprprias ou configuraes de segurana podem permitir o acesso remoto ao registro. Os atacantes podem explorar esta caracterstica para comprometer o sistema ou tomar como base para ajustar a associao de arquivos e permisses para habilitar cdigo malicioso. Remote Procedure Calls Muitas verses dos sistemas operacionais de Microsoft (Windows NT 4.0, 2000, XP, e 2003) fornecem um mecanismo de comunicao interprocesso que permite que programas rodando em um host executem cdigo em hosts remotos. Se publicaram trs vulnerabilidades que permitiriam que um atacante execute cdigo arbitrrio em hosts suscetveis com priviliegios de Local System. Uma dessas vulnerabilidades foi explorada pelos worms Blaster/MSblast/LovSAN e Nachi/Welchia worms. H outras vulnerabilidades que poderiam permitir a atacantes a executar ataques Denial of Service contra componentes RPC. W3.2 Sistemas Operacionais Afetados Windows 95, Windows 98, Windows NT Workstation e Server, Windows Me, Windows 2000 Workstation e Server, Windows XP Home e Professional, e Windows 2003 so todos vulnerveis. W3.3 Referncias CVE/CAN NETBIOS CVE-2000-0979 CAN-1999-0518, CAN-1999-0519, CAN-1999-0621, CAN-2000-1079 Anonymous Logon CVE-2000-1200 Remote Registry Access CVE-2000-0377, CVE-2002-0049 CAN-1999-0562, CAN-2001-0045, CAN-2001-0046, CAN-2001-0047, CAN-2002-0642, CAN-2002-0649, CAN-2002-1117

Remote Procedure Calls CAN-2002-1561, CAN-2003-0003, CAN-2003-0352, CAN-2003-0528, CAN-2003-0605, CAN-2003-0715 W3.4 Como determinar se voc est vulnervel Como determinar se voc est vulnervel aos problemas relacionados ao NETBIOS. Varias ferramentas esto disponveis que podem ajudar a determinar se h vulnerabilidades relacionadas a NETBIOS em um sistema. NbtScan - NetBIOS Name Network explora os servios de compartilhamento de arquivos NETBIOS disponveis nos sistemas destino. NbtScan est disponvel em: http://www.inetcat.org/software/nbtscan.html. NLtest ferramenta extremamente potente, est includa no Windows 2000 e 2003 Support Tools (podem ser encontradas no CD do produto) e Windows NT4 Resource Kit. NLtest pode obter informao abundante sobre vulnerabilidades potenciais de configurao. Os usurios de Windows 95/98/Me podem utilizar Legion v2.11, a ultima verso do escaneador Legion File Share por Rhino9, para escanear em busca de compartilhamentos de redes Windows. Os administradores de Windows 2000 podem usar Security Fridays Share Password Checker (SPC) para escanear seus clientes de compartilhamento Windows 95/98/Me para verificar se eles so vulnerveis vulnerabilidade Share Level Password, cujo efeito revelar a senha de compartilhamento de pastas ao atacante. Para o Windows NT (SP4), Windows 2000, Windows XP, e Windows 2003, o Microsoft Baseline Security Analyser reporta hosts que esto vulnerveis aos exploits de SMB e pode ser usado para corrigir o problema. Os testes podem ser rodados localmente ou em um host remoto. Os usurios de Windows NT, Windows 2000, Windows XP, e Windows 2003 podem simplesmente digitar net share no prompt de sistema para ver quais recursos esto compartilhados. Para mais informao sobre o comando net share, digite net share /?. Nota IMPORTANTE: Este artigo contm informao sobre modificar recursos compartilhados. Antes de modificar qualquer recurso compartilhado, assegure-se de entender como restaurar o recurso se ocorrer algum problema. Recomenda-se que qualquer modificao seja amplamente testada antes de ser implementada em um ambiente de produo. Para informao sobre recursos compartilhados, clicar os seguintes nmeros de artigos para v-los na Microsoft Knowledge Base: 125996 - Saving and Restoring Existing Windows Shares 308419 - HOW TO Set, View, Change, or Remove Special Permissions for Files and Folders in Windows XP 307874 - HOW TO Disable Simplified Sharing and Password-Protect a Shared Folder in Windows XP

174273 How to Copy Files and Maintain NTFS and Share Permissions As permisses default em novos compartilhamentos: Windows NT, Windows 2000, e Windows XP (Pre Service Pack 1) Everyone - Full Control Windows XP SP1 Everyone - Read

Windows XP por default tem uma pasta compartilhada chamada "SharedDocs." A localizao fsica desse compartilhamento : "C:\Documents and Settings\All Users\Documents" Everyone Full Control A maioria das ferramentas disponiveis de scan para redes comercialmente detecta compartilhamentos abertos. Um teste rpido, grtis, e seguro da presena de compartilhamento de arquivos SMB e suas correspondentes vulnerabilidades, eficiente para computadores rodando qualquer sistema operacional Windows, est disponvel em Gibson Research Corporation web site. Siga os links at ShieldsUP para receber uma avaliao em tempo real de qualquer exposio SMB do sistema. Esto disponveis instrues detalhadas para ajudar aos usurios de Microsoft Windows a lidar com as vulnerabilidades SMB. Note que se o sistema est conectado sobre uma rede onde algum dispositivo intermdio bloqueia SMB, a ferramenta ShieldsUP reportar que dito sistema no est vulnervel quando em realidade est. Este e o caso, por exemplo, para usurios em um cable modem onde o provedor esta bloqueando SMB para dentro da rede de cable modem. ShieldsUP reportar um sistema no vulnervel. Entretanto, as outras aproximadamente 4,000 pessoas que esto no cable modem link podero explorar esta vulnerabilidade. Ferramentas automatizadas de escaneo para detectar vulnerabilidades de compartilhamento: Nessusum escaneador de segurana remoto grtis, potente, atual e fcil de usar Winfingerprint por vacuum escaneador Win32 Host/Network Enumeration Como determinar se voc est vulnervel aos problemas relacionados a Anonymous Logon. Tente estabelecer uma sesso nula ao computador utilizando o seguinte comando desde o prompt de sistema (Start --> Run --> digite cmd): C:\>net use \\ipaddress\ipc$ "" /user:"" A sintaxe precedente conecta ao compartilhamento oculto de comunicao interprocesso (IPC$) em ipaddress como usurio annimo (/user:"") com uma senha nula (). Se aparece a mensagem System error 5 has occurred. Access is denied. ento o sistema no vulnervel. Se aparece a mensagem The command completed successfully, ento o sistema vulnervel.

As ferramentas citadas acima, Nessus e Winfingerprint,tambm podem ser usadas para detectar vulnerabilidades de sesses nulas. Como determinar se voc est vulnervel aos problemas relacionados a Remote Registry Access. O NT Resource Kit (NTRK) disponvel na Microsoft contem um arquivo executvel chamado Regdump.exe que examina passivamente as permisses de acesso remoto ao registro de um host Windows NT a outro host Windows NT/Windows 2000 ou Windows XP na Internet ou na rede interna. Ademais, um coleo de scripts de linha de comando para examinar as permisses de acesso ao registro e varias outras caractersticas de segurana esto disponveis para baixar em http://www.afentis.com/top20. Como determinar se voc est vulnervel aos problemas relacionados ao Remote Procedure Call. Microsoft colocou disposio gratuita para download ferramentas de hotfix, configurao e verificao de patches; talvez essa seja a melhor maneira de determinar se os hosts Windows esto susceptveis a alguma destas vulnerabilidades. Se chama Microsoft Baseline Security Analyzer (MBSA) e est disponvel em http://www.microsoft.com/technet/security/tools/mbsahome.mspx Tambm h uma ferramenta standalone de scan que verifica se faltam unicamente patches de segurana para CAN-2003-0352, CAN-2003-0528, CAN-2003- 0605 e CAN2003-0715; ela esta disponvel em http://support.microsoft.com/?kbid=827363. Entretanto, se encoraja a utilizar o MBSA, que tem uma cobertura mais ampla. Usurios residenciais ou de redes pequenas com poucos computadores para administrar provavelmente estaro mais cmodos utilizando o Windows Update em http://windowsupdate.microsoft.com/ e verificando os computadores individualmente para detectar software desatualizado. W3.5 Como se proteger Microsoft trata as vulnerabilidades de segurana atravs dos Service Packs e hotfixes de segurana para os Sistemas Operativos e aplicativos. extremamente importante ter o Service Pack mais recente instalado no sistema. Por exemplo, o worm Sasser e seus clones (explorando a vulnerabilidade do sistema LSASS) infectaram muitos sistemas com ausncia de patches em todo o mundo, enquanto que sistemas que tinham o hotfix MS04-011 instalados foram imunes a esta vulnerabilidade extremamente perigosa. Microsoft publicou o hotfix MS04-011 varias semanas antes da apario do worm Sasser. NOTA: Windows 95 e Windows NT4 Workstation j no esto mais suportados pela Microsoft. O suporte para Windows NT4 Server expira em 31 de Dezembro de 2004. Para detalhes sobre o ciclo de vida para os sistemas operacionais e produtos suportados veja o artigo de Microsoft Product Lifecycle Dates - Windows Product Family. Para encontrar hotfixes relevantes de segurana para um sistema, utilize: O servio Windows Update (Start Windows Update). Ele detecta automaticamente todos os hotfixes de segurana requeridos em um sistema e

os instala apos o usurio selecionar (aprovar) aqueles que necessitam ser instalados. O servio de busca online Windows Security Bulletin Search localizado em: http://www.microsoft.com/technet/security/current.aspx

Enquanto os service packs atualizados e os hotfixes de segurana resolvem muitos dos problemas relacionados ao desenho de software (tais como buffer overflows, erros de desenho de cdigo etc), h varias caractersticas perigosas nos SO Windows que tm funcionalidade legtima e documentada, mas podem ser seguramente desabilitadas ou protegidas em muitos cases de modo a robustecer a segurana do sistema. Como se proteger dos ataques relacionados a NETBIOS. Varias aes podem ajudar a mitigar o risco de explorao da vulnerabilidade atravs dos Windows Networking Shares: Desabilitar os servios Alerter e Messenger (estes servios estao desabilitados por default no Windows 2003, mas esto configurados como inicio Automtico no Windows 2000/XP/NT4). Desabilitando estes servios impede ou reduz significativamente o valor da enumerao do sistema, que normalmente se realiza antes de um ataque ou infeco. Para desabilitar estes servios: Selecione Start Programs Administrative Tools Services; Selecione o servio Alerter double-click it configure Startup type com o valor Disabled press button Apply press button Stop press button OK. Selecione o servio Messenger double-click it configure Startup type com o valor Disabled press button Apply press button Stop press button OK. Desabilite compartilhamento em todos os sistemas que no o requeiram Se o sistema no necessita proporcionar os servios de arquivos e impresso (a maioria das estaes residenciais e tpicas de negcios caem nesta categoria), o servio Server pode ser desabilitado nos sistemas Windows NT4/2000/2003/XP. Para desabilitar o servio Server:

Selecione Start Programs Administrative Tools Services selecione o servio Server double-click it configure Startup type com o valor Disabled press button Apply press button Stop press button OK. Se o sistema no requer o servio Server rodando, se podem tomar os seguintes passos para proteger os sistemas Windows NT4/2000/2003/XP: 1. Enumere todos os compartilhamentos ocultos default (C$, D$, E$ etc) digitando o comando: Net share em um prompt de comando. Anote os compartilhamentos existentes. 2. Elimine os compartilhamentos ocultos default digitando o comando: Net share C$ /delete em um prompt de comando. Na maioria das vezes todos os compartilhamentos alfabeticos (C$, D$, E$ etc) e o compartilhamento ADMIN$ podem ser borrados sem riscos. No se recomenda eliminar o compartilhamento default IPC$ em nenhum sistema.

3. Para que a eliminao dos compartilhamentos default seja permanente (eles seriam restabelecidos automaticamente quando o sistema se reinicia ou se reinicia o servio Server), necessrio fazer as seguintes modificaes no registro: Abra o Editor de Registry; Navegue at a chave do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters Crie um novo valor de registro baixo essa chave: Nome do valor: AutoShareWks Tipo do valor: DWord Valor: 00000000 Crie um novo valor de registro baixo essa chave: Nome do valor: AutoShareServer Tipo do valor: DWord Valor: 00000000

Revise compartilhamentos non-default (criado por usuarios) existentes no sistema. Isso pode ser feito por: Interface grfica (My Computer right-click Manage Shared Folders Shares). Selecione os compartilhamentos que necessitam ser desabilitados right-click selecione Stop Sharing. Linha de comando (em um prompt de sistema ou como parte de um script): o Enumere todos os compartilhamentos digitando o comando: Net share em um prompt de sistema. Anote os compartilhamentos existentes. Elimine os compartilhamentos desnecessrios digitando o comando: Net share ShareName /delete em um prompt de sistema. Isso ir eliminar permanentemente somente os compartilhamentos non-default (criado por usurios). Para eliminar permanentemente os compartilhamentos ocultos default C$, D$, ADMIN$ veja o procedimento no pargrafo prvio. Para os clientes Windows 95/98/Me que so parte de um domnio Windows NT se recomenda configurar com o nvel usurio do controle de acesso de compartilhamento de arquivos. No permitir compartilhamento com hosts na Internet. Assegure-se de que todos os hosts com interfaces em Internet tenham o compartilhamento de rede Windows desabilitado no Windows network control panel. O compartilhamento com hosts na Internet deve ser feito usando SCP, FTP, ou HTTP. No permitir compartilhamentos no autenticados. Se o compartilhamento de arquivos necessrio, no permita acesso no autenticado ao compartilhamento. Configurar o compartilhamento de maneira que se requeira uma senha para a conexo com o mesmo. Restringir ao mnimo necessrio de pastas. Os compartilhamentos geralmente deveriam limitar-se a uma nica pasta com possivelmente algumas sub-pastas dentro da mesma.

Restringir permisses nas pastas compartilhadas ao mnimo necessrio. Tomar especial cuidado de permitir acesso de escritura somente quando seja absolutamente necessrio. Para maior proteo, permitir compartilhamento somente a endereos IP especficos j que nomes DNS podem so passiveis de spoofing. Como se proteger de problemas relacionados a Anonymous Logon nos seus sistemas. Nota IMPORTANTE: Este artigo contm informao sobre modificar o registro. Antes de modificar o registro, assegure-se de fazer uma copia de backup e de compreender como restaur-lo se ocorrer algum problema. Recomenda-se que qualquer modificao seja amplamente testada antes de sua implementao em um ambiente de produo. Para informao sobre como fazer o backup, restaurar ou editar o registro, clicar os seguintes nmeros de artigos para v-los na Microsoft Knowledge Base: 256986 - Description of the Microsoft Windows Registry 323170 - HOW TO Backup, Edit, and Restore the Registry in Windows NT 4.0 322755 - HOW TO Backup, Edit, and Restore the Registry in Windows 2000 322756 - HOW TO Backup, Edit, and Restore the Registry in Windows XP Windows Server 2003 Os controladores de domnio de Windows NT requerem sesses nulas para estabelecer comunicao. Como conseqncia, quando se esta trabalhando em um domnio Windows NT ou Windows 2000/2003 Active Directory rodando em modo misto, o qual permite acesso compativel Pre-Windows 2000, possvel minimizar a informao que os atacantes podem obter mas no frear todo o vazamento, configurando o valor do registro RestrictAnonymous igual a 1. Por exemplo; GetAcct da Security Friday evade RestrictAnonymous=1 e enumera o SID e o UserID. A soluo ideal com Windows 2000/2003 Active Directory em modo nativo configurar RestrictAnonymous com o valor 2. Para restringir a informao disponvel atravs de sesses nulas, clicar os seguintes nmeros de artigos para v-los na Microsoft Knowledge Base: 143474 - Restricting Information Available to Anonymous Logon Users in Windows NT 246261 - How to Use the RestrictAnonymous Registry Value in Windows 2000 Para resolver problemas relacionados ao valor do registro RestrictAnonymous, clicar o seguinte numero de artigo para v-lo na Microsoft Knowledge Base: 296405 - The RestrictAnonymous Registry Value May Break the Trust to a Windows 2000 Domain Como se proteger do Remote Registry Access nos seus sistemas. Para tratar este threat, o acesso ao registro de sistema deve ser restrito e a configuracao de permissoes deve ser revisada. Os usuarios de Microsoft Windows NT 4.0 tambem deveriam assegurar-se de ter o Service Pack 4 (SP4) ou posterior instalado antes de fazer ajustes no registro. Nota IMPORTANTE: Este artigo contm informao sobre modificar o registro. Antes de modificar o registro, assegure-se de fazer uma copia de backup e de compreender como restaur-lo se ocorrer algum problema. Recomenda-se que qualquer modificao

seja amplamente testada antes de sua implementao em um ambiente de produo. Para informao sobre como fazer o backup, restaurar ou editar o registro, clicar os seguintes nmeros de artigos para ver o artigo na Microsoft Knowledge Base: 256986 - Description of the Microsoft Windows Registry 323170 - HOW TO Backup, Edit, and Restore the Registry in Windows NT 4.0 322755 - HOW TO Backup, Edit, and Restore the Registry in Windows 2000 322756 - HOW TO Backup, Edit, and Restore the Registry in Windows XP Windows Server 2003 Restrict Network Access. Para restringir o acesso atravs da rede ao registro, siga os passos abaixo para criar a seguinte chave no registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\ SecurePipeServers\winreg Descrio: REG_SZ Valor: Registry Server As permisses de segurana configuradas nesta chave definem os usurios ou grupos que tem permitido o acesso remoto ao registro. As instalaes default de Windows definem esta chave e configuram a Lista de Controle de Acesso para outorgar os privilgios mximos ao Administrador de sistema e ao grupo Administradores (e Backup Operators no Windows 2000). As modificaes no registro requerem um reboot para entrar em vigor. Para criar a chave do registro de maneira a restringir o aceso remoto ao mesmo: 1. Abra o editor de registro ("regedt32.exe" ou "regedit.exe") e v at a seguinte chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control 2. No menu "Edit", clique "Add Key." Class: REG_SZ 3. Ingresse os seguintes valores: Key Name: SecurePipeServers 4. V at a seguinte chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers 5. No menu "Edit", clique "Add Key." 6. Ingresse os seguintes valores: Key Name: winreg Class: REG_SZ 7. V at a seguinte chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg 8. No menu "Edit", clique "Add Value." 9. Entre os seguintes valores: Value Name: Description Data Type: REG_SZ String: Registry Server 10. V at a seguinte clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg 11. Selecione "winreg." Clique "Security" e ento clique "Permissions." Adicione Usurios ou Grupos para os quais outorgar acesso. 12. Feche o editor de registro e reinicie Microsoft Windows. 13. Se em uma etapa posterior se necessita mudar a lista de usurios que podem acessar o registro, repetir os passos 10-12. Limite Authorized Remote Access. Impor restries sobre o registro pode gerar efeitos colaterais adversos em servios de dependncia, tais como o Directory Replicator e o servio Spooler de impresso de rede.

Por tanto possvel aumentar um grau de detalhe nas permisses adicionando, na lista de controle de acesso da chave winreg, o nome da conta que o servio esta usando para rodar, ou configurando Windows para desconsiderar a restrio de acesso para determinadas chaves listando-as nos valores Machine ou Users baixo a chave AllowedPaths: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg\AllowedPaths Valor: Machine Tipo de Valor: REG_MULTI_SZ - Multi string Dado default: System\CurrentControlSet\Control\ProductOptionsSystem\ CurrentControlSet\Control\Print\PrintersSystem\CurrentControlSet\ Services\EventlogSoftware\Microsoft\WindowsNT\CurrentVersionSystem\ CurrentControlSet\Services\Replicator Intervalo vlido: (Um caminho vlido para uma localizao no registro) Descrio: Permitir a computadores o acesso a localidades listadas no registro desde que no exista restrio explicita de acesso para essa localidade. Valor: Users Tipo de valor: REG_MULTI_SZ - Multi string Dado default: (nenhum) Intervalo vlido: (Um caminho vlido para uma localizao no registro) Descrio: Permitir a usurios o acesso localidades listadas no registro desde que no exista restrio explicita de acesso para essa localidade. Nos registros do Microsoft Windows 2000 e Windows XP: Valor: Machine Tipo de Valor: REG_MULTI_SZ - Multi string Dado default: System\CurrentControlSet\Control\ProductOptionsSystem\ CurrentControlSet\Control\Print\PrintersSystem\CurrentControlSet\ control\Server ApplicationSystem\CurrentControlSet\Services\Eventlog\ Software\Microsoft\Windows NT\CurrentVersion Valor: Users (no existe por default) comum a existncia de um lapso de tempo entre que a vulnerabilidade se torna publica e o momento em que se coloca a disposio um patch. Pode ocorrer que por alguma outra razo de poltica a vulnerabilidade deve ser permitida. Para mitigar o risco uma organizao pode limitar o acesso atravs de firewalls ou roteadores. Uma medida extra seria escrever novas regras para um IDS (Intrusion Detection System) tal como o Snort que alertaria ou ativaria uma resposta do lado da organizao. Exemplos de regras documentadas do Snort podem ser encontrados aqui. Como se proteger dos problemas relacionados a Remote Procedure Call nos seus sistemas. A melhor maneira sem duvida aplicar os patches relevantes segundo indica o MBSA ou o Windows Update: veja "Como determinar se voc est vulnervel aos problemas relacionados ao Remote Procedure Call" acima. Alternativamente h algumas maneiras de desabilitar ou restringir parte da funcionalidade do Remote Procedure Call, e algumas delas podem ser encontradas no excelente resumo em http://www.ntbugtraq.com/dcomrpc.asp.

AVISO IMPORTANTE: desabilitar ou restringir a funcionalidade do Remote Procedure Call pode interromper servios Windows que se esperam que estejam ativos, portanto teste primeiramente qualquer modificao em um ambiente fora de produo. Se os sistemas no podem receber os patches, bloqueie as portas associadas com o Windows remote procedure call (portas TCP 135, 139, 445 e 593; portas UDP 135, 137, 138 e 445) no permetro da rede. Naturalmente sempre uma boa prtica bloquear *todos* os servios desnecessrios no permetro da rede por default. Para maior informao: Microsoft Knowledge Base Article 153183. How to Restrict Access to NT Registry from a Remote Computer. Outra fonte de informao a Microsoft Security Bulletin Search. MSDN Library (Buscar Securing Registry) Microsoft Knowledge Base Article 310426 : HOW TO: Use the Windows XP and Windows Server 2003 Registry Editor Network access: Remotely accessible registry paths and subpaths Windows Server 2003 Security Guide back to top ^ W4 Microsoft SQL Server (MSSQL) W4.1 Descrio O Microsoft SQL Server (MSSQL) contem varias vulnerabilidades serias que permitem a atacantes remotos obter informao confidencial, modificar contedo de bases de dados, comprometer os servidores SQL, e em algumas configuraes comprometer o servidor host. As vulnerabilidades do MSSQL so muito publicadas e ativamente baixo ataque. Dois worms recentes de MSSQL exploraram varias falhas do MSSQL em Maio de 2002 e Janeiro de 2003. Os hosts comprometidos por estes worms geram um nvel prejudicial de trfego de rede quando estes escaneam em busca de outros hosts vulnerveis. Informao adicional sobre estes worms pode ser encontrada em SQLSnake/Spida Worm (Maio de 2002) http://isc.incidents.org/analysis.html?id=157 http://www.eeye.com/html/Research/Advisories/AL20020522.html http://www.cert.org/incident_notes/IN-2002-04.html

SQL-Slammer/SQL-Hell/Sapphire Worm (Janeiro de 2003) http://isc.incidents.org/analysis.html?id=180 http://www.nextgenss.com/advisories/mssql-udp.txt http://www.eeye.com/html/Research/Flash/AL20030125.html http://www.cert.org/advisories/CA-2003-04.html

Portas 1433 e 1434 (portas default do MSSQL server e monitor) tambm foram regularmente registradas pelo Internet Storm Centre como sendo duas das portas mais freqentemente escaneadas. A rotina de exploit do SQLSnake depende de que a conta administrativa default, ou conta "sa", tenha uma senha nula. essencial para a configurao apropriada e para a defesa de qualquer sistema assegurar-se que todas as contas do sistema esto protegidas por senhas, ou completamente desabilitadas se no esto em uso. Voc pode encontrar mais informao com respeito a configurao e administrao de senhas para a conta sa na documentao da Microsoft Developer Network baixo Changing the SQL Server Administrator Login, bem como Verify and Change the System Administrator Password by Using MSDE. A conta sa deveria ter uma senha complexa, difcil de adivinhar mesmo que no a use para executar sua implementao SQL/MSDE. A rotina de exploit do SQL Slammer est baseada em um buffer overflow no SQL Server Resolution Service. Produz-se esse buffer overflow e a seguranca do host fica assim comprometida quando o worm envia pacotes preparados de ataque porta UDP 1434 do sistema vulnervel destino. Se o computador roda os servios SQL que esto sujeitos a esse buffer overflow e recebe pacotes dessa natureza, normalmente o resultado o compromisso total do servidor e da segurana do sistema. O meio mas eficaz de defesa contra este worm a aplicao assdua de patches, prticas proativas de configurao do sistema, e filtrado de entrada/sada na porta UDP 1434 dos gateways de rede. O Microsoft Server 2000 Desktop Engine (MSDE 2000) pensado como um "SQL Server Lite". Muitos proprietrios de sistemas nem mesmo percebem que seus sistemas esto rodando MSDE e qe eles tem uma verso do SQL Server instalada. O MSDE 2000 instalado como parte dos seguintes produtos da Microsoft: SQL/MSDE Server 2000 (Developer, Standard e Enterprise Editions) Visual Studio .NET (Architect, Developer e Professional Editions) ASP.NET Web Matrix Tool Office XP Access 2002 Visual Fox Pro 7.0/8.0

Alem destes, h muito outros pacotes de software que fazem uso do software MSDE 2000. Para uma lista atualizada, veja http://www.SQLsecurity.com/forum/applicationslistgridall.aspx. Como este software usa o MSDE como seu motor principal de base de dados, ele tem as mesmas vulnerabilidades do servidor SQL/MSDE. MSDE 2000 pode ser configurado para escutar conexes entrantes de clientes de muitas maneiras diferentes. Pode ser configurado de tal maneira para que os clientes possam usar named pipes sobre uma sesso NetBIOS (portas TCP 139/445) ou sockets com clientes conectando-se porta TCP 1433, ou ambas. Qualquer que seja o mtodo usado, o SQL Server e o MSDE sempre vo atender na porta UDP 1434. Esta porta est designada como uma porta monitora. Os clientes enviam uma mensagem a esta porta para descobrir dinamicamente como o cliente deveria conectar-se ao servidor. O motor do MSDE 2000 devolve informao sobre si quando recebe um pacote de um byte nico 0x02 na porta UDP 1434. Outros pacotes de byte nico causam um buffer

overflow sem nunca haver autenticado com o servidor. O que piora ainda mais estes problemas que o ataque se canaliza por UDP. Sempre que o processo MSDE 2000 roda no contexto de segurana de um usurio de domnio ou da conta local SYSTEM, a explorao exitosa destas falhas de segurana pode significar um compromisso total do sistema destino. Como o SQL Slammer explora um buffer overflow no sistema destinatrio, seguir as prticas recomendadas de aplicar patches assiduamente e configurar os sistemas cuidadosamente ajuda a mitigar essa ameaa. Atravs do download e uso de ferramentas defensivas tais como Microsoft SQL Critical Update Kit, se pode verificar os sistemas locais em quanto a vulnerabilidade a este exploit, escanear domnios inteiros pela existncia de sistemas vulnerreis, e automaticamente atualizar arquivos afetados com o SQL Critical Update. Para maiores detalhes sobre o worm SQL/MSDE Slammer, veja o informe e anlise em incidents.org. Este ataque particular afetou o Internet Backbone por varias hora durante a manha de 25 de Janeiro de 2003. W4.2 Sistemas Operacionais Afetados Qualquer systems Microsoft Windows com o Microsoft SQL/MSDE Server 7.0, Microsoft SQL/MSDE Server 2000 ou Microsoft SQL/MSDE Server Desktop Engine 2000 instalados, bem como qualquer sistema que use o motor MSDE separadamente.

W4.3 Referncias CVE/CAN CVE-1999-0999, CVE-2000-0202, CVE-2000-0402, CVE-2000-0485, CVE-20000603,CVE-2001-0344, CVE-2001-0879 CAN-2000-0199, CAN-2000-1081, CAN-2000-1082, CAN-2000-1083, CAN-20001084,CAN-2000-1085, CAN-2000-1086, CAN-2000-1087, CAN-2000-1088, CAN-20001209,CAN-2001-0509, CAN-2001-0542, CAN-2002-0056, CAN-2002-0154, CAN-20020186,CAN-2002-0187, CAN-2002-0224, CAN-2002-0624, CAN-2002-0641, CAN-20020642,CAN-2002-0643, CAN-2002-0644, CAN-2002-0645, CAN-2002-0649, CAN-20020650,CAN-2002-0695, CAN-2002-0721, CAN-2002-0729, CAN-2002-0859, CAN-20020982,CAN-2002-1123, CAN-2002-1137, CAN-2002-1138, CAN-2002-1145, CAN-20030118 W4.4 Como determinar se voc est vulnervel A Microsoft publicou um conjunto de ferramentas de segurana em http://www.microsoft.com/sql/downloads/securitytools.asp. O toolkit se chama SQL Critical Update Kit e cotem ferramentas teis tais como o SQL Scan, SQL Check, e SQL Critical Update. Chip Andrews da sqlsecurity.com publicou uma ferramenta chamada SQLPingv2.2. Esta ferramenta envia um pacote UDP de um nico byte (valor do byte 0x02) porta 1434 de um host especifico ou a uma subrede inteira. Os servidores SQL Servers atendendo na porta UDP 1434 respondero divulgando detalhes de sistema tais como um nmero de verso, instancias, etc. SQLPingv2.2 considerada uma ferramenta de escaneo e descobrimento muito semelhante a Microsoft's SQL Scan, e no comprometer mais o seu sistema e a segurana de rede. Ferramentas adicionais de

segurana SQL podem ser encontradas no site de Chip Andrews em SQL/MSDE Security Web site. W4.5 Como se proteger Sumrio: 1. Desabilite o SQL/MSDE Monitor Service na porta UDP 1434. 2. Aplique o ltimo service pack para o Microsoft SQL/MSDE server e/ou MSDE 2000. 3. Aplique o ultimo patch cumulativo que esteja disponvel depois do ltimo service pack. 4. Aplique todos os patches individuais que estejam disponveis depois do ltimo patch cumulativo. 5. Habilite SQL Server Authentication Logging. 6. Proteja o servidor a nvel de sistema e de rede. 7. Minimize os privilgios do servio MSSQL/MSDEServer e do SQL/MSDE Server Agent. Detalhes: 1. Desabilite o SQL/MSDE Server Monitor na porta UDP 1434. Isto pode ser facilmente realizado instalando e usando a funcionalidade dentro do SQL Server 2000 Service Pack 3a. O motor de base de dados MSDE 2000 da Microsoft apresenta duas vulnerabilidades de buffer overflow que podem ser exploradas por um atacante remoto sem nunca haver autenticado com o servidor. O que piora ainda mais estes problemas que o ataque se canaliza por UDP. Sempre que o processo MSDE 2000 roda no contexto de segurana de um usurio de domnio ou da conta local SYSTEM, a explorao exitosa destas falhas de segurana pode significar um compromisso total do sistema destino. O MS-SQL/MSDE Slammer envia um pacote UDP de 376 bytes porta 1434 usando destinatrios aleatrios a uma velocidade muito alta. Os sistemas comprometidos imediatamente comeam a enviar pacotes idnticos de 376 bytes quando se infectam. O worm envia trfego a endereos IP aleatrios, incluindo endereos IP de multicast, causando um Denial of Service na rede destino. Computadores infectados individualmente reportaram trfego excedido por 50 Mb/sc depois de haver sido infectados. 2. Aplique o ltimo service pack para o Microsoft SQL/MSDE server e MSDE 2000. A verso atual do service pack do Microsoft SQL/MSDE Server : o SQL/MSDE Server 7.0 Service Pack 4 o MSDE/SQL Server 2000 Service Pack 3a Assegure-se que voc esta ao dia com qualquer upgrade futuro monitorando Make Your SQL/MSDE Servers Less Vulnerable na Microsoft TechNet. 3. Aplique o ltimo patch cumulativo que esteja disponvel depois do ltimo service pack. O patch cumulativo atual para todas as verses do SQL/MSDE/MSDE Server

est disponvel em MS02-061 Elevation of Privilege in SQL/MSDE Server Web Tasks (Q316333/Q327068). Para assegurar que voc est ao dia com qualquer futuro upgrade, pode checar o ltimo patch cumulativo do Microsoft SQL/MSDE Server em: o Microsoft SQL/MSDE Server 7.0 o Microsoft SQL Server 2000 o MSDE Server Desktop Engine 2000 (MSDE 2000)

4. Aplique todos os patches individuais que estejam disponveis depois do ltimo patch cumulativo. Atualmente no h patch individual posterior ao lanamento do MS02-061 Elevation of Privilege in SQL/MSDE Server Web Tasks (Q316333/Q327068). Porm, para ter certeza que voc esta ao dia com qualquer upgrade futuro, voc pode checar se h algum patch individual recentemente publicado em: o Microsoft SQL/MSDE Server 7.0 o Microsoft SQL Server 2000 o MSDE Server Desktop Engine 2000 (MSDE 2000)

5. Habilite SQL Server Authentication Logging. O SQL Server Authentication Logging geralmente no esta habilitado. Isto pode ser feito atravs do Enterprise Manager (Server properties; tab Security). 6. Proteja o servidor aos nveis de sistema y de rede. Uma das exposies do MSSQL/MSDE mais atacadas que a conta administrativa default (conhecida como "sa") se instala com uma senha em branco. Se a conta "sa" do seu SQL/MSDE no estiver protegida por uma senha, voc certamente no ter segurana e poder ser atacado por worms e outros exploits. Portanto voc deveria seguir a recomendao do tpico "System Administrator (SA) Login" no SQL/MSDE Server Books Online para assegurar-se que a conta predefinida "sa" tem uma senha forte, mesmo que seu servidor SQL/MSDE no rode utilizando esta conta. Microsoft Developer's Network tem documentao Changing the SQL Server Administrator Login e Verify and Change the System Administrator Password by Using MSDE. 7. Minimize os privilgios dos servios MSSQL/MSDEServer e SQL/MSDE Server Agent. Rode os servios MSSQL/MSDEServer e SQL/MSDE Server Agent baixo uma conta valida de domnio com mnimos privilgios, no como uma conta de administrador do domnio ou SYSTEMA (no NT) ou LocalSystem (no 2000 ou XP). Um servio comprometido rodando com privilgios locais ou de domnio daria ao atacante completo controle do seu computador e/ou sua rede.

a. Habilite Windows NT Authentication, habilite auditoria de logins exitosos e fracassados, e ento para e reinicie o servio MSSQL/MSDEServer. Se for possvel, configure os clientes para usar NT Authentication. b. Deveriam filtrar-se os pacotes na borda da rede para proibir conexes de entrada/sada no-autorizadas aos servios especficos MSSQL. Filtrado de entrada/sada para as portas 1433 e 1434 poderiam impedir atacantes internos ou externos de escanear e/ou infectar servidores vulnerveis Microsoft SQL/MSDE na sua rede ou na rede de outros que no esto explicitamente autorizados para fornecer servios pblicos SQL/MSDE. c. Se as portas TCP/UDP 1433 e 1434 necessitam estar disponveis nos gateways de Internet, habilite e configure filtros de entrada/sada para impedir o mau uso desta porta. Informao adicional sobre como proteger o Microsoft SQL/MSDE Server pode ser encontrada em Microsoft SQL/MSDE Server 7.0 Security Microsoft SQL/MSDE Server 2000 Security

back to top ^ W5 Autenticao W5.1 Descrio Passwords, passphrases e security codes sao usados em virtualmente toda intercao entre usuarios e sistemas de informacao. A maioria das formas de autenticacao, bem com protecao de dados e arquivos, se basea em senhas provistas pelos usuarios. Como o acesso autenticado exitoso normalmente no registrado nos logs, ou se o provavelmente no causam suspeitas, uma senha comprometida uma oportunidade de explorar um sistema desde dentro e completamente despercebido. Um atacante teria completo acesso a qualquer recurso disponvel para esse usurio, e estaria significantemente mais perto de estar em condies de acessar contas de outros, computadores das proximidades, e ate mesmo privilgios administrativos. Apesar dessa ameaa, as contas com senhas no apropriadas ou em branco permanecem extremamente comuns, e so muito poucas as organizaes com boa poltica de senha. As vulnerabilidades relacionadas a senhas mais comuns so: As contas de usurios tm senhas fracas ou inexistentes Independente do nvel de resistncia que tenha a senha, os usurios falham em proteg-la. O sistema operacional ou software adicional cria contas administrativas com senhas fracas ou inexistentes. Os algoritmos de hashing de senhas so conhecidos e com freqncia so armazenados de tal maneira que so visveis por qualquer pessoa. A melhor e mais apropriada defesa contra isto o uso de uma forte poltica de senhas que inclua instrues detalhadas para os bons hbitos e verificao proativa da integridade das senhas.

Microsoft Windows no armazena ou transmite senhas em texto claro se utiliza um hash da senha para a autenticao. O Hash um resultado de tamanho fixo obtido pela aplicao de uma funo matemtica (o algoritmo de hashing) uma quantidade

arbitrria de dados (tambm conhecido como message digest). (MSDN Library) H trs algoritmos de autenticao de Windows: LM (o menos seguro e mais compatvel); NTLM e NTLMv2 (o mais seguro e menos compatvel). Apesar de que a maioria dos ambientes Windows atuais nao necessita do suporte para LAN Manager (LM), Microsoft Windows por default armazena localmente os hashes LM legacy das senhas (tambm conhecidos como hashes LANMAN) nos sistemas Windows NT, 2000 e XP (mas no no Windows 2003). Como LM usa um esquema de criptografia muito mais fraco que outros mecanismos mais recentes da Microsoft (NTLM e NTLMv2), as senhas LM podem ser descobertas em um muito curto perodo de tempo. Inclusive senhas que foram consideradas fortes podem ser despedaadas por fora-bruta em menos de uma semana com o hardware atual. http://msdn.miscrosoft.com/library/default.asp?url=/library/en-us/security/ Security/h_gly.asp A debilidade dos hashes LM se deve a: As As As As senhas senhas senhas senhas so so so so truncadas em 14 caracteres. completadas com espaos para que totalizem 14 caracteres. convertidas a caracteres todos maisculos. divididas em duas partes de sete caracteres.

Este processo de hashing significa que um atacante necessita somente completar a tarefa trivial de quebrar duas senhas de sete caracteres, todos maisculos, para conseguir acesso autenticado ao seu sistema. Como a complexidade de quebrar hashes aumenta geometricamente com o comprimento do hash, cada string de sete caracteres pelo menos uma ordem de grandeza mais fcil de atacar por fora-bruta do que seria uma string combinada de catorze caracteres. J que todas as strings so de sete caracteres (incluindo os espaos) e inteiramente maiscula, se simplifica tambm um ataque do tipo dicionrio. Portanto o mtodo de hashing LM arruna completamente boas polticas de password. Alem do risco que se corre por ter hashes legacy LM armazenados na SAM, o processo de autenticao LAN Manager freqentemente esta habilitado por default nos clientes e aceitado pelos servidores. Como resultado, os computadores Windows capazes de utilizar algoritmos de hash mais fortes em lugar disso enviam hashes LM fracos pela rede, fazendo com que a autenticao Windows seja vulnervel ao eavesdropping por packet sniffing, e portanto facilitando os esforos de um atacante para obter e craquear senhas de usurios.

W5.2 Sistemas Operacionais Afetados Todos os sistemas operacionais da Microsoft.

W5.3 Referncias CVE/CAN CVE-2000-0222 CAN-1999-0504, CAN-1999-0505, CAN-1999-0506

W5.4 Como determinar se voc est vulnervel Apesar de que h sintomas observveis de debilidades gerais relacionadas com as senhas, tais como a existncia de contas ativas de usurios que j deixaram a organizao ou servios que j no esto rodando mais, a nica maneira de saber com certeza que cada senha individual forte testando-as com a mesma ferramenta de cracking que utilizam os atacantes. Nota: Nunca execute um escaneador de password, nem mesmo em sistemas para os quais voc tem acesso administrativo, sem permisso explicita e de preferncia escrita do seu empregador. Administradores com a melhor das intenes foram despedidos por executar password cracking tools sem a autoridade para faz-lo. Algumas das melhores ferramentas de cracking esto disponveis em: LC4 (l0phtcrack version 4) e John the Ripper Com respeito ao problema do armazenamento local do hash LAN Manager: Se voc esta rodando uma instalao default do NT, 2000 ou XP, voc est vulnervel j que os hashes do LAN Manager so armazenados localmente por default. Se voc tem sistemas operacionais legados no seu ambiente que requerem autenticao LM para poder comunicar com os servidores, ento voc este vulnervel porque aqueles computadores enviam os hashes LM que podem ser capturados na rede.

W5.5 Como se proteger A melhor e mais apropriada defesa contra debilidades de senhas uma forte politica que inclua instrues detalhadas para gerar bons costumes de uso de senhas e checar proativamente a integridade das mesmas. Assegure-se que as senhas so consistentemente fortes. Dados o suficiente hardware e o suficiente tempo, qualquer senha pode ser craqueada por fora-bruta. Mas existem mtodos mais simples e prsperos de conhecer senhas sem tais custos. Os password crackers empregam o que conhecido como um ataque de estilo-dicionrio. Visto que os mtodos de criptografia so conhecidos, os utilitrios de cracking simplesmente comparam a forma criptografada de uma senha com a forma criptografada das palavras do dicionrio (em vrios idiomas), nomes prprios, e permutaes de ambos. Por essa razo uma senha cuja raiz de alguma maneira se assemelha a uma palavra conhecida ela altamente suscetvel de um ataque de dicionrio. Muitas organizaes instruem os usurios a gerar senhas incluindo combinaes de caracteres alfanumricos e caracteres especiais, e os usurios muitas vezes se aderem recomendao tomando uma palavra ("password") e convertendo letras a nmeros ou caracteres especiais ("pa$$w0rd"). Tais permutaes no protegem contra um ataque de dicionrio: "pa$$w0rd" tem a mesma probabilidade de ser quebrada que "password." Uma boa senha conseqentemente no pode ter uma palavra ou nome prprio como sua raiz. Uma forte poltica de senhas deveria guiar os usurios a gerar senhas a partir de algo mais aleatrio, como uma frase ou o titulo de um livro ou musica. Atravs da concatenao de uma string comprida (tomando a

primeira letra de cada palavra, ou substituindo um carter especial para uma palavra, removendo vogais, etc.), os usurios podem gerar string suficientemente compridas que combinem caracteres alfanumricos e especiais em uma forma na qual o ataque de dicionrio ser muito mais difcil de quebrar. E se a string fcil de lembrar, ento a senha tambm o deveria ser. Quando os usuarios tenham as instrucoes apropriadas para gerar boas senhas, se deveriam estabelecer procedimentos para assegurar que as instrues sejam seguidas. A melhor maneira de lograr isto validando a senha toda vez que o usurio a muda e utilizando Passfilt (NT4). O Windows 2000, XP, 2003 tem ferramentas potentes para fazer cumprir a poltica de senhas. Para ver sua poltica atual de senhas na maioria dos sistemas Windows, siga estes passos: Start - Programs - Administrative Tools Local Security Policy - selecione Account Policies - Password Policy. A Local Security Policy tem os seguintes parmetros: Password must meet complexity requirements. Determina se as senhas devem satisfazer requerimentos de complexidade. Os requerimentos de complexidade so impostos quando se muda a senha ou durante sua criao. Se esta poltica esta habilitada, as senhas devem satisfazer os seguintes requerimentos mnimos: o No conter parte ou todo o nome de conta do usurio o Ser de ao menos seis caracteres o Conter caracteres de trs das seguintes quarto categorias: Caracteres maisculos do Ingls (A at Z) Caracteres minsculos do Ingls (a at z) Dgitos do sistema decimal (0 at 9) Caracteres no alfanumricos (e.g., !, $, #, %)

Enforce password history (intervalo: 0-24): Determina o nmero de senhas nicas que tem que estar associadas com uma conta de usurio antes que uma senha anterior possa ser reutilizada. Este valor deve estar entre 0 e 24 senhas. Configurando este parmetro em 0 passwords remembered habilita o reciclado de senhas; configurando-o em 24 passwords remembered requer 24 mudanas de senha antes que a senha inicial possa ser reciclada. Esta poltica permite aos administradores melhorar a segurana assegurando-se que senhas anteriores no so utilizadas continuamente. Para manter a eficcia da password history, no permita que as senhas possam ser modificadas imediatamente configurando a minimum password age. Maximum password age (intervalo: 0-999 dias): Determina o perodo de tempo (em dias) que uma senha pode ser utilizada antes que o sistema requeira ao usurio que a mude. Voc pode configurar a expirao das senhas entre 1 e 999 dias, ou pode especificar que elas nunca expiram configurando o numero de dias em 0. Minimum password age (intervalo: 0-999 dias): Determina o perodo de tempo (em dias) que uma senha deve ser usada antes que o usurio possa mud-la. Voc pode configurar este valor entre 1 e 999 dias, ou pode permitir

mudanas imediatamente configurando o numero de dias em 0. O perodo de vida mnimo da senha deve ser menor que o perodo de vida mximo. Configure o minimum password age com um numero maior do que 0 se voc deseja que o Enforce password history seja eficaz. Sem o minimum password age, os usurios podem mudar suas senhas em ciclos repetidamente at consiguir usar uma antiga senha favorita. A configurao default no segue esta recomendao, de maneira que um administrador pode especificar uma senha para um usurio e ento requerer que o usurio mude essa senha definida pelo administrador quando ele inicie sesso. Se a password history este configurada em 0, o usurio no ter que escolher uma nova senha. Por essa razo, a password history este configurada em 1 por default. Minimum password length (intervalo: 0-14 caracteres): Determina o menor numero de caracteres que pode ter uma senha para uma conta de usurio. Voc pode configurar este valor entre 1 e 14 caracteres, ou estabelecer que a senha no se exigira um comprimento mnimo configurando o numero de caracteres em 0. Minimum password length deveria satisfazer a poltica de segurana corporativa (seno se recomenda que se configure em 8 ou mais caracteres; a National Security Agency (NSA) recomenda 12 caracteres). Store password using reversible encryption para todos os usurios do domnio: Determina se o Windows 2000, 2003 e XP Professional armazenam as senhas usando criptografia reversvel. Esta poltica proporciona o suporte para aplicativos usando protocolos que requerem o conhecimento da senha do usurio para propsitos de autenticao. Storing passwords using reversible encryption essencialmente o mesmo que armazenar as senhas em texto plano. Por esta razo, esta poltica nunca deveria ser habilitada a menos que requerimentos de aplicativos tenham mais importncia que a necessidade de proteger a informao das senhas.

Uma das maneiras de gerar automaticamente e assignar senhas complexas s contas de usuarios como se explica a seguir execute o seguinte commando (desde um prompt do Windows NT4, 2000, XP, 2003): Net user username /random A execuo deste comando designar uma senha complexa aleatria (mas sempre de 8-caracteres de comprimento) uma conta e mostrar essa senha no display. Este mtodo normalmente mais apropriado para designar senhas a contas de servios, antes que a usurios reais. A melhor maneira de revisar a qualidade das senhas executar utilitrios do tipo password cracking em modo stand-alone como parte de uma rotina de escaneo. Nota Importante: Nunca execute um escaneador de password, nem mesmo em sistemas para os quais voc tem acesso administrativo, sem permisso explicita e de preferncia escrita do seu empregador. Administradores com a melhor das intenes foram despedidos por executar password cracking tools sem a autoridade para faz-lo. Quando tenha autoridade para executar cracking utilities no seu sistema, faca-o regularmente em um computador protegido. Os usurios para os quais as senhas

foram quebradas deveriam ser notificados confidencialmente e instrudos de como escolher uma boa senha. Os administradores e a gerencia deveriam desenvolver estes procedimentos conjuntamente de maneira que a gerencia possa proporcionar assistncia quando os usurios no respondam a estas notificaes. Outra maneira de proteger contra senhas inexistentes ou fracas utilizando alguma forma alternativa de autenticao, tais como password-generating tokens ou biomtrica. 1. Proteja as senhas fortes. Mesmo quando as senhas em si so fortes, as contas podem ser comprometidas se os usurios no protegem suas senhas. Uma boa poltica deveria incluir instrues como que o usurio nunca diga sua senha a ningum mais, nunca escreva a senha onde ela poderia ser vista por outros, e proteja apropriadamente qualquer arquivo onde a senha est armazenada para automatizao de autenticao ( mais fcil proteger as senhas quando esta pratica se usa somente se absolutamente necessria). Deveria-se fazer cumprir o tempo de vida das senhas para que qualquer senha que no respeite estas regras seja vulnervel somente por um determinado perodo de tempo, e uma senha antiga no deveria ser utilizada. Assegure-se de que os usurios sejam avisados e tenham a oportunidade de mudar suas senhas antes que elas expirem. Quando encontram uma mensagem como "Sua senha expirou e deve ser mudada", os usurios tendem a escolher senhas ruins. 2. Controle firmemente as contas. o Todas as contas de servio ou contas administrativas que no estejam em uso deveriam ser desabilitadas ou removidas. As contas de servio ou administrativas deveriam receber senhas novas e fortes. o Faca uma auditoria das contas nos seus sistemas e crie uma lista principal. No se esquea de checar senhas em sistemas como roteadores e impressoras digitais conectadas a Internet, copiadoras e print servers. o Desenvolva procedimentos para adicionar contas autorizadas lista, e para remover contas quanto estas j no estejam mais em uso. o Valide a lista regularmente para assegurar-se que novas contas foram adicionadas e que as contas no utilizadas foram removidas.. o Tenha procedimentos firmes para remover contas quando os empregados ou fornecedores deixam a instituio ou quando as contas j no so mais necessrias.

3. Mantenha uma strong password policy para a corporao. Ademais dos controles de sistemas operacionais e de servios da rede, h muitas ferramentas completas disponveis para ajudar a administrao de polticas de senhas. Muitos modelos de polticas de exemplo, normas de desenvolvimento de polticas, fundamentos de segurana de senhas, e links muitos sites relacionados a poltica de segurana (que inclui informao sobre poltica de senhas) podem ser encontrados no site SANS Security Policy Project . 4. Desabilite a autenticao LM authentication na rede. O melhor substituto para a autenticavcao LAN Manager no Windows o is NT LAN Manager version 2 (NTLMv2). Os mtodos do NTLMv2 desafio/resposta superam muitas das debilidades no LM utilizando para isso criptografia mais forte e autenticacao

melhorada e mecanismos de segurana de sesso. A chave do registro que controla esta capacidade em ambos Windows NT e 2000 : Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Control\LSA Value: LMCompatibilityLevel Value Type: REG_DWORD - Number Valid Range: 0-5 Default: 0 Description: Este parmetro especifica o tipo de autenticao que se vai utilizar. 0 1 2 3 4 5 Envia resposta LM e resposta NTLM; nunca usa segurana de sesso NTLMv2 Usa segurana de sesso NTLMv2 se negociada Envia somente autenticao NTLM Envia somente autenticao NTLMv2 - DC no aceita autenticao LM - DC no aceita autenticaes LM nem NTLM (aceita somente NTLMv2)

No Windows 2000, 2003, e XP a mesma funcionalidade pode ser implementada configurando o parmetro LAN Manager authentication level (Windows 2000) ou Network security: LAN Manager authentication level (Windows XP, 2003) (Start Programs - Administrative Tools - Local Security Policy - Local Policies - Security Options). Se todos os seus sistemas so Windows NT SP4 ou posterior, voc poderia configurar este parmetro em 3 em todos os clientes e em 5 em todos os controladores de domnio para impedir qualquer transmisso de hashes pela rede. Entretanto, sistemas legados (tais como Windows 95/98) no usaro NTLMv2 com o default Microsoft Network Client. Para lograr a capacidade NTLMv2, instale o Directory Services Client. Uma vez instalado, o nome do valor do registro "LMCompatibility," e os valores permitidos so 0 ou 3. Se voc no puder forar os clientes legados a usar NTLMv2, poder obter uma ligeira melhora sobre o LM hashing forando NTLM (NT Lan Manager, version 1) no controlador de domnio (configure LMCompatibilityLevel em 4 ou se usar Local Security Policy configure LAN Manager authentication level com o valor: Send NTLMv2 Response only\Refuse LM).No obstante a opo mais segura com relao aos sistemas legados migrar os mesmos a plataformas operacionais mais novas, j que os sistemas operacionais mais antigos no permitem o suporte a este nvel mnimo de segurana. 5. Impedir o armazenamento do hash LM. Um problema importante com a simples remoo dos hashes LM que passam pela rede que os mesmos ainda so criados e armazenados na SAM ou no Active Directory. A Microsoft tem um mecanismo disponvel para desabilitar a criao dos hashes LM em conjunto, mas somente no Windows 2000, 2003 e XP. Nos sistemas Windows 2000 (SP2 ou posterior), a seguinte chave do registro controla esta funo: Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Control\LSA\NoLMHash Se esta chave criada em um Windows 2000 Domain Controller, os hashes

LanMan no sero mais criados e armazenados no Active Directory. No Windows XP e 2003, a mesma funcionalidade pode ser implementada habilitado o parmetro Network security: Do not store LAN Manager hash value on next password change (Start - Programs - Administrative Tools - Local Security Policy Local Policies - Security Options). Depois de fazer estas modificaes o sistema deve ser reiniciado para que as mesmas entrem em vigncia. Nota Importante: Isto somente impede que se gerem novos hashes LM. Os hashes LM existentes sero removidos individualmente a prxima vez que o usurio mude sua senha.

6. Impedir a copia dos hashes de senhas e da SAM database. As Password cracking tools, mencionada nesta seo, obtm os hashes de senhas atravs de: o Sniffing de senhas na rede. Contramedidas: 1. Use switches como dispositivos de rede; 2. Deteco e remoo de placas de rede em modo promiscuo (elas podem ser detectadas pela maioria das ferramentas comerciais de avaliao de seguranas, bem como algumas ferramentas grtis tais como o ethereal). o Copia do arquivo SAM (localizado na pasta %SystemRoot%\System32\Config\ - normalmente est em C:\Winnt\System32\Config\ - no Windows NT4 e 2000 ou C:\Windows\System32\Config\ - no Windows XP e 2003). Este arquivo normalmente est bloqueado pelos SO Windows e podem ser copiados somente quando se roda um sistema operacional alternativo. O arquivo SAM tambm pode ser obtido restaurando um backup do arquivo SAM ou restaurando o System State (Windows 2000, 2003, XP). O arquivo SAM tambm est localizado no NT4 Repair Disk.

Contramedidas: Limite e monitore o acesso fsico aos computadores (especialmente domain controllers), backup media e Repair Disk. Os seguintes artigos de Microsoft proporcionam referencias teis: o How to Disable LM Authentication on Windows NT [Q147706] detalha as modificaes requeridas no registro para o Windows 9x e Windows NT/2000. MS03-034 : Flaw in NetBIOS Could Lead to Information Disclosure (824105) LMCompatibilityLevel and Its Effects [Q175641] explica os problemas de interoperabilidade com este parmetro. How to Enable NTLMv2 Authentication for Windows 95/98/2000/NT [Q239869] explica como usar o Windows 2000's Directory Services Client for Windows 95/98 para superar a limitao de compatibilidade do NTLMv2.

o o o

New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager

back to top ^ W6 Web Browsers W6.1 Descrio O Browser o meio pelo qual um usurio de computador acessa a web nos sistemas Microsoft Windows. O web browser dominante o Microsoft Internet Explorer (IE), o qual o web browser default instalado nas plataformas Microsoft Windows. Outros Web browsers incluem Mozilla, Firefox, Netscape e Opera. A ltima verso do IE a 6, e ser a verso discutida aqui. As vulnerabilidades discutidas aqui tambm so aplicveis ao Mozilla verses 1.4 - 1.7.1, Firefox verso 0.9.x, Netscape verso 7.x, e Opera verso 7.x. Os problemas so seis: 1. 2. Um grande numero de vulnerabilidades ao longo dos ltimos anos em comparao com outros browsers 153 vulnerabilidades do IE desde Abril de 2001, de acordo com o Security Focus Archive. Muito tempo para dispor de um patch para vulnerabilidades conhecidas do E Os usurios tiveram que esperar at seis meses a partir do momento em que a vulnerabilidade conhecida e a Microsoft emite o patch correspondente. Active X e Active Scripting do IE As vulnerabilidades do IE, em particular o uso de ActiveX, foram capazes no passado de enganar os mecanismos de segurana do sistema operacional para comprometer computadores host. Grande numero de vulnerabilidades sem patch 34, de acordo a http://umbrella.name/originalvuln/msie/ Vulnerabilidades de Spyware/Adware Isto afeta todos os browsers, mas o IE mais vulnervel que os outros browsers. Integrao do IE no kernel do SO, o qual faz com que o sistema operacional seja mais vulnervel explorao.

3. 4. 5. 6.

Outros browsers tambm tem tido problemas, mas nenhum ao mesmo nvel do IE. Um projetista de web malicioso pode criar pages para explorar as vulnerabilidades do Internet Explorer enquanto simplesmente se navega pelas mesmas. Um exemplo destacvel disso a vulnerabilidade Download.Ject. A vulnerabilidade esteve presente durante vrios meses, e utilizava vulnerabilidades Active X. Inclusive depois de que um se publicou um exploit em June 8, 2004, nenhum patch para o IE foi liberado ate Julho de 2004. Devido combinao de ActiveX, scripting, e sua integrao com o sistema operacional Windows, o Internet Explorer mais vulnervel a ataques que muitos outros browsers. As conseqncias disso podem incluir a revelao de cookies, arquivos locais ou dados, execuo de programas locais, download e execuo de cdigo arbitrrio, ou possesso completa do sistema vulnervel. W6.2 Sistemas Operacionais Afetados Estas vulnerabilidades existem nos sistemas Microsoft Windows rodando qualquer verso destes browsers. importante notar que o IE se instala com uma grande variedade de software de Microsoft e portanto est geralmente presente em todos os sistemas Windows, mesmo quando o usurio poderia no quer instal-lo ou utiliz-lo. Todos os outros browsers so instalados de acordo vontade do usurio, e o usurio decide se o browser ser utilizado por outros aplicativos.

W6.3 Vulnerabilities de Browser, cortesia de Secunia A. Internet Explorer: 2004 - 15 Security Advisories (No dia 30 de Julho de 2004) Microsoft Internet Explorer Multiple Vulnerabilities 1. Internet Explorer Frame Injection Vulnerability 2. 3. Internet Explorer File Download Error Message Denial of Service Weakness Internet Explorer Security Zone Bypass and Address Bar Spoofing Vulnerability 4. 5. Internet Explorer Local Resource Access and Cross-Zone Scripting Vulnerabilities 6. Microsoft Internet Explorer and Outlook URL Obfuscation Issue 7. Windows Explorer / Internet Explorer Long Share Name Buffer Overflow 8. Microsoft Outlook Express MHTML URL Processing Vulnerability 9. Internet Explorer/Outlook Express Restricted Zone Status Bar Spoofing 10. Multiple Browser Cookie Path Directory Traversal Vulnerability 11. Internet Explorer Cross Frame Scripting Restriction Bypass 12. Internet Explorer File Identification Variant Internet Explorer Travel Log Arbitrary Script Execution Vulnerability 13. 14. Internet Explorer File Download Extension Spoofing Internet Explorer showHelp() Restriction Bypass Vulnerability 15. B. 2004 1. 2. 3. 4. 5. 6. 7. D. 2004 1. 2. E. 2004 1. 2. 3. 4. 5. 6. 7. 8. Mozilla - 7 Secunia Advisories Mozilla Fails to Restrict Access to "shell:" Mozilla XPInstall Dialog Box Security Issue Multiple Browsers Frame Injection Vulnerability Mozilla Browser Address Bar Spoofing Weakness Mozilla / NSS S/MIME Implementation Vulnerability Multiple Browser Cookie Path Directory Traversal Vulnerability Mozilla Cross-Site Scripting Vulnerability Netscape - 2 Secunia Security Advisories Mozilla Fails to Restrict Access to "shell:" Multiple Browsers Frame Injection Vulnerability Opera - 8 Secunia Security Advisories Opera Browser Address Bar Spoofing Vulnerability Multiple Browsers Frame Injection Vulnerability Opera Address Bar Spoofing Security Issue Opera Browser Favicon Displaying Address Bar Spoofing Vulnerability Multiple Browsers Telnet URI Handler File Manipulation Vulnerability Opera Browser Address Bar Spoofing Vulnerability Multiple Browser Cookie Path Directory Traversal Vulnerability Opera Browser File Download Extension Spoofing

W6.4 Identificao e Proteo contra as Vulnerabilidades do Browser Se voc esta usando o Internet Explorer no seu sistema, no h atualmente maneira

de saber si voc est vulnervel devido ao grande numero existente de vulnerabilidades que no contam com um correspondente patch. Entretanto, deveria visitar o Windows Update Site periodicamente para assegurar-se de que o IE se encontre protegido das vulnerabilidades para as quais existem patches disponveis. Os usurios interessados em aumentar a proteo contra as vulnerabilidades do browser deveriam considerar as seguintes opes: a. Considerar browsers alternativos que no utilizam ActiveX. A maioria dos sites de Internet nao usa o ActiveX. J que o web site do Windows Update (o qual usa ActiveX) se v afetado por esta abordagem, tente em seu lugar utilizar as caractersticas de Automatic Updates. Outras opes de atualizao incluem o uso de Shavliks HFNetChkPro ou o Microsoft Baseline Security Analyzer (MBSA) para lograr o mesmo. Ferramentas on-line de anlise para o Internet Explorer, tal como o Qualys Browser Check tambm podem ser de muita utilidade para avaliar o estado de segurana do IE nos seus sistemas. b. Se a opo a. resulta ser difcil de implementar em um ambiente corporativo devido ao use de ActiveX na intranet, considere o uso do Internet Explorer para a intranet, e um browser alternativo para o acesso a Internet. c. Se o uso de um browser alternativo no e uma opo vivel, considere desabilitar o ActiveX por completo exceto para applets ActiveX internos que podem ser pr-instalados no computador. A Microsoft proporciona uma maneira de parar de executar o controle ActiveX no Internet Explorer. Outros Browsers no possuem as ferramentas automatizadas que esto disponveis para o Internet Explorer. Se est usando Mozilla/Firefox, Netscape ou Opera voc deveria averiguar nos seus respectivos web sites (http://www.mozilla.org, http://www.netscape.com, http://www.opera.com), ou http://umbrella.name/index.html) informao das vulnerabilidades descobertas e seus fixes. W6.5 Como proteger o Internet Explorer To configure the Security settings for Internet Explorer: 1. Selecione Internet Options no menu Tools. 2. Selecione o Security tab e ento clique Custom Level for the Internet zone. A maioria das falhas no IE so exploradas atravs de Active Scripting ou ActiveX Controls. 3. Em Scripting, selecione Disable para Allow paste operations via script para impedir que o contedo do seu clipboard fique exposto. Nota: Desabilitando o Active Scripting pode fazer com que alguns web sites no funcionem apropriadamente. Os controles ActiveX no so to populares mas so potencialmente mais perigos, j que permitem um maior acesso ao sistema. 4. Selecione Disable para Download signed ActiveX Controls. 5. Selecione Disable para Download unsigned ActiveX Controls.

6. Tambem selecione Disable para Initialize and script ActiveX Controls not marked as safe. Os Java applets geralmente tem mais capacidades que os scripts. 7. Em Microsoft VM, selecione High safety for Java permissions de maneira a limitar apropriadamente o Java applet e impedir acesso privilegiado ao seu sistema. 8. Em Miscellaneous, selecione Disable for Access to data sources across domains para evitar ataques de Cross-site scripting. Assegure-se tambm que no haja nenhum site considerado no-confivel nas zonas Trusted sites ou Local intranet, j que estas zonas tem configuraes de segurana reduzidas em relao a outras zonas. back to top ^ W7 Programas de File-Sharing W7.1 Descrio Peer to Peer File Sharing Programs (P2P) so utilizados por um grupo rapidamente crescente de usurios. Estes aplicativos sao utilizados para download e distribuio de muitos tipos de dados (por exemplo: musica, video, graficos, texto, codigo fonte, e informao proprietria para nomear alguns poucos). Os aplicativos P2P tm uma poro de usurios legtimos, incluindo a distribuio de arquivos OpenSource/GPL, imagens ISO de distribuies de Linux com boot, criaes de artistas independentes, e mesmo meios comerciais tais como trailers de filmes e apresentao previa de jogos. Em outros casos, os dados so ou de natureza questionvel ou tem copyright. Com os problemas legais que sofreu Napster, a maioria destes programas P2P agora opera atravs de uma rede distribuda de clientes, compartilhando diretrios ou arquivos ou mesmo um disco inteiro de dados. Os usurios podem ingressar parmetros de busca no software cliente, e ento se abrem um ou mais canais de comunicao entre os participantes enquanto que o software cliente contata outros participantes da rede para localizar o arquivo desejado. Os clientes participam baixando arquivos de outros usurios, tornando seus dados disponveis para outros, e em alguns modelos funcionando como supernodes o qual pode coordenar a busca de mltiplos usurios. Uma comunicao Peer to Peer consiste de get requests, replies, e file transfers. Um participante pode simultaneamente executar mltiplos downloads enquanto tambm esta servindo mltiplos uploads. As buscas de contedo podem usar praticamente qualquer string que o usuario possa imaginar. A maioria destes programas utiliza portas default atualmente, mas podem ser automtica ou manualmente configurados para usar portas diferentes se necessrio enganar a deteco, firewalls ou filtros de sada. A tendncia parece estar movendo-se ao uso de http wrappers para livrar-se das restries corporativas mais facilmente. A natureza multithreaded das buscas e transferncias pode gerar trfego significativo nas LANs densamente povoadas e podem saturar completamente os links WAN. Vias vulnerabilidades existem quando se usa software P2P. Elas podem ser classificadas em trs tipos. Vulnerabilidades tcnicas so aquelas que podem ser exploradas remotamente. Vulnerabilidades sociais so aquelas que podem ser exploradas alterando ou mascarando contedo binrio requerido por outros. E vulnerabilidades legais so aquelas que podem resultar de transgresso de copyright ou material objetvel.

Como se mencionou acima, as vulnerabilidades tcnicas so aquelas que podem ser exploradas remotamente e podem resultar simplesmente de um usurio fazendo um download, instalao, e rodando programas. Todos os CVE e CAN cujos nmeros esto listados abaixo tratam vulnerabilidades tcnicas. Estas variam desde Denial of Service a aceso arbitrrio a arquivos, e deveriam ser tomadas muito seriamente. Algo que no est tratado na base de dados CVE, mas que merece preocupao, so os problemas de privacidade e confiabilidade que os aplicativos P2P podem causar. Muitos desses aplicativos incluem componentes "spyware" ou "adware" que podem consumir at mesmo mais largura de banda a medida que eles reportam os hbitos de web-surfing aos seus fabricantes. Um cliente P2P mal configurado pode favorecer o acesso no autenticado a toda a rede atravs de mapeio de drives atravs da aplicao P2P. Ha entre pouca e nenhuma restrio no tipo de arquivos de dados que podem ser compartilhados. Pode ocorrer o compromisso de informao confidencial, propriedade intelectual, e de outros dados. As vulnerabilidades sociais existem quando um usurio malicioso ou previamente infectado cria ou altera um arquivo para que se assemelhe a algo desejado por outro usurio. Vrus, programas Trojan horses, worms, e outros tipos de malware podem resultar. A vitima de tais ataques normalmente o usurio menos tcnico que vai clicar duas vezes o arquivo sem notar que a extenso ou o cone no o mesmo que deveria estar associado com o tipo de dado, ou que ele esteja sendo enganado para rodar um executvel. Independente da natureza do contedo baixado, os usurios devem usam software de antivrus atualizado para escanear todos os downloads. Sempre que seja possvel, as checksums devem ser validadas para assegurar que o que o download o que o usurio desejava e o que o criador pretendia. Os mecanismos P2P tambm podem ser usados para propagar cdigos maliciosos, com diversos vrus propagandose disfarados de contedo desejvel P2P e armazenando-se em compartilhamentos de clientes infectados. O trfego P2P pode tambm submeter comandos e controlar o trfego a computadores comprometidos (zombies.) As vulnerabilidades legais devem ser levadas a srio por ambos, tanto pelo usurio corporativo como pelo residencial. O contedo disponvel atravs de aplicativos P2P inclui musicas com copyright, filmes, e arquivos de programas. Organizaes tais como MPAA, RIAA, e BSA esto tentando ativamente pr um fim s infraes de copyright que ocorrem atravs das redes P2P. Intimaes com id de usurios, interdies, e processos civis foram trazidos a tribunais de justia ao longo do pas. O xito desses esforos ou seu fracasso, e a moralidade ou imoralidade de levar a cabo os downloads de tais materiais devem ser pouco comparando com os custos para uma companhia responder e defender-se contra acusaes de delitos. Contedo pornogrfico tambm esta amplamente disponvel atravs de redes P2P. O fato de que esse tipo de material seja legal ou ilegal em sua jurisdio irrelevante se surge uma ao judicial por acosso sexual contra sua companhia porque um empregado baixou algum material usando um computador da companhia que outro empregado considerou injurioso. W7.2 Sistemas Operacionais Afetados H verses de software P2P disponveis para todos os sistemas operacionais Windows atualmente em uso, bem como verses para os sistemas UNIX e Linux.

W7.3 Referncias CVE/CAN CAN-2000-0412, CVE-2001-0368, CAN-2002-0314, CAN-2002-0315, CVE-2002-0967, CAN-2003-0397 W7.4 Como determinar se voc est vulnervel A deteco de atividade P2P na rede pode ser um grande desafio. Pode-se detectar software P2P rodando na sua rede monitorando o trfego em busca de portas comuns utilizadas por software P2P ou buscando determinadas strings da camada de aplicao que so comumente usadas pelos mesmos (veja um listado das portas comumente usadas por P2P ao final deste item). Existem vrios programas e servios que podem ajudar na deteco e preveno de trfego P2P. Alguns dos software de intrusion prevention baseados em host podem impedir a instalao ou execuo de aplicativos P2P. Cisco Network Based Application Recognition (NBAR) e outros produtos de rede podem impedir que trfego P2P entre ou saia da rede, ou podem monitorar o trfego P2P. Monitore suas conexes WAN com aplicativos tais como NTOP tambm podem revelar trfego P2P. Tambm se poderia escanear localizaes de storage da rede por contedo normalmente baixado por usurios, incluindo *.mp3, *.wma, *.avi, *.mpg, *.mpeg, *.jpg, *.gif, *.zip, *.torrent, and *.exe. Monitorar volumes para redues bruscas do espao livre tambm pode ser til. O Nessus tambm tem um plug-in para detectar aplicativos P2P em execuo, e para os sistemas Microsoft Windows, o SMS pode ser usado para escanear em busca de executveis que esto instalados nas workstations. W7.5 Como se proteger Poltica corporativa: 1. Sua companhia deveria ter e fazer cumprir uma poltica contra o downloading de materiais com copyright. 2. Sua companhia deveria ter e fazer cumprir uma poltica de uso aceitvel para a conexo de Internet corporativa. 3. Deve-se realizar o escaneo regular do storage da rede e das workstations da companhia para materiais no autorizados. Restries de rede: 1. No deveria ser permitida a instalao de software a usurios regulares, especialmente aplicativos peer to peer. 2. Considere utilizar um servidor proxy para controlar o acesso a Internet. 3. Os filtros de sada deveriam restringir o acesso a qualquer porta que no seja requerida para os propsitos de negcios, apesar de que quanto mais programas P2P mudam para http esta medida se torna cada vez menos eficaz. 4. Monitore sua rede para o trfego P2P e trate as violaes da poltica atravs dos canais apropriados. 5. Utilize um software de antivrus corporativo e assegure-se que as atualizaes ocorrem diariamente. Portas comuns usadas por programas peer to peer

Napster tcp 8888 tcp 8875 tcp 6699

eDonkey tcp 4661 tcp 4662 udp 4665

Gnutella tcp/udp 6345 tcp/udp 6346 tcp/udp 6347 tcp/udp 6348

KaZaa tcp 80 (WWW) tcp/udp 1214

Base de dados de assinaturas do Snort em http://www.snort.org/cgi-bin/sigssearch.cgi?sid=p2p 549 550 551 552 556 557 559 561 562 563 564 565 P2P napster login P2P napster new user login P2P napster download attempt P2P napster upload request P2P Outbound GNUTella client request P2P GNUTella client request P2P Inbound GNUTella client request P2P Napster Client Data P2P Napster Client Data P2P Napster Client Data P2P Napster Client Data P2P Napster Server Login

1383 P2P Fastrack (kazaa/morpheus) GET request 1432 P2P GNUTella GET 1699 P2P Fastrack (kazaa/morpheus) traffic 2180 P2P BitTorrent announce request 2181 P2P BitTorrent transfer back to top ^ W8 Exposies do LSASS W8.1 Descrio O Windows Local Security Authority Subsystem Service no Windows 2000, Server 2003 e Server 2003 64 Bit, XP e XP 64 Bit edition contm um buffer overflow critico que se explorado pode levar a um compromisso de todo o sistema. Este overflow est esboado no Microsoft Security Bulletin MS04-011. Este ataque pode ser logrado remota e anonimamente atravs do RPC nos sistemas Windows 2000 e XP mas requerem privilgios locais para rod-lo no Server 2003 ou Windows XP 64 Bit edition. O Local Security Authority Subsystem Service (LSASS) tem um papel importante na autenticao do sistema e na funcionalidade do Active Directory. aqui no processo de interface com o Active Directory que a funo logging da LSASRV.dll pode sofrer um overflow com uma string excessivamente comprida. Esta vulnerabilidade pode potencialmente levar o sistema a estar completamente comprometido. A gravidade esta vulnerabilidade poder ser facilmente explorada remotamente se demonstrou pela propagao recente dos worms Sasser e Korgo, que esto baseados

no LSASS. Tambm conhecido como W32.Sasser (http://www.cert.org/current/archive/2004/07/12/archive.html#sasser, http://www.microsoft.com/security/incident/sasser.mspx) e W32.Korgo (http://www.cert.org/current/archive/2004/07/12/archive.html#korgo ). Muitos worms maliciosos bot recentes tambm usam esta vulnerabilidade para infeco e sua importncia como um problema de segurana em desenvolvimento esta crescendo a cada dia e freqentemente esta sendo omitido. Se assignou o CVE numero CAN-2003-0533 a esta vulnerabilidade. Encoraja-se aos administradores de rede que no somente apliquem os patches contra esta vulnerabilidade nos seus sistemas, seno que tambm implementem todos os controles de acesso necessrios nos pontos de ingresso rede para impedir que abusos baseados no Windows RPC entrem nos ambientes vulnerveis. W8.2 Sistemas Operacionais Afetados Windows 2000, Windows XP e Professional, Windows XP 64-Bit Edition, Windows 2003 W8.3 Referncias CVE/CAN CVE-1999-0227 CAN-1999-1234, CAN-2001-1122, CAN-2003-0507, CAN-2003-0533, CAN-2003-0663, CAN-2003-0818 W8.4 Como determinar se voc est vulnervel: Esta vulnerabilidade pode ser testada pela rede ou localmente no prprio sistema. Um teste de rede mais apropriado aos administradores de segurana e de redes que necessitam detectar computadores vulnerveis dentro de uma rede ou um intervalo IP. Um teste local adequado a usurios finais que necessitam verificar se seu sistema vulnervel. Para a deteco baseada na rede, as seguintes trs ferramentas esto disponveis gratuitamente: 1.Nessus, uma ferramenta baseada em rede para a avaliao de vulnerabilidades, tem um plug-in smb_kb835732.nasl (id 12209) que verifica a existncia do patch KB835732. Mais detalhes e o download esto disponveis em http://cgi.nessus.org/plugins/dump.php3?id=12209

2.DSScan da Foundstone permite um varrido de toda a rede e proporciona um

recurso de envio de alertas aos sistemas vulnerveis. Mais detalhes e o download esto disponveis em http://www.foundstone.com/resources/proddesc/dsscan.htm

3.Sasser Worm Scanner do eEye determina se um sistema vulnervel ao exploit LSASS e ao Sasser worm virus. Mais detalhes e o download esto disponveis em http://www.eeye.com/html/resources/downloads/audits/index.html Para a deteco local voc pode fazer uso das seguintes ferramentas da Microsoft:

1. O Microsoft Baseline Security Analyzer (MBSA) permite a voc determinar se seu computador vulnervel a este exploit. Mais detalhes e o download esto disponveis em http://www.microsoft.com/technet/security/tools/mbsahome.mspx 2. O Windows Update escanea seu computador e oferece uma seleo de atualizaes preparadas sob medida para voc. Se o MS04-011 (KB835732) listado como um dos updates que ainda no foram instalados no seu computador, ento ele vulnervel. As instrues passo a passo esto disponveis em http://windowsupdate.microsoft.com W8.5 Como se proteger Sumrio: 1. Bloqueie portas no Firewall 2. Aplique o ltimo patch da Microsoft 3. Habilite o filtrado TCP/IP Detalhes: 1. Bloqueio de portas no Firewall. Se voc tem um Firewall, poder ajudar a proteger a sua rede interna e os sistemas dos ataques originados afora atravs do bloqueio das seguintes portas: UDP/135, UDP/137, UDP/138, UDP/445 TCP/135, TCP/139, TCP/445, TCP/593

Sugere-se que voc use um personal host based firewall, e ento bloqueie todo trfego entrante no solicitado. Se voc utiliza a caracterstica Internet Connection Firewall (ICF) do Windows XP ou do Windows Server 2003 para ajudar a proteger seus hosts conectados a Internet, ele bloqueia o trfego entrante no solicitado por default. Para habilitar o Internet Connection Firewall usando o Network Setup Wizard, siga estes passos: a. b. Clique Start, e ento clique Control Panel Na default Category View, clique Network and Internet Connections, e ento clique Setup or change your home or small office network. A caracterstica Internet Connection Firewall se habilita quando se seleciona uma configurao no Network Setup Wizard que indica que o seu sistema est conectado diretamente a Internet.

Para configurar o Internet Connection Firewall manualmente para uma conexo, siga estes passos: a. Clique Start, e ento clique Control Panel

b. Na default Category View, clique Network and Internet Connections, e ento clique Network Connections. c. Clique-direito na conexao na qual voc deseja habilitar o Internet Connection Firewall, e ento clique em Properties d. Clicar o Advanced tab e. Marque o checkbox Protect my computer or networks by limiting or preventing access to this computer from the Internet e clique OK Nota: Se desejar habilitar o uso de alguns programa e servios atravs do firewall, clique Settings no Advanced tab, e ento selecione os programas, protocolos, e servios necessrios. 2. Aplicar o ltimo patch para o LSASS dependendo do seu sistema operacional Windows. O patch para a vulnerabilidade LSASS esta disponvel no seguinte site da Microsoft. http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx 3. Habilitar o TCP/IP filtering para bloquear todo trfego entrante. Para configurar o filtrado TCP/IP, siga estes passos: A)Clique Start, selecione Control Panel, clique-direito em Network Connections, e ento clique Open. B)Click-direito na conexo de rede onde voc quer configurar o controle de acesso entrante, e ento clique Properties. C)Em AdapterNameConnection Properties no General tab, clique Internet Protocol (TCP/IP), e ento clique Properties. D)Na caixa de dilogos Internet Protocol (TCP/IP) Properties, clique Advanced. E)Clique o Options tab. F)Clique TCP/IP Filtering, e ento clique Properties. G)Marque o checkbox Enable TCP/IP Filtering (All adapters). H)Em TCP/IP Filtering, h trs colunas com as seguintes etiquetas: TCP Ports UDP Ports IP Protocols

Em cada coluna, voc deve selecionar uma das seguintes opes: A)Permit All. Selecione esta opo se desejar permitir todos os pacotes para o trfego de TCP ou UDP. B)Permit Only. Selecione esta opo se desejar permitir somente trfego selecionado de TCP ou UDP. Clique Add, ento digite a porta

apropriada ou o numero de protocolo na caixa de dilogo Add Filter. No se pode broquear o trfego UDP ou TCP selecionando Permit Only na coluna IP Protocols e adicionando os protocolos IP 6 e 17. Nota: Quando configurar o filtrado TCP/IP, lembre-se quais so as portas que necessitam ser bloqueadas. Para a vulnerabilidade LSASS, a porta TCP/445 deve estar bloqueada para trfego entrante. back to top ^ W9 Cientes de Email W9.1 Descrio Microsoft Outlook o manager de informao pessoal e programa cliente de email para o Microsoft Windows. principalmente um aplicativo de e-mail, apesar que tambm oferece calendrio, e administrao de tarefas e contatos. Quando usado conjuntamente com o Microsoft Exchange Server, o Microsoft Outlook pode proporcionar funcionalidades adicionais de groupware, tais como o suporte de mltiplos usurios, ajuda na coordenao de horrios de reunies, e compartilhando calendrios e caixas postais. O Outlook Express (OE) uma verso menos funcional porm grtis do Outlook, a qual proporciona servios bsicos de email e administrao de contatos. Ele foi empacotado com o Internet Explorer desde a verso 1.0, que por outro lado sempre foi parte integral de todas as verses do Microsoft Windows comeando com o Windows 95. A verso mais atual do Outlook Express, 6.0 com o SP1 aplicado, est disponvel para baixar como download grtis do site da Microsoft. Atravs da integrao de produtos como o Internet Explorer e o Outlook Express em outras linhas de produtos, incluindo o Office, o BackOffice, e os sistemas operacionais Windows, a Microsoft permitiu que se utilizasse a programao e tecnologias em comum ao longo de toda a plataforma. Infelizmente esta pratica introduz os pontos de falhas nicos e aumenta o impacto que uma nica vulnerabilidade pode apresentar. Um dos objetivos da Microsoft foi desenvolver uma soluo de management de informao e email que fosse utilizvel e intuitiva. Infelizmente as caractersticas de embedded automation so dispares em quanto aos controles predefinidos de segurana (freqentemente desconsiderados pelos usurios). Isto deu origem aos vrus de email, worms, cdigo malicioso para comprometer o sistema local, e muitas outras formas de ataques. Os riscos potenciais de clientes de email incluem: A infeco do computador com vrus ou worm cdigo malicioso que se expande atravs de anexos ou embedded scripting no corpo de uma mensagem; Spam email comercial no solicitado; Web beaconing validao do endereo de email que o receptor ativa abrindo uma mensagem. As verses atuais do Outlook e do Outlook Express podem proteger os usurios contra os riscos mencionados acima, desde que sejam adequadamente configurados. W9.2 Sistemas Operacionais Afetados

Todas as verses do Microsoft Windows vem com o Outlook Express empacotado juntamente com o Internet Explorer, e so portanto potencialmente vulnerveis. Para identificar a verso atual do OE, execute o Internet Explorer e ento selecione About Internet Explorer no meu Help. As verses inferiores a 6 deveriam ser atualizadas bem como todos os hotfixes de segurana imediatamente. O Outlook instalado somente se o usurio especificou explicitamente, tanto como um aplicativo standalone, ou como parte da sute Microsoft Office. As verses do Outlook para Microsoft Windows incluem: Outlook Outlook Outlook Outlook Outlook Outlook 95 97 98 2000, tambm conhecido como Outlook 9 XP, tambm conhecido como Outlook 10 ou Outlook 2002 2003, tambm conhecido como Outlook 11

As verses prvias ao Outlook 2000 j no contam mais com o suporte de Microsoft Corp. e altamente recomendvel atualiz-las o mais rpido possvel por verses suportadas do produto (Outlook 2003, 2002 or 2000). Todas as verses do Outlook deveriam ter o ultimo service pack de produto aplicado. Verses atuais dos service packs: Outlook 2000 Service Pack 3 Outlook XP (Outlook 2002) Service Pack 3 Outlook 2003 atualmente no tem service packs. Para identificar a verso instalada do Outlook, execute o programa e selecione About Outlook no menu Help. Referencias: Outlook Express http://www.microsoft.com/windows/oe/ http://www.microsoft.com/office/outlook/ Outlook http://support.microsoft.com/default.aspx?id=fh;[ln];lifeprodo Product Lifecycle Dates Microsoft Office downloads http://office.microsoft.com/OfficeUpdate CVE-1999-0967, CVE-2000-0036, CVE-2000-0567, CVE-2000-0621, CVE-20000662,CVE-2000-0753, CVE-2000-0788, CVE-2001-0149, CVE-2001-0340, CVE-20010538,CVE-2001-0660, CVE-2001-0666, CVE-2001-0726, CVE-2001-1088, CVE-20020152,CVE-2002-0685, CVE-2002-1056 CAN-1999-0004, CAN-1999-0354, CAN-1999-1016, CAN-1999-1033, CAN-19991164,CAN-2000-0105, CAN-2000-0216, CAN-2000-0415, CAN-2000-0524, CAN-20000653,CAN-2000-0756, CAN-2001-0145, CAN-2001-0945, CAN-2001-0999, CAN-20011325,CAN-2002-0285, CAN-2002-0481, CAN-2002-0507, CAN-2002-0637, CAN-20021121,CAN-2002-1179, CAN-2002-1255, CAN-2003-0007, CAN-2003-0301, CAN-20040121, CAN-2004-0215, CAN-2004-0284, CAN-2004-0380, CAN-2004-0501, CAN2004-0502 , CAN-2004-0503, CAN-2004-0526 W9.3 Como determinar se voc est vulnervel

Todos os computadores que tenham o Internet Explorer instalado contero o Outlook Express. As instalaes manuais da sute Microsoft Office podem incluir o Outlook com os pacotes mais comuns de produtividade tais como o Word, o Excel, o PowerPoint e o Access. Um sistema pode estar vulnervel se ocorre alguma das seguintes situaes: a. O sistema no esta completamente atualizado, o que pode ser verificado visitando o MS update, ou b. Os parmetros de segurana esto inadequadamente configurados

W9.4 Como se proteger H varias coisas que se podem fazer para configurar o Outlook a/ou Outlook Express para minimizar o risco de segurana. Proteger o Outlook / Outlook Express Por default o Outlook e o Outlook Express tem parmetros de segurana e configurao relaxados. importante ajust-los e assegurar que o software crtico esteja atualizado. Exemplos disto incluem: 1. Periodicamente visitar o site Microsoft Update, http://windowsupdate.microsoft.com, e aplicar todos os patches crticos. 2. Desabilitar a janela do Message Preview clicando em View > Layout e desmarcando a opo Show preview pane. 3. Ajustar as configuraes relacionadas zona de Segurana associada ao email entrante. Selecione Tools > Options e clique no Security Tab. Clicar no boto "Restricted sites zone (More secure)" e manualmente ajustar a configurao em High. Clicar em OK para guardar a seleo. Proteo contra anexos com potencial cdigo malicioso As verses do Oulook 2000 (SP3), Outlook 2002 (SP1 e posterior) e Outlook 2003 (todas as verses) incluem proteo eficaz contra anexos que podem ter cdigo potencialmente malicioso. Por default, todos os anexos com extenses tais como .exe, .com, .vbs etc so bloqueados automaticamente. O uso de ferramentas como o WinZip ou um mtodo diferente de transferncia de arquivos (FTP, SCP) o caminho recomendado se h necessidade legitima de enviar arquivos executveis como anexos. Uma lista completa das extenses bloqueadas pelo Outlook pode ser encontrada no artigo em: http://www.microsoft.com/office/ork/2003/three/ch12/OutG07.htm Para estender a lista default de tipos de arquivos bloqueados, necessrio editar o registro como a seguir: 1. Clique Start, clique Run, digite regedit, e ento clique OK. 2. Localize e ento clique a seguinte chave no registro:

Para o Outlook 2003: HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Security Para o Outlook XP/2002: HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Security Para o Outlook 2000: HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Security 3. 4. 5. 6. No menu Edit, selecione New, e ento clica String Value. Digite Level1Add, e ento pressione ENTER. No menu Edit, clica Modify. Digite <extenses_de_nome_de_arquivo>, e entao clica OK.

Nota: extenses_de_nome_de_arquivo uma lista das extenses de nomes de arquivos. Cada extenso de nome de arquivo est separada por um ponto-e-vrgula. Por exemplo, digite .zip; .gif se voc quiser impedir ambos tipos de arquivos .zip e .gif de aparecer como anexos em uma mensagem de e-mail. O artigo KB837388 da Microsoft Technet How to configure Outlook to block additional attachment file name extensions proporciona uma descrio detalhada desse processo: http://support.microsoft.com/?kbid=837388 Proteo contra o SPAM (e-mail comercial no solicitado) O Outlook 2003 inclui proteo eficaz contra o Spam. Para configurar a mesma, abra o Outlook selecione Actions Junk E-mail Junk E-mail Options. A folha Options desse quadro de dialogo tem 4 botes que controlam a configurao e os limites do motor anti-spam: No Automatic Filtering o spam no filtrado; Low (default setting) configurao altamente eficaz; manda a maioria do lixo para a pasta Junk E-mail e praticamente tem muito poucos falsos positivos; High filtrado agressivo de spam. Filtra praticamente todo o junk mail (os envia para a pasta Junk E-Mail), mas pode potencialmente rotular algumas mensagens de e-mail legitimas como spam. Se configurar este parmetro, se recomenda verificar regularmente a pasta Junk E-mail pela presena de e-mail legtimo que erradamente se identificou como spam; Safe Lists Only somente mail dos remetentes ou domnios na Safe Senders List ou Safe Recipients List sero entregados. Este e o parmetro mais a prova de spam, mas requer tempo e esforo para povoar a Safe Senders List e a Safe Recepients List com todos os endereos legtimos e domins que podem comunicar com o usurio. O Outlook Express e as verses mais antigas do Outlook no possuem caractersticas eficazes de anti-spam, mas elas tm uma lista personalizvel Blocked Senders List. Para configurar essa lista no Outlook Express, ir a Tools > Message Rules e selecionar Blocked Senders List.

Proteo contra cdigo malicioso, embebido no texto do e-mail As mensagens de e-mail em formatos rich-text (HTML, RTF) podem ter cdigo malicioso embebido no texto, ao contrario do e-mail em plain text, o qual no pode incluir nenhum cdigo. A maneira mais simples e eficaz de proteger contra o cdigo malicioso ler todas as mensagens de email no formato plain text. Para configurar isto no Outlook 2003, ir a Tools > Options, selecionar a folha Preferences, depois o boto E-mail Options, e marcar Read all standard mail in plain text e Read all digitally signed mail in plain text. Pressione OK duas vezes. Proteo contra o Web Beaconing O Web Beaconing um mtodo de verificar que uma mensagem de e-mail foi aberta, e portanto o destinatrio um alvo vlido para futuro spam, incluindo pequenas imagens (usualmente 1x1 pixel) no corpo de uma mensagem com formato HTML. Esta tcnica amplamente utilizada por spammers e anunciantes. Ademais de confirmar que o usurio abriu a mensagem, o Web Beaconing permite a obteno de determinada informao (endereo IP, idioma, verso do browser) sobre o usurio e seu sistema. Para impedir o Web Beaconing no Outlook 2003, abrir o Outlook Selecionar Tools > Options, e ir folha Security. Ir a Go to the Change Automatic Download Settings , e selecione os checkboxes Dont download pictures or other content automatically in HTML e-mail e Warn me before downloading content when editing, forwarding, or replying to e-mail. Finalmente pressione OK duas vezes. Comportamento do Usurio J que o fator humano o elemento mais dbil no processo de segurana, importante seguir algumas diretrizes de boas praticas para o manejo do e-mail. Quando se recebe um anexo, mesmo que este tenha sido originado em um remetente de confiana, importante assegurar que o mesmo seja verificado pela presena de vrus e qualquer malware de acordo ao detalhado na seo seguinte, titulada AntiVirus. Baixo a recepo de um anexo, guarde-o em uma pasta que no seja My Documents, ja que ela a utilizada por muitos vrus como ponto de partida. Selecione outra pasta, ou mesmo outra partio, para manter os anexos entrantes separados do resto dos seus arquivos. No abra anexos imprevistos mesmo que eles tenham vindo de amigos. At mesmo os arquivos DOC e XLS podem conter programas Basic embebidos que podem causar danos ao seu sistema. Se voc tiver que abrir documentos com algum produto da Microsoft tal como o Word, assegure-se de ir a Tools > Options > Security e selecionar o boto junto a High para desabilitar macros exceto quando esto assinadas. Sempre verifique todas as assinaturas digitais associadas com arquivos executveis para assegurar a integridade dos arquivos e tambm que ele se originou em um remetente de confiana. Anti-Virus O software de Antivrus pode ajudar a proteger os computadores contra a maioria dos vrus, worms, Trojan horses, e outros cdigos maliciosos. muito importante que as bases de dados das assinaturas digitais do antivrus estejam atualizadas at pelo

menos uma vez por semana (o ideal seria de forma automtica e diria) para ajudar a proteger contra os ataques de novos perigos. A maioria das solues de antivrus moderna automatiza esta tarefa completamente. Seria prudente assegurar que todos os arquivos so escaneados como medida de precauo, independente do tipo de arquivo ou origem. As solues modernas de antivrus tem a habilidade de escanear todo o mail que entra ou sai para assegurar que tipos de arquivos maliciosos e scripts so bloqueados antes que possam danar o sistema local. altamente recomendvel que ferramentas atualizadas de proteo contra vrus sejam instaladas antes de usar o e-mail ou outro servio de Internet, j que muitos vrus se propagam atravs dos clientes de e-mail em forma de anexos ou cdigos de script maliciosos que se executam quando a mensagem vista ou pr-visualizada. Referencia: Microsoft Antivirus Reference http://www.microsoft.com/security/protect/antivirus.asp Atualizao do Outlook e Outlook Express O Outlook Express tem sido atualizado varias vezes com o passar dos anos, proporcionado maior funcionalidade prpria, estabilidade e segurana. A verso mais recente est disponvel gratuitamente em http://www.microsoft.com/windows/oe/ Para assegurar que o Outlook e todos os seus programas de Office estejam completamente atualizados, visite as paginas Office Product Updates. Este site detecta automaticamente os updates crticos e recomendados que correspondam. Para informao detalhada sobre outras caractersticas de segurana e configuraes no Office 2003, leia o Office 2003 Security white paper. Nota: O administrador de sistemas deveria ser contatado antes de que se faam modificacoes nos computadores administrados. Os administradores podem encontrar informao tcnica detalhada sobre o Outlook E-Mail Security Update no Office Resource Kit. Desinstalao do Outlook e Outlook Express Se se este utilizando outro cliente de e-mail ou administrao de informao ento o Outlook e/ou Outlook Express podem ser removidos de maneira segura. Outlook em todas as verses do Windows O Outlook pode ser removido clicando em Start > Settings > Control Panel e clicando duas vezes no icono Add/Remove Programs. Quando aparece a caixa de dialogo Add/Remove Program Properties, clique o Outlook tab e selecione o boto Remove. Outlook Express no Windows 98/ME O Outlook Express pode ser removido do sistema clicando em Start > Settings > Control Panel e clicando duas vezes no icono Add/Remove Programs. Quando aparece a caixa de dilogo Add/Remove Program Properties, clique o Windows Setup tab e deslize ate o Microsoft Outlook Express e desmarque o checkbox junto a ele. Clique o boto OK para guardar as modificaes e Windows desinstalara o Outlook Express.

Outlook Express no Windows 2000/XP ou Versoes Atualizadas do Internet Explorer Os passos necessrios para remover o Outlook Express do Windows 2000/XP ou de usurios que atualizaram seus browsers para ltima verso so muito mais complexos. Referir-se s seguintes guias da Microsoft para informao detalhada: Usurios de Windows 2000 rodando as verses 5.x/6.0 do Microsoft Outlook Express http://support.microsoft.com/default.aspx?scid=kb;EN-US;q263837 Windows 98/Me e Microsoft Outlook Express atualizado a verses 5.x/6.0 http://support.microsoft.com/default.aspx?scid=kb;EN-US;q256219 Nota: O Outlook Express pode ser re-instalado silenciosamente se um service pack, roll-up importante, ou atualizao de sistema operacional instalado. back to top ^ W10 Instant Messaging W10.1 Descrio A tecnologia de Instant Messaging madurou nos ltimos anos da novidade de um addon que permitia a seus usurios rapidamente estabelecer contato com seus amigos e famlia, a uma capacidade chave do Windows Operating System que se usa freqentemente para comunicaes de negcios, colaborao, e suporte operacional. Apesar de que os aplicativos de Instant Messaging (IM) de terceiros concentram boa parte do mercado de instalaes IM, h uma tendncia crescente de integrar essa funcionalidade diretamente no Sistema Operacional que poderia potencialmente apresentar um risco de segurana a organizaes que tenham polticas de uso aceitvel ou estrutura de segurana operacional que probem o uso desta tecnologia. O descobrimento de vulnerabilidades nestes programas tambm apresenta um risco significante das organizaes que carecem de contramedidas tcnicas, staff de segurana, ou capacidade para mitigar este crescente perigo embutido. Sem duvida a grande maioria de aplicativos IM que se encontram em sistemas Windows so Yahoo! Messenger (YM), AOL Instant Messenger (AIM), MSN Messenger (MSN) e Windows Messenger (WM) o qual hoje em dia est completamente integrado nas verses do Windows XP Professional e Home. As capacidades que estes programas trazem ao escritrio variam muito e podem dar ao usurio a possibilidade de ler email remoto baseado na web, participar de chats de voz, realizar vdeo comunicaes, e enviar e compartilhar arquivos que vo alem do simples chat onde se intercambiam texto. Tambm h uma tendncia de aplicativos de mensagens multi redes que proporcionam ao usurio uma interface centralizada para rodar redes e protocolos de mensagens, tais como o Trillian e a recentemente surgida aliana entre AOL, Yahoo!, e MSN, a qual permite estes trs clientes interagir de forma transparente no ambiente de trabalho. As vulnerabilidades explorveis remotamente nestes programas ou dependncias associadas so um crescente risco integridade e segurana das redes, diretamente proporcional a sua rpida integraes e implementao nos sistemas Windows. Os cenrios de ataques para as vulnerabilidades Instant Messaging sao muito variados, e podem aparecer na forma de buffer overflows executados remotamente (baseado no RPC, mal formao de pacotes), URI/ataques baseados em links maliciosos, vulnerabilidades de transferncias de arquivos, e exploits de Active X. Vulnerabilities in these programs typically arise from the following categories:

Controles ActiveX obsoletos por exemplo, MSN Messenger ResDLL Buffer Overflow CAN-2002-0155, Yahoo! Voice Chat ActiveX Control Buffer Overflow Vulnerability (http://www.securityfocus.com/bid/7561), Yahoo! Webcam ActiveX Control Buffer Overrun Vulnerability (http://www.securityfocus.com/bid/8634). URI implementation problems por exemplo, Yahoo! Messenger malicious script execution CAN-2002-0032, Yahoo! Messenger URI handler buffer overflow CAN-2002-0031. Diversos Buffer Overflows, tais como os resultants de transferencias de arquivos por exemplo, MSN Messenger file validation failure CAN-20040122, Yahoo! Messenger Imvironment e message field buffer overflows respectivamente CAN-2002-0320 e CAN-2002-0320, AOL Instant Messenger TLV 0x2711 packet parsing buffer overflow CAN-2002-0005, VU#912659, Yahoo! Messenger YAuto.DLL Open Buffer Overflow Vulnerability (http://www.securityfocus.com/bid/9145), AOL Instant Messenger Getfile Screenname Buffer Overrun Vulnerability (http://www.securityfocus.com/bid/8825)

Estes programas no somente introduzem vulnerabilidades baseadas em rede aos sistemas, mas tambm apresentam risco de perda de propriedade intelectual, potencial perda de confiabilidade, e perigo de perda de produtividade por parte do trabalhador. Enquanto mitigar remotamente as debilidades explorveis nesses programas de absoluta importncia,a necessria poltica de uso aceitvel e o controle de trafego de entrada/sada tambm tem importncia fundamental para assegurar evitar os problemas que Instant Messaging pode introduzir em uma rede. W10.2 Sistemas Operacionais Afetados: Windows 98, Windows ME, Windows 2000 e Professional, Windows XP e Windows 2003 so capazes de rodar Microsoft Instant Messenger. Todas as verses do Microsoft Windows XP vem com o Instant Messenger empacotado com o sistema operacional. W10.3 Referncias CVE/CAN: CVE-2002-0005[NOMINATE], CVE-2002-0032, CVE-2002-0155[NOMINATE], CVE2002-0785 CAN-2002-0031[NOMINATE], CAN-2002-0228, CAN-2002-0320, CAN-20020362[NOMINATE], CAN-2003-0717[NOMINATE], CAN-2004-0043, CAN-20021486[NOMINATE] W10.4 Como determinar se voc est vulnervel: Para identificar a verso atual do Microsoft Instant Messenger, execute o programa e selecione About Instant Messenger no menu Help. As verses anteriores a 6.2 deveriam ser atualizadas bem como os hotfixes de segurana imediatamente. W10.5 Como se proteger: (a) Assegure-se que o software instalado de messenger tais como Yahoo, MSN, AOL, Trillian etc esto em dia com todos os patches do vendedor.

(b) Configure algum Intrusion Prevention/Detection System para alertar de qualquer transferncia de arquivos que utilizam qualquer desses aplicativos de intercambio de mensagens. (c) Se a poltica apropriada de segurana do site o permite, bloqueie as seguintes portas no firewall. Note que isto no oferece uma proteo completa pois alguns desses programas podem passar despercebidos pelas regras do firewall. 1863/tcp: Microsoft .NET Messenger, MSN Messenger 5050/tcp: Yahoo Messenger 6891/tcp: MSN Messenger File Transfers 5190-5193/tcp: AOL Instant Messenger

(d) Bloqueie o acesso a paginas web que contenham links com URLs tais como "aim:" ou "ymsgr:". Isto pode prevenir a explorao das falhas nos URI handlers. Outra opo remover cuidadosamente unicamente estas chaves do registro em "HKEY_CLASSES_ROOT". (e) Bloqueie o acesso a paginas web que invoquem controles ActiveX associados a qualquer problema de messenger. Isto pode prevenir a explorao de qualquer vulnerabilidade nos controles ActiveX associados aos programas de intercambio de mensagens. back to top ^

Vulnerabilidades Top nos Sistemas UNIX (U)

U1 BIND Domain Name System U1.1 Descrio O pacote do Berkeley Internet Name Domain (BIND) se tornou uma das implementaes de Domain Name Service (DNS) mais utilizadas. O DNS um sistema critico que facilita a converso de hostnames (ex. www.sans.org) em um endereo IP correspondente. Devido a natureza critica do BIND, ele se tornou um alvo de ataques freqentes. Ataques de Denial of Service (DoS) , que geralmente resulta em uma completa perda do servio de nomes da internet, por muito tempo incomodaram o BIND. Vrios outros ataques, como buffer overflows, e cache poisoning foram sendo descobertos para o BIND. Embora o time de desenvolvimento do BIND tenha sido historicamente rpido nas respostas e no desenvolvimento de correes, um nmero ainda grande de servidores em produo so encontrados desatualizados, vulnerveis e mal configurados. Um nmero de fatores contribui para essa condio. Entre os mais comuns esto administradores que no esto cientes das correes disponveis, sistemas que rodam o servio BIND (chamado named) desnecessariamente, e arquivos de configurao criados de forma indevida e errada. Qualquer um destes pode levar a um ataque de denial of service, de buffer overflow ou DNS cache poisoning. Entre as vulnerabilidades do BIND descobertas mais recentemente estava um denial of service discutido em CERT Advisory CA-2002-15. Neste caso, um hacker poderia enviar pacotes de DNS especficos e forar um teste de consistncia interno, que por si s era vulnervel, fazendo assim, que o servio do BIND fosse encerrado. Outro era um ataque de buffer overflow, discutido em CERT Advisory CA-2002-19, no qual um hacker poderia utilizar implementaes vulnerveis das bibliotecas de resoluo do DNS. Enviando respostas

de DNS maliciosas o hacker poderia explorer essa vulnerabilidade e executar cdigo arbitrrio ou mesmo causar um denial of service. Outro risco enfrentado por um servidor BIND vulnervel, que pode ser comprometido e usado como um repositrio de material ilcito, sem o conhecimento do administrador, ou mesmo como uma plataforma de lanamento de atividades maliciosas. U1.2 Sistemas Operacionais Afetados Cerca de todos os sistemas UNIX e Linux so distribudos com alguma verso do BIND. A instalao do BIND pode ser intencional, no caso de servidores, ou sem inteno em todos os outros casos. Uma verso do binrio do BIND encontrada disponvel tambm para plataforma Windows. U1.3 Referncias CVE/CAN CVE-1999-0009, CVE-1999-0024, CVE-1999-0184, CVE-1999-0833, CVE-1999-0837, CVE-1999-0835, CVE-1999-0848, CVE-1999-0849, CVE-1999-0851, CVE-2000-0887, CVE-2000-0888, CVE-2001-0010, CVE-2001-0011, CVE-2001-0012, CVE-2001-0013, CAN-2002-0029, CAN-2002-0400, CAN-2002-0651, CAN-2002-0684, CAN-2002-1219, CAN-2002-1220, CAN-2002-1221, CAN-2003-0914 U1.4 Como determinar se voc est vulnervel Qualquer verso de servidor BIND sendo executado e foi instalado junto com o Sistema Operacional dever ser verificado a existncia de correes junto ao fabricante. Se uma verso em execuo do BIND foi compilada com o cdigo fonte do Internet Software Consortium (ISC), dever ser verificado se est a ltima verso. Verses desatualizadas ou sem patch podero estar possivelmente vulnerveis. Na maioria das implementaes, o comando named v ir mostrar a verso do BIND instalada, com nmeros na forma de X.Y.Z, onde X a verso principal, Y a verso secundria, e Z a verso do patch. Atualmente as trs maiores verses de BIND so 4, 8 e 9. Se alguma estiver rodando o servidor com origem no cdigo fonte deve-se evitar a verso 4, optando pela verso 9. Voc pode pegar a ltima verso 9.3.0rc2, direto do ISC. Um approach pr-ativo para manter a segurana do BIND se inscrever em um reporte de vulnerabilidades j customizado, como os disponveis no SANS ou observando os alertas postados no OSVDB. Alem dos alertas de segurana, uma verso atualizada de um scanner de vulnerabilidades pode ser bem efetivo no diagnostico de possveis vulnerabilidades dentro dos sistemas de DNS. U1.5 Como se Proteger Protees Gerais contra as vulnerabilidades do BIND: 1. Desabilite o daemon BIND (chamado de "named") em qualquer sistema que no esteja especificamente designado e autorizado para ser um servidor DNS. 2. Aplique todos os patches do fabricante ou atualize os servidores DNS para a ultima verso. Para mais informaes sobre o hardening de uma instalao BIND, veja os artigos sobre segurana de servidores de nome referenciados no CERT UNIX Security Checklist.

3. Para complicar os ataques e scans automatizados de um sistema, esconda o banner de Version String no BIND, substituindo a verso atual do BIND com uma verso qualquer, nas opes do arquivo named.conf 4. Permita transferncia de zonas somente para servidores DNS secundrios nos domnios confiveis. Desabilite transferncia de zona para parent ou child domains, usando delegao e forwarding. 5. Jail: para prevenir que um servio BIND exponha todo o sistema, restrinja o BIND para que ele roda como um usurio no privilegiado in um diretrio chroot. Para o BIND 9 veja http://www.losurs.org/docs/howto/Chroot-BIND.html. 6. Desabilite recurso e glue fetching para se defender contra DNS cache poisoning

Para se proteger contra as vulnerabilidades recentes no BIND: 1. Para vulnerabilidade de Denial of Service Vulnerability no ISC BIND 9: http//www.cert.org/advisories/CA-2002-15.html 2. Multiplas vulnerabilidades de Denial of Service vulnerabilities on ISC BIND 8: http://www.isc.org/products/BIND/bind-security.html 3. Cache poisoning via negative responses: http://www.kb.cert.org/vuls/id/734644

Existem muitos guias excelentes para se fazer o hardening no BIND. Um guia excelente de hardening BIND no sistema Solaris, assim como referencias adicionais na documentao do BIND, pode ser encontrado em Running the BIND9 DNS Server Securely e os arquivos de segurana do BIND disponveis na Afentis. Voc pode tambm ver a documentao cobrindo praticas gerais de segurana no BIND em http://www.linuxsecurity.com/resource_files/server_security/securing_an_internet_na me_server.pdf. Administradores podem tambm ver solues alternativas ao BIND, como o DJBDNS localizado em http://cr.yp.to/djbdns.html. back to top ^ U2 Servidores Web U2.1 Descrio O trafego HTTP de longe um dos servios mais usados na Internet. Servidores Web em Unix, como o Apache e o Sun Java System Web Server (antigo iPlanet) fornecem a maioria do trafego, e como tais, merecem uma ateno especial aos aspectos de segurana. Estes aspectos incluem vulnerabilidades dentro do prprio servidor, assim como mdulos add-on, scripts de cgi de teste/padres/exemplo, bugs no PHP e vrios outros vetores de ataque. Enquanto existem vrios vetores de ataque diferentes, a maior causa de comprometimentos de servidores web em Unix resultado de um sistema mal configurado na hora da instalao ou sem uma manuteno regular. O resultado de um comprometimento pode ser desde um Denial of Service, web defacement, acesso de root no sistema e tudo mais que possa existir nesse meio.

Vrios fabricantes e projetos open-source provem as melhores prticas de configurao e updates de segurana para seus produtos, e vital para qualquer administrador de servidores web, que estejam vigilantes e mantenha sempre o mais atualizado. importante perceber que a maioria dos servidores web so comprometidos via exploits pblicos e j conhecidos, que se aproveitam de vulnerabilidades que a muito tempo j existem patches disponveis pelo fabricante. U2.2 Sistemas Operacionais Afetados Todos os UNIXs so passiveis de rodar um servidor HTTP. Muitas variantes UNIX e Linux vem com Apache instalado e j habilitado por default. Adicionalmente, ambos Apache e iPlanet/Java System so possveis de serem executados em outros sistemas operacionais, incluindo Windows, e bem possveis de estarem sujeitos as mesmas vulnerabilidades. U2.3 Referncias CVE/CAN NOTA: Como mencionado, ambos Apache e iPlanet/Java System podem ser executados em mltiplas plataformas. Usurios destes servidores devero consultar as entradas CVE/CAN apropriadas dessa lista assim como as da lista do Windows (item W1.3) e assegurar que todas as possveis vulnerabilidades foram verificadas. Apache CVE-1999-0021, CVE-1999-0066, CVE-1999-0067, CVE-1999-0070, CVE-1999-0146, CVE-1999-0172, CVE-1999-0174, CVE-1999-0237, CVE-1999-0260, CVE-1999-0262, CVE-1999-0264, CVE-1999-0266, CAN-1999-0509, CVE-2000-0010, CVE-2000-0208, CVE-2000-0287, CAN-2000-0832, CVE-2000-0941, CVE-2002-0061, CVE-2002-0082, CVE-2002-0392, CAN-2002-0513, CAN-2002-0655, CAN-2002-0656, CAN-2002-0657, CAN-2002-0682, CAN-2003-0132, CAN-2003-0189, CAN-2003-0192, CAN-2003-0254 ,CAN-2004-0488,CAN-2004-0492 iPlanet/Sun Java System Web Server CVE-2000-1077, CAN-2001-0419,CAN-2001-0746,CAN-2001-0747,CAN-2002-0686, CVE-2002-0845,CAN-2002-1315, CAN-2002-1316 OpenSSL CAN-2003-0543, CAN-2003-0544, CAN-2003-0545 PHP CVE-2002-0081, CAN-2003-0097, CAN-2004-0594 Other CAN-2004-0529, CAN-2004-0734 U2.4 Como determinar se voc est vulnervel Qualquer instalao de Servidor Web padro ou sem patches, esto presumidamente vulnerveis. A melhor maneira de se manter atualizado nos aspectos de segurana de determinado produto consultando a pgina de segurana do fabricante. Exemplos como os a seguir:

Apache HTTP Server Main Page & Security Report (Inclui links para ApacheWeek) Sun Web, Portal, & Directory Servers Download Center & BigAdmin Portal PHP Home Page e Downloads OpenSSL

Qualquer vulnerabilidade listada deve ser corrigida assim que possvel. A janela de tempo entre o anuncio de uma vulnerabilidade e a disponibilizao de um exploit publico, e assim possibilitando o lanamento de um worm, est diminuindo cada vez mais. Para ajudar no processo de analise de vulnerabilidades, pode ser usado um dos vrios scanners de vulnerabilidades disponveis, incluindo Nessus e SARA (ambos opensource), e alguma das Ferramentas gratuitas ou scanners comerciais disponveis na eEYE. Tais scanners devero ser executados abrangendo toda a rede, permitindo ao administrador conhecer o risco de servidores conhecidos e nao conhecidos. U2.5 Como se Proteger 1. Assegure que todos os servidores web esto rodando com o ultimo patch disponvel; veja o item Como determinar que voc est vulnervel para os links dos fabricantes 2. Desabilite todas e quaisquer funcionalidades desnecessrias no servidor. Em particular, acessos CGI, suporte a PHP, mod_ssl e mod_Proxy (para Apache).Desabilite todos por default, somente habilite quando o servio necessitar. o Se o PHP, CGI, SSI ou qualquer outra linguagem script for necessria, considere a utilizao do suEXEC. suEXEC permite que os scripts sejam executadas dentro do Apache com um user id diferente do user id do apache. o ATENO: imprescindvel que se entenda o funcionamento do suEXEC. Se ele for utilizado de forma incorreta, novas brechas podem ser criadas. 1. Para o Apache 1.3.x veja http://httpd.apache.org/docs/suexec.html 2. Para Apache 2.0.x veja http://httpd.apache.org/docs2.0/suexec.html 3. Administre de forma segura o contedo do cgi-bin e outros diretrios de scripts. Todos os modelos e scripts default devem ser removidos. 4. PHP seguro: Este um tpico grande por si s. O que se segue so pontos de start para assegurar que sua implementao PHP est segura. o Desabilite parmetros que podem levar o PHP a liberar informaes no cabealho HTTP. o Assegure que o PHP est sendo executado em safe mode. Informaes mais detalhadas podem ser encontradas aqui: http://www.securityfocus.com/printable/infocus/1706 5. Mdulos adicionais podem ajudar a segurana do Apache. O modulo mod_security (www.modsecurity.org) pode ajudar a proteger contra Cross Site

Scripting (XSS) e SQL injection. Informaes detalhadas da implementao podem ser encontradas no website. 6. Auditar os scripts por vulnerabilidades incluindo XSS e SQL injection tambm importante. Existem algumas ferramentas open source que ajudam nisso. Nikto (disponvel em http://www.cirt.net/code/nikto.shtml) uma das ferramentas de CGI scanningis mais completas. 7. Deve ser considerada a execuo do servidor http em um ambiente chroot. Se um servidor HTTP iniciado em modo chroot ele no poder acessar qualquer parte da estrutura do diretrio do sistema operacional fora do chroot. Isso geralmente ajuda na preveno de exploits. Por exemplo, um exploit poder chamar um Shell e j que o /bin/sh no (dever estar) estar residente no chroot, ele no ser efetivo. ATENO: chrooting pode ter efeitos adversos no CGI, PHP, bases de dados e outros mdulos ou comunicaes que requerem acesso do ambiente do servidor web a bibliotecas externas ou a binrios. Como existem vrios mtodos de chrooting, a documentao do software dever ser consultada para uma melhor assistncia. Informaes adicionais podero ser encontradas abaixo: http://www.w3.org/Security/Faq/wwwsf3.html#SVR-Q5 http://www.modsecurity.org/documentation/apache-internalchroot.html o http://wwws.sun.com/software/whitepapers/webserver/wp_ws_security. pdf 8. No execute seu servidor Web como root. Um usurio e grupos nicos com privilgios mnimos devem ser criados para esse propsito, nenhum outro processo do sistema dever rodar com esse usurio e grupo (Por exemplo: rodar o Apache com usurio apache ao invs do usurio nobody). 9. Limitar as informaes do servidor a serem reveladas. Enquanto essa sugesto tende a encontrar oposio de pessoas que sugerem que segurana por obscuridade no um mtodo aceitvel de mitigao de risco, e um nmero de tentativas de explorao vistas na internet tendem a ser feitas de modo cego (prova disso que uma pessoa poder encontrar nos logs de um Apache tentativas de exploits contra IIS), existem alguns exploits que iro ser ativados dependendo da informao de cabealho encontrada. o Para modificar a resposta HTTP do Apache. 1. Para o Apache 1.3.x veja http://httpd.apache.org/docs/mod/core.html#servertokens http://httpd.apache.org/docs/mod/core.html#serversignature. 2. Para o Apache 2.0.x veja http://httpd.apache.org/docs2.0/en/mod/core.html#servertokens. o Assegura que o mod_info no est acessvel atravs da Internet. o Directory indexing dever ser inabilitada. 10. Um sistema de logging eficiente e completo essencial para fazer um rastreamento de qualquer problema de segurana em potencial, ou comportamentos sem explicao que algum pode estar experimentando em um web Server. uma boa pratica realizar periodicamente a alternao dos logs e manter os logs mais antigos. Isso permitir um melhor gerenciamento do tamanho dos logs e mais facilidade na busca se necessrio. Informaes sobre a alternncia de logs e formato podero ser encontradas aqui: o Para o Apache 1.3.x veja: http://httpd.apache.org/docs/logs.html o o

Para o Apache 2.0.x veja: http://httpd.apache.org/docs-2.0/logs.html

Em muitos cenrios o contedo dos logs poder no ser suficiente. Especialmente quando estiver usando PHP, CGI ou outras linguagens script, uma boa idia fazer o logs dos payloads de GET e POST. Isso poder ajudar com dados e evidencias importantes no caso de um comprometimento da maquina. O log dos payloads de GET e POST pode ser implementado via o mod_security (para o Apache). o o http://www.modsecurity.org http://www.securityfocus.com/infocus/1706

back to top ^ U3 Autenticao U3.1 Descrio Senhas, pass phrases e/ou cdigos de segurana so usados em quase todas interaes entre usurios e sistemas. A maioria das formas de autenticao de usurio, assim como proteo de arquivos e dados, confiam fortemente na senha do usurio ou fornecida pelo fabricante. Alem disso, j que as autenticaes nem sempre logadas, ou se logadas nem sempre passiveis de auditoria, uma senha comprometida uma oportunidade para se explorar um sistema sem ser detectado. Um hacker em posse de uma senha valida teria um acesso completo a qualquer recurso disponvel a aquele usurio, e estaria significantemente perto de acessar outras contas, e talvez at acesso root. Apesar desta ameaa, contas de usurio e administrador com senhas fracas ou no existentes so ainda comuns. Assim como organizaes que uma poltica de senhas bem escrita so ainda incomuns. As vulnerabilidades de senhas mais comuns so: (a) contas de usurios que tem senhas fracas ou no existentes; (b) contas de usurios com senhas conhecidas ou a mostra; (c) contas de administradores criados por softwares ou pelo sistema com senhas conhecidas, fracas ou no existentes; e (d) algoritmo de hashing fraco de senhas, e/ou hashes de senhas de usurios guardadas de forma fraca ou sem segurana e que so visveis a qualquer pessoa. A melhor defesa contra todas as vulnerabilidades uma poltica de senhas bem desenvolvida, que inclua: instrues detalhadas aos usurios para criao de senhas fortes; regras explicitas para usurios para assegurar que as senhas continuem seguras e mudem suas senhas regularmente; um processo em funcionamento que permita ao pessoal de TI a mudar as senhas fracas/inseguras/default ou amplamente conhecidas e bloqueie contas inativas; um processo pr-ativo e regular de verificao de todas as senhas; remoo de contas de usurio e administradores que no forem necessrias; verificao regular dos logs de sistema que tratem de autenticao. Um guia geral de configurao de UNIX est disponvel em: http://www.cert.org/tech_tips/unix_configuration_guidelines.html

U3.2 Sistemas Operacionais Afetados Qualquer sistema operacional ou aplicao em qualquer plataforma que os usurios se autentiquem via um usurio e senha. U3.3 Referncias CVE/CAN

CAN-1999-0501, CVE-1999-0502, CAN-1999-1029, CVE-2001-0259, CVE-2001-0553, CVE-2001-0978, CVE-2001-1017, CVE-2001-1147, CVE-2001-1175, CAN-2004-0243, CAN-2004-0653 U3.4 Como determinar se voc est vulnervel 1. Buscar contas genricas Se existir contas de uso comum, usadas e compartilhadas por muitos indivduos, ou pessoal temporrio e/ou senhas amplamente divulgadas ou escritas em papeis a mostra, esses casos se configuram claramente e aberturas na rede para qualquer pessoa com acesso fsico aos sistemas.

2. Buscar por senhas fracas ou polticas de senhas fracas Criando novos usurios com a mesma senha iniciar ou facil de se descobrir (mesmo se a senha inicial deva ser trocada aps o primeiro login) pode dar ao hacker uma janela de oportunidades para se ganhar acesso ao sistema. Determinar se os hashes das senhas esto guardadas no /etc/passwd ou /etc/shadow em cada sistema. O arquivo /etc/passwd necessita estar disponvel para leitura por todos os usurios na rede para permitir a autenticao do usurio. Entretanto, se esse arquivo guardar os hashes das senhas, ento qualquer usurio com acesso ao sistema poder ler os hashes e tentar quebrlos com um cracker de senhas. O arquivo /etc/shadow por design necessitar estar disponvel para leitura apenas pelo root e ,onde disponvel, dever ser usado para guardar os hashes das senhas. Se as contas locais no estiverem protegidas pelo /etc/shadow, ento o risco para aquelas senhas extremamente grande. A maioria dos novos sistemas operacionais utiliza o /etc/shadow por default, para guardar os hashes a no ser que seja especificado na instalao. Pode ser possvel ainda utilizar o algoritmo MD5 para fazer o hash das senhas; isso ainda mais seguro que o antigo algoritmo de criptografia.

3. Ambiente NIS O NIS um conjunto de servios que trabalham como um servio de banco de dados para prover informaes de localizao, chamados de Maps, para outros servios de rede, como o Network File System (NFS). Pela sua natureza de design, os arquivos de configurao do NIS contem os hashes das senhas NIS, e como resultado, os hashes so disponveis para leitura por todos os usurios e assim, as senhas correm risco. Esse tambm pode ser o caso de algumas implementaes de LDAP como um servio de autenticao. As novas implementaes de NIS, como o NIS+ ou LDAP, geralmente so mais rigorosas na proteo dos hashes das senhas, a no ser que o contrario seja especificado durante a instalao. Entretanto estas novas implementaes podem ser mais difceis de se configurar, o que pode desencorajar seu uso.

4. Consideraes Gerais

Mesmo se os hashes das senhas estejam protegidos pelo /etc/shadow ou outra implementao, as senhas podero ser adivinhadas de outras maneiras. Existem algumas outras reas de vulnerabilidades associadas a senhas, incluindo contas para usurios que j no esto na organizao. Geralmente as organizaes so negligentes em encerrar contas antigas a no ser que existam procedimentos ou que o administrador seja especialmente atento a isso. Instalaes default (tanto pelo fabricante, quanto pelo administrador) de um sistema operacional, ou aplicaes de rede podem introduzir um grande nmero de servios desnecessrios e sem utilidade. Em muitos casos a incerteza sobre o sistema operacional ou sobre a necessidade da aplicao leva os fabricantes ou administradores a instalar todos os softwares para caso a necessidade aparea no futuro. Isso simplifica o processo de instalao significantemente, mas tambm introduz vrios servios e contas desnecessrias que tem uma senha default/fraca/ou conhecida. Adicionalmente, a senhas enviadas via rede em texto claro, como via telnet, FTP ou http, esto em risco de serem capturadas via um snifer ou por indivduos maliciosos. O uso de uma conexo criptografada, como as que utilizam OpenSSH ou SSL, podem ser utilizadas para esconder uma senha de qualquer pessoa que tente capturar a senha na conexo de rede.

U3.5 Como se Proteger A melhor e mais apropriada defesa contra as vulnerabilidades das senhas, uma poltica forte que tenha instrues detalhadas para se utilizar bons hbitos de uma senha segura, e que tambm utilize uma verificao regular de senhas fracas por parte do administrador do sistema, com um suporte por parte da organizao. Os seguintes passos devem ser utilizados como guias para uma boa poltica de senhas:

1. Assegure que as senhas so fortes. Dado um tanto de hardware e tempo, qualquer senha pode ser quebrada utilizando brute force. Password crackers utilizando pelos hackers utilizam ataques baseados em dicionrios. J que os mtodos de criptografia utilizados na senhas so se conhecimento publico, os utilitrios crackers simplesmente comparam a senha criptografada contra todas as palavras do dicionrio tambm criptografadas (em vrias lnguas), alem de permutaes comuns. Assim, uma senha que se assemelha a uma palavra (ou palavras em qualquer linguagem documentada), altamente suscetvel a um ataque de dicionrio. Muitas empresas instruem os usurios a gerar senhas incluindo combinaes de caracteres alfanumricos e com caracteres especiais, e os usurios esto pegando palavras (ex. password) e convertendo letras em nmeros com caracteres especiais (ex. pa$$w0rd). Tais permutaes no protegem contra ataques de dicionrios: pa$$w0rd pode ser crackeado como password.

Uma boa senha no deve ser uma palavra ou um nome como raiz. Uma poltica de senha forte deve direcionar os usurios a gerar senhas atravs de algo mais randmico, como uma frase, um titulo de livro ou musica. Concatenando um frase mais longa em uma string (ex. pegando a primeira letra de cada palavra da frase

(de preferncia de forma misturada), ou substituindo um caractere especial por uma palavra na frase inicial, e/ou substituindo todas as vogais na frase concatenada por vrios caracteres especiais, etc...), os usurios podero gerar senhas suficientemente grandes que combinem caracteres alfanumricos e caracteres especiais de forma que um ataque de dicionrio tenha maior dificuldade de quebr-las. E se a frase inicial for fcil de lembrar, ento a string da senha vai ser tambm. Uma vez que os usurios tenham as instrues para a gerao de boas senhas, os procedimentos detalhados devem ser colocados em ordem para assegurar que as instrues sero seguidas. A melhor maneira de se fazer isso validando as senhas quando os usurios as modificarem. Muitas distribuies de UNIX/LINUX podem usar Npasswd como uma front-end para verificar as senhas com a poltica de senhas. Sistemas com PAM-enabled podem ainda ser estendidos para incluir cracklib (a biblioteca que acompanha o Crack) para verificar as senhas assim que so geradas. A maioria dos novos sistemas PAM-enabled pode ainda ser configurado para recusar senhas fracas que no seguem alguns padres. Entretanto, se as senhas no puderem ser verificadas contra bibliotecas de dicionrios quando elas so inseridas, usando ferramentas como Npasswd, ou bibliotecas com PAM-enabled, ento, ferramentas de password cracking devem ser usadas pelo administrador de sistema em um modo stand-alone como parte de um procedimento pr-ativo. Ferramentas como aquelas utilizadas pelos hackers so geralmente as melhores escolhas. Em sistemas plataformas UNIX/LINUX, podem incluir Crack e John the Ripper. Ateno: Nunca execute um scanner de senha, mesmo em sistemas que voc tenha acesso de root, sem a permisso explicita e preferencialmente escrita do seu chefe/empresa. Administradores, com a melhor das intenes, tm sido demitidos por rodar scanners de senha sem autorizao para faz-lo. Essa autorizao deve ser em forma de uma carta escrita, como parte da poltica da organizao e que permite uma verificao de senhas de forma regular. Uma vez que tenha a autorizao para executar o scanner de senhas nos seus sistemas, faa de forma peridica em uma mquina segura e fisicamente protegida. As ferramentas na maquina no devero estar acessveis a outras pessoas que no os administradores. Usurios cujas senhas foram quebradas devero ser notificados de forma confidencial e devero receber as instrues de como escolher uma senha melhor. Como parte da poltica da organizao, ambos administradores e a gerencia devero estabelecer estes procedimentos juntos, para que a gerencia possa oferecer ajudar e/ou passos quando os usurios no responderem as notificaes. Outra opo possvel para proteo contra senhas no existentes ou fracas e/ou manter os procedimentos de senhas a utilizao de uma forma alternativa de autenticao, como tokens ou biometria. Isso efetivo se voc tem problemas com senhas fracas e pode utilizar como uma forma alternativa de autenticar os usurios. Deve ser observado que alguns tokens que geram senhas precisam de procedimentos para assegurar que eles no estaro acessveis a usurios sem autorizao e que se roubados sero automaticamente revogados no sistema. A biometria uma rea em desenvolvimento e que dependem do tipo de autenticao (ex. fingerprint

versus reconhecimento facial), algumas das tecnologias no esto perfeitas e erros no autenticao so comuns. (b) Existem muitas ferramentas de terceiros (comercial e free) disponveis para ajudar a gerenciar uma boa poltica de senhas. 2. Proteja a senhas fortes. Se voc guarda os hashes das senhas no /etc/passwd, atualize seu sistema para user o /etc/shadow. Se seu sistema roda NIS ou LDAP de uma forma que os hashes no podem ser protegidos, qualquer um (mesmo usurios no autenticados) podero ler seus hashes de senha e tentar quebr-los. Voc deve pensar em alternativas mais seguras para as verses de NIS e LDAP que voc estiver rodando. Ate que essas aplicaes inseguras sejam colocadas de forma segura/substitudas, voc deve colocar as permisses de forma segura e rodar um cracker de forma pr-ativa nestas aplicaes. Considere o uso do algoritmo MD5 para o hash de suas senhas ao invs do crypt. Entretanto, mesmo se a senhas so fortes, as contas podem ser comprometidas se os usurios no protegerem suas senhas. Uma boa poltica de senhas deve incluir procedimentos detalhados para um usurio que nunca deve dizer sua senha para ningum mais, nem escrever a senha em um lugar que possa ser vista por outras pessoas, assegurar que o arquivo que contenha senhas para uma autenticao de forma automtica, e se uma senha for dada como roubada e/ou descoberta, notificar o administrador do sistema. A data de validade das senhas deve ser reforada para que as senhas que vazarem estejam vulnerveis apenas em um curto perodo de tempo, e que senhas antigas no possam ser re-utilizadas. Os administradores devem estar certos que os usurios recebam um aviso de troca de senhas e tenham oportunidade de troc-las varias vezes antes de expirar. Geralmente quando o usurio recebe a mensagem que sua senha expirou eles tendem a escolher uma senha ruim. 3. Reforce o controle das contas A seguir, uma srie de medidas que visam garantir um controle mais reforado das contas: Qualquer conta de servio, com direitos de administradores ou no, devem ser desabilitados, ou se possvel, removidas completamente. Qualquer conta de servio, com direitos de administradores ou no, devem ser dadas novas senhas fortes, assim que o servio, ou conta, estiver instalado ou ativado. Configure novas contas de usurios com senhas iniciais geradas randomicamente, e force os usurios a mud-la no primeiro login. Faa uma auditoria nas contas dos sistemas de forma regular e peridica, e mantenha uma lista mster com todas essas contas, detalhando o servio que a utiliza e a necessidade da mesma. Faa uma verificao regular se as contas ainda so necessaries. Desenvolva procedimentos rigorosos para a incluso e remoo de contas autorizadas para/da lista criada. Tenha procedimentos rgidos para remoo de contas de empregados e terceiros, ou quando as contas no so mais necessrias. Esteja sempre em sintonia com o departamento de RH para estar ciente das sadas. Valide a lista master periodicamente para estar certo que nenhuma conta foi adicionada e que as contas no usadas foram removidas.

Alem disso, no se esquea de verificar as contas e senhas em sistemas como roteadores, switches, impressoras ligadas na Internet, copiadoras e controladoras de impressoras. Se estes elementos tiverem senhas fracas de gerenciamento, e alguns usurios utilizarem a mesma senha nestes sistemas e em sistemas Unix, isso poder dar aos usurios maliciosos uma porta aberta. Voc poder encontrar a lista de senhas padro dos produtos dos fabricantes em : http://www.cirt.net/cgi-bin/passwd.pl 4. Logins Criptografados O uso de senhas fortes pode um ponto discutvel se as senhas forem passadas pela rede em texto claro. Quando isso ocorre, qualquer pessoa com acesso ao trafego da rede poder ver a senha sendo enviada. Exemplos de programas e protocolos que enviam as senhas em texto claro so o telnet, FTP http e os Berkeley rservices. Para prevenir isso de ocorrer, programas e protocolos que utilizam criptografia devem ser utilizados. Utilizando programas e protocolos que fazem uso de criptografia, a senha no ser mais enviada pela rede em texto claro, fazendo com que o trabalho de se capturar a senha seja dificultado utilizando os sniffers tradicionais. Existem muitas alternativas para o uso dos programas listados acima. OpenSSH pode substituir o Telnet, FTP e os Berkely r-services, e o SSL podem ser usados para prover criptografia ao protocolo HTTP. 5. Contas de Superusurios A conta root a conta mais privilegiada em sistemas Unix. No existe nenhuma restrio de segurana, o que significa que voc pode realizar qualquer tarefa no sistema. Esta A conta que os usurios maliciosos querem ter acesso! No permita acesso root remotamente. Os usurios devem utilizar o comando su para ganhar acesso de root. SU mudar o uid da conta para outra conta, neste caso, a conta do root. Se o usurio necessitar apenas de alguns comandos privilegiados, utilize o sudo. Sudo (superuser do), permite que um administrador do sistema permita que alguns usurios (ou grupos de usurios) executem alguns comandos como root, e ainda faa o log dos comandos e parmetros utilizados. Nesse caso, o usurio no precisa colocar a senha de root. O uso da conta de root deve ser limitado a configurao do sistema, de aplicaes, ou em casos emergenciais. Limite o acesso a senha do root apenas para as pessoas que necessitem realizar tarefas administrativas no sistema. Mais informaes sobre o Sudo podem ser encontradas em http://www.courtesan.com/sudo/ , e informaes sobre o Su podem ser obtidas digitando man su no prompt do comando. 6. Contas Genricas Contas genricas so geralmente utilizadas no desenvolvimento, para permitir que uma aplicao se comunique com outra ou com um banco de dados. Acesso a fabricantes outra situao em que contas genricas so utilizadas. O

gerenciamento dessas contas essencial para se manter o controle das aes realizadas. Geral Em primeiro lugar, utilize contas genricas como ultimo recurso. Se um usurio necessita um acesso freqente ou prolongado, deve ser criada uma conta para ele. Se uma conta genrica for necessria (mltiplos indivduos diferentes do acesso dos fabricantes, aplicaes que precisam de acesso autenticado, etc...), dever ser feito de tal forma que as aes possam ser controladas e logadas. Contas de Aplicaes No coloque senhas hardcode nas aplicaes. Coloque proteo adequada para as informaes de conta e senha (arquivo criptografado, permisses de leitura, etc...) Acessos de Fabricantes Obtenha um termo de aceitao da conta de suporte, na qual o fabricante aceite que as aes realizadas com a conta sejam controladas e logadas. Nomeie uma pessoa do fabricante para ser o responsvel pelo gerenciamento das senhas utilizadas por eles. Guarde as senhas de suporte em envelopes e libere apenas quando o fabricante necessitar. Use autenticao de dois fatores quando possvel. Garante que a pessoa do fabricante responsvel pelas senhas utilizadas por eles troque as senhas aps as mesmas terem sido utilizadas, sempre que possvel. Esta fase no muito necessria se estiver sendo utilizada uma autenticao de dois fatores. Garanta que os envelopes que guardam as senhas no foram violados. Realize auditorias constantes. 7. Trilha de Auditoria Manter uma trilha de auditoria das atividades dos usurios uma parte essencial da segurana do sistema. O log de todas as tentativas de autenticao, bem sucedidas ou no pode ajudar a entender o que est acontecendo com seu sistema. O log correto das atividades do su e do sudo tambm so essenciais, j que iro mostrar quem tem tentado realizar aes com permisses diferentes das atuais. Uma reviso freqente das trilhas de auditoria pode lev-lo a descobrir potenciais abusos de privilgios ou outros tipos de atividades anormais no seu sistema. Para mais informaes sobre as opes de logs, pode encontrar em http://www.loganalysis.org/ back to top ^ U4 Version Control Systems U4.1 Descrio As ferramentas de sistemas de controle de verses para se gerenciar diferentes verses de documentos ou cdigo fonte, e que facilitam que mltiplos usurios trabalhem concorrentemente no mesmo conjunto de arquivos. Tais sistemas so essenciais para se gerenciar qualquer projeto de desenvolvimento de software, ou documentos legais ou corporativos, j que eles provem no somente uma soluo

central de armazenamento mas tambm permitem que diferentes verses sejam retiradas. Sistema de Verses concorrentes (CVS) o sistema de controle de cdigo fonte mais popular e utilizada atualmente em sistemas Linux/Unix. Muitos projetos open-source permitem acessos annimos aos repositrios CVS. Um repositrio CVS pode ser configurado para acesso remoto via o protocolo pserver que roda na porta 2401/tcp por default. Os servidores configurados de tal maneira contem as seguintes vulnerabilidades: A) Um heap-based buffer overflow que pode ser ativado por Entry-Lines especialmente criados. Um hacker poder explorar o buffer overflow a executar cdigos arbitrrios em um servidor CVS. Os exploits para os servidores CVS rodam em Linux, FreeBSD e plataformas Solaris foram colocados em listas de segurana. necessrio ainda notar que qualquer repositrio configurado para anonymous access potencialmente vulnervel. B) Vulnerabilidades na implementao de outros comandos e funes podem ser explorados por um hacker autenticado, causando um denial of service no servidor CVS, ou executar cdigo arbitrrio no servidor CVS. Algumas dessas falhas podem tambm ser exploradas por usurios anonymous. Subversion um outro sistema de controle de verses para Linux que est ganhando popularidade. O projeto foi iniciado como uma tentativa de se desenvolver um sistema melhor que o CVS. O repositrio Subversion pode ser acessado via o protocolo syn, se o repositrio estiver rodando o synserve. O servidor syn roda na porta 3690/tcp por default. Os servidores contem as seguintes vulnerabilidades: Um heap-based overflow que pode ser explorada por um hacker no autenticado executando um cdigo arbitrrio. Um stack-based overflow que pode ser ativado por um comando syn getdated-rev especialmente criado. Se o servidor estiver configurado para acesso annimo, um hacker sem autenticao pode explorer cdigo arbitrrio no servidor. Mltiplos exploits para essa falha foram postados na Internet. Se um hacker consegue acesso, ele pode no somente infectar os cdigos fonts com backdoors ou bugs que , quando o software for instalado, pode representar um amplo nmero de sistemas comprometidos, mas isso poder tambm ser til para incriminar um empregado em atividades ilegais, com um spoofing de identidade. U4.2 Sistemas Operacionais Afetados Linux, FreeBSD, AIX, HP-UX, Solaris e SGI e potencialmente qualquer que esteja rodando CVS e/ou Subversion. U4.3 Referncias CVE/CAN CAN-2004-0396 CAN-2004-0414 CAN-2004-0416 CAN-2004-0417 CAN-2004-0418 CAN-2004-0397 CAN-2004-0413

U4.4 Como determinar se voc est vulnervel Se seu servidor CVS estiver configurado para acesso remoto via o protocolo pserver e voc estiver rodando alguma das seguintes verses do software CVS, seu servidor CVS est vulnervel CVS stable release version 1.11.16 e anterior CVS feature release version 1.12.8 e anterior A verso do CVS pode ser encontrada executando o comando cvs ver. Se seu servidor Subversion estiver configurado para acesso remoto via o protocolo svn e voc estiver rodando uma verso anterior a 1.0.5, seu servidor est vulnervel.

U4.5 Como se Proteger For CVS Server: Assegure que seu software CVS est atualizado com os ltimos patches. O cdigo fonte com a ltima verso pode ser baixado em: https://www.cvshome.org/ . Configure o servidor CVS para usar o protocolo SSH ao invs do protocolo pserver para acesso remoto. Alem disso, execute o servidor CVS em um ambiente chroot. Instrues detalhadas podem ser encontradas em: http://www.netsys.com/library/papers/chrooted-ssh-cvs-server.txt Se o repositrio CVS acessado dentro da rede da empresa, bloqueie a porta 2401/tcp no perimetro da rede. Assegure que os exploits publicados no so efetivos no seu servidor CVS. Os exploits publicados podem ser encontrados em: http://www.k-otik.com/exploits/05212004.CVS_Linux.c.php http://www.k-otik.com/exploits/05212004.CVS_Solaris.c.php. Tente hospedar o servidor CVS para acesso read-only anonymous em um sistema stand-alone. Como em uma DMZ. For Subversion Server: Assegure que servidor Subversion est atualizado com a ultima verso do software. A ultima verso pode ser baixada: http://subversion.tigris.org Configure o repositrio Subversion para ser acessado via webDAV ao invs de usar o protocolo syn. Se o repositrio Subversion est sendo acessado dentro da empresa, faa o bloqueio da porta 3690/tcp no permetro da rede. Assegure que os exploits publicados no so efetivos sobre o seu servidor Subversion. Os exploits publicados podem ser encontrados em: http://www.metasploit.com/projects/Framework/modules/exploits/svnserve_da te.pm http://www.k-otik.com/exploits/06112004.subexp.c.php. Tente hospedar o servidor Subversion para acesso read-only anonymous em um sistema stand-alone. Como em uma DMZ. U4.6 Referencias CERT Advisory http://www.kb.cert.org/vuls/id/192038

SecurityFocus BIDs http://www.securityfocus.com/bid/10384 http://www.securityfocus.com/bid/10499 http://www.securityfocus.com/bid/10386 http://www.securityfocus.com/bid/10519 CVS Homepage http://www.cvshome.org Subversion Homepage http://subversion.tigris.org Security List Postings http://www.securityfocus.com/archive/1/363775/2004-05-17/2004-05-23/0 http://www.securityfocus.com/archive/1/365541/2004-06-07/2004-06-13/0 http://www.securityfocus.com/archive/1/363781/2004-05-17/2004-05-23/0 http://archives.neohapsis.com/archives/bugtraq/2004-06/0180.html back to top ^ U5 Servios de Transporte de Email U5.1 Descrio O Email um dos servios mais utilizados na Internet, j que o SMTP um dos protocolos mais antigos. Mail Transport Agents (MTAs) so os servidores responsveis por pegar o email do remetente e entregar para o destinatrio, usualmente via o protocolo SMTP, que pode ser criptografado com SSL nas portas inseguras com o TLS, se as duas pontas suportarem. O Sendmail um dos MTAs mais utilizados em sistemas Unix, embora durante os ltimos anos o nmero de issues de segurana e a complexidade de se configurar essa pea de software tenha dado oportunidade de crescimento a vrias alternativas populares, incluindo Qmail, Courier-MTA, Postfix, e Exim. No uma surpresa que, dada a utilizao dos emails, que esse sistema esteja sobre ataque constante de vrus, worms, e ataques manuais. Enquanto muitos destes ataques focam nos clientes de email mais utilizados, os MTAs tambm so utilizados como um vetor de ataque comum. Muitas das vulnerabilidades nestes servidores podem ser divididas nas seguintes categorias: Ataques contra sistemas sem patch, incluindo buffer overruns, heap overflows, etc... Abuso de open relays, a ferramenta favorita dos spammers Explorao de outras falhas, devido a configuraes de relay erradas, como base de dados de usurios para propsitos de spam e engenharia social (ou mesmo ataques a clientes de email)

preciso ateno ao fato que se um MTA vulnervel estiver rodando na rede, ele ser encontrado e explorado quase que imediatamente. Felizmente, possvel reduzir drasticamente o risco realizando alguns passos simples durante a fase de instalao e seguindo algumas simples regras de manuteno. Os MTAs que seguem estritamente a RFC so os melhores j que os softwares de spam no seguem. U5.2 Sistemas Operacionais Afetados

Quase todas as distribuies de Unix vem com uma verso dos MTAs listado abaixo. Enquanto muitos dos fabricantes de Unix tenham melhorado significativamente a segurana das instalaes default nos ltimos anos, deve-se pensar que qualquer sistema com um MTA que est sem patches, sem manuteno, e /ou rodando com a configurao default, est vulnervel. U5.3 Referncias CVE/CAN Sendmail CVE-1999-0047, CVE-1999-0095, CVE-1999-0096, CVE-1999-0129, CVE-19990131,CVE-1999-0203, CVE-1999-0204, CVE-1999-0206, CVE-1999-1109, CVE-20000319,CVE-2001-0653, CVE-2001-1349, CVE-2002-0906 CAN-1999-0098, CAN-1999-0163, CAN-2001-0713, CAN-2001-0714, CAN-20010715,CAN-2002-1165, CAN-2002-1278, CAN-2002-1337, CAN-2003-0161, CAN-20030285,CAN-2003-0694 Qmail CVE-2000-0990, CAN-2003-0654 Courier-MTA CVE-2002-0914, CVE-2002-1311, CVE-2003-0040, CVE-2004-0224, CVE-2004-0777 Exim CVE-2001-0889 CAN-2003-0743,CAN-2004-0399,CAN-2004-0400 Postfix CAN-2003-0468 U5.4 Como determinar se voc est vulnervel Verifique seu nvel de patch Para se determinar se seu sistema est vulnervel, o primeiro passo identificar o nvel de patch que seu MTA est rodando e descobrir se existem ou no vulnerabilidades para a sua verso. Usando o CVE (http://cve.mitre.org/), voc poder est apto a identificar vulnerabilidades associadas a seu MTA. Sendmail O Sendmail possuiu um grande nmero de vulnerabilidades no passado. Estas vulnerabilidades foram geralmente encontradas por causa da sua complexidade. Isso fez com que o sendmail fosse um dos servios mais explorados na Internet. Qualquer verso desatualizada ou sem patch do software est bem passvel de estar vulnervel. Para se determinar a verso do Sendmail, utilize o seguinte comando: echo \$Z | sendmail -bt -d

No confie sempre na string que ir retornar pelo daemon, j que ele apenas ir ler de um arquivo texto no sistema que poder no ser sido atualizado de forma correta. Para determinar se a verso que est sendo executada, verifique a release do sendmail em: http://www.sendmail.org/current-release.html Exim O Exim outro MTA bem popular em material de features. Existiram algumas vulnerabilidades para ele no passado. Para determinar a verso do Exim, utilize o seguinte comando: exim -bV Para se determinar se a verso utilizada a mais atual, verifique a release atual do Exim em: http://www.exim.org/version.html Qmail Qmail um MTA seguro que teve poucas vulnerabilidades no passado. tambm um dos MTAs mais populares depois do Sendmail. No existe nenhuma maneira fcil de se encontrar a verso do Qmail, seno checando a verso nas pginas man, utilizando o GNU grep: grep -A1 version /var/qmail/man/man7/qmail.7 O Qmail possui muitas features que foram criadas por usurios, o que faz a identificao de vulnerabilidades mais complicada. Voce pode encontrar os patches recomendados para o Qmail em: http://www.qmail.org/top.html#patches e voc pode encontrar um pacote (chamado netqmail) que contem o qmail e os patches recomendados em: http://www.qmail.org/netqmail/ Courier-MTA Courier-MTA um mail server que segue estritamente a RFC , e suporta o Maildir+, maildrop e MySQL, Postgresql e LDAP para alias e storage de contas de usurios. Para se determiner sua verso, use o comando showmodules Para noticias de segurana e ultima verso, v em http://www.courier-mta.org Postfix Como o Qmail, o Postfix um MTA seguro e que teve poucas vulnerabilidades no passado. As verses recentes acrescentaram features de controle de acesso, inspeo de contedo e rate limiting, ento o upgrade uma boa idia mesmo se sua verso no estiver vulnervel. Para se determinar a verso do Postfix, utilizar o comando: postconf -d mail_version Para se determinar se a verso que voc est rodando a atual, verifique a release atual do Postfix em: ftp://ftp.porcupine.org/mirrors/postfix-release/index.html

Verifique seu status de relay

O que um open relay Fazer o relay de emails a funo bsica de um MTA, mas configuraes erradas podem transformar seu MTA em um relay aberto (open relay). Isso ocorre quando um MTA faz o relay de uma mensagem que nem o remetente nem o destinatrio so usurios locais. Em outras palavras, o remetente e o destinatrio no so partes dos domnios e o MTA no est relacionado a transao. Sobre circunstancias normais o email no teria razo de passar por esse MTA. Verifique se seu MTA um open relay Verifique se seu MTA um relay aberto uma das coisas mais importantes de se fazer aps verificar seu nvel de patch. Isso vai te permitir determinar se SPAM esta passando ou no pelo seu sistema. As seguintes ferramentas iro ajudar a fazer isso: http://www.abuse.net/relay.html http://www.cymru.com/Documents/auditing-with-expect.html O que uma Realtime Blackhole List? Uma Realtime Blackhole List (RBL) pe uma lista de endereos IP de servidores cujos donos se recusam a parar a ploriferao de SPAM na internet. Essas listas so utilizadas por administradores de email para recusar conexes de MTAs vindos de spammers conhecidos. Descobrindo se seu servidor de email foi listado em uma RBL Se voc descobrir seu servidor de email em uma destas listas, as chances de ser um open relay so grandes a no ser que voc tenha modificado sua configurao recentemente. Pode acontecer que alguns de seus usurios vlidos abusaram de seu servidor de email e enviaram SPAM ou newsletters. Isso pode fazer voc aparecer nas RBL tambm. Voc pode se seu endereo IP esta listado aqui: http://www.mailabuse.com/support/lookup.html http://www.ordb.org/ Tenha em mente que existem vrias RBLs e que est pgina inclui apenas as mais populares. Auditando seu servidor de email

Auditar seu servidor de email pode ajud-lo a identificar vulnerabilidades que podem ser exploradas por indivduos maliciosos para realizar aes no autorizadas no seu servidor de email. Nessus Nessus um scanner de vulnerabilidades remoto gratuito que inclui plugins especficos para servidores de email (SMTP). Isso vai te permitir identificar vulnerabilidades em seu MTA de forma rpida e eficiente. Voc pode encontrar o Nessus e seus plugins em http://www.nessus.org SARA

Sara significa Security Auditor's Research Assistant. uma ferramenta de analise de segurana que inclui as Top 20 vulnerabilidades do SANS na sua lista de vulnerabilidades a serem verificadas. SARA est disponvel em http://www-arc.com/sara/ U5.5 Como se Proteger Os seguintes passos devem ser tomados para proteger seu servidor de Email, e esto divididos em duas partes, Recomendaes Gerais que so independentes do mail Server utilizado, e Recomendaes Especificas, orientadas ao Sendmail, Qmail e Postfix: 2.Recomendaes Gerais Verifique se voce precisa estar rodando um MTA, e se ele precisa estar exposto publicamente Desabilite o Mail Server em qualquer sistema que no seja especificamente designado para ser um mail Server. Procedimentos devem ser colocados em pratica para prevenir que ele no seja habilitado novamente. Aplique as polticas de firewall para reforar. Aplique todos os patches dos fabricantes para seu servidor de email, para atualiza-lo para a ultima verso disponvel. Tenha um MTA interno separado para ligar com o trafego de email interno. Limite os nveis de privilgios nos quais o MTA roda, ou execute o mesmo e um ambiente chroot, se possvel. Leia toda a documentao dos servidores de email, e se inscreva a lista de emails relacionada, se existir.

Protegendo contra relay de emails Para evitar que seu servidor de email seja abusado por spammers, ele deve ser configurado para no fazer relay de emails que no seja de redes e domnios confiveis. Sendmail Se voce precisa executar o Sendmail em modo deamon, assegure que sua configurao foi feita para fazer relay de modo correto e sobre sua competncia. Veja http://www.sendmail.org/tips/relaying.html e http://www.sendmail.org/m4/anti_spam.html para ajuda na configurao correta de seu servidor. A partir do Sendmail 8.9.0, o open relay foi desabilitado por default. Entretanto muitos fabricantes de sistemas operacionais o habilitaram novamente nas suas configuraes default. Se voc estiver utilizando uma verso de Sendmail que foi colocada junto com o seu sistema operacional, tenha uma ateno especial para que seu servidor no seja utilizado como para relaying. Qmail O Qmail oferece uma boa documentao sobre relay seletivo e ajuda a desabilitar o relay no seu sistema. Veja http://www.lifewithqmail.org/lwq.html#relaying Courier-MTA

O Courrier-MTA fechado para relay pode default. Entretanto ele prov documentao que ajuda a habilit-lo se necessrio em algumas redes ou IPs. Adicionalmente, ele utiliza autenticao SMTP para prover relay. Http://www.courier-mta.org Seo FAQ . Exim Exim tambm possui instrues detalhadas em como prevenir o relay. http://www.exim.org/howto/relay.html Postfix Para o Postfix, existem alguns passos que iro ajudar a restringir o acesso e controle de relay. Somente hosts e redes listadas no parmetro mynetworks iro ser permitidos de fazer relay. Veja http://www.postfix.org/SMTPD_ACCESS_README.html 3.Outros detalhes especficos de Aplicaes A) Informaes adicionais de como se configurar e executar o Sendmail em uma forma mais segura podem ser obtidos em: http://www.sendmail.org/secure-install.html http://www.sendmail.org/m4/security_notes.html http://www.sendmail.org/~gshapiro/security.pdf B) Para prevenir que um Postfix comprometido exponha todo o sistema, restrinja de tal forma que ele seja executado com um usurio no privilegiado em um diretrio chroot()ed. Para configurao do Postfix veja http://www.linuxjournal.com/article.php?sid=4241 C) O link a seguir um exemplo de como se configurar seu MTA para utilizar blackholing http://www.ordb.org/faq/#usage D) O Courier-MTA nativamente suporta listas RBL e prove uma lista inicial de servidores rbl no seu arquivo de configurao esmtpd. E) O Postfix contem muitas features para limite de UCE (email comercial no solicitado), e estes podem ser encontrados em: http://www.securitysage.com/antispam/intro.html back to top ^ U6 Simple Network Management Protocol (SNMP) U6.1 Descrio O Simple Network Management Protocol (SNMP) usado extensivamente para um monitoramento e configurao remota de todos os tipos de dispositivos modernos que suportam TCP/IP. Enquanto o SNMP quase onipresente na distribuio nas plataformas de rede, ele mais usado freqentemente como um mtodo de configurar e gerenciar os dispositivos como impressoras, roteadores, switches, Access points, e para prover entradas para os servios de monitoramento de rede. A comunicao do SNMP consiste em diferentes tipos de mensagens trocadas entre estaes de gerencia SNMP e os dispositivos de rede que rodam o software chamado de agente. O mtodo pelo qual essas mensagens so trocadas, e o mecanismo de

autenticao por trs de tais mensagens possuem vulnerabilidades significativas, capazes de serem exploradas. As vulnerabilidades por trs do metido pelo qual o SNMP v1 lida e pega as mensagens esto detalhadas no CERT Advisory CA-2002-03. Existem vrias vulnerabilidades no modo como as mensagens de trap e requests so lidadas e decodificadas pelas estaes de gerencia e os agentes. Estas vulnerabilidades no esto restritas a nenhuma implementao do SNMP mas ao invs disso, afeta uma variedade de distribuies SNMP. O resultado de hackers explorando estas vulnerabilidades pode variar de denial of service a configuraes no desejadas e ao gerenciamento de seus dispositivos com SNMP habilitados. O mecanismo de autenticao dos antigos frameworks SNMP tambm representam uma vulnerabilidade. O SNMP, verses 1 e 2, utilizam uma community string no encriptada como seu nico mecanismo de autenticao. A falta de criptografia ruim o bastante, mas a strings default da comunidade usada pela maioria dos dispositivos SNMP public, com alguns fabricantes colocando private para informaes mais sensveis. Os hackers podem utilizar essas vulnerabilidades para reconfigurar ou desligar os dispositivos remotamente. O trafego SNMP sniffado pode revelar muito sobre estrutura da sua rede, assim como dos sistemas e dispositivos. Os invasores podem utilizar tais informaes para pegar os alvos de planejar ataques. A maioria dos fabricantes habilita o SNMP v1 por default, e muitos no oferecem produtos capazes de utilizar o SNMP v3, que pode utilizar mtodos de autenticao melhores. Entretanto, existem produtos que podem ser substituir as implementaes atuais de forma gratuita, e que provem suporte a SNMPv3 e que esto sobre licena GPL e BSD. O SNMP no exclusivo ao UNIX, pode ser utilizado extensivamente nos Windows, dispositivos de rede, Access points Wireless e bridges, impressoras e outros dispositivos. Mas a maioria dos ataques relacionada ao SNMP tem sido visto ocorrendo em sistemas UNIX com configurao de SNMP fraca. O trfego SNMP transmitido em texto claro, ento a utilizao dele em redes em que o trfego pode ser monitorado, deve ser cuidadosamente considerado. Para entender mais as vulnerabilidades SNMP, o CERT CC desenvolveu um FAQ SNMP bem compreensivo, To understand more on SNMP vulnerabilities, CERT CC has developed a comprehensive SNMP FAQ, disponvel em http://www.cert.org/tech_tips/snmp_faq.html. U6.2 Sistemas Operacionais Afetados Quase todos os sistemas Unix e Linux vem com SNMP instalado, e geralmente habilitado por default. Muitos outros dispositivos de rede com SNMP habilitado esto tambm vulnerveis. U6.3 Referncias CVE/CAN CVE-1999-0294 CVE-2000-0379 CVE-2001-0514 CVE-1999-0472 CVE-2000-0515 CVE-2001-0564 CVE-1999-0815 CVE-2000-1058 CVE-2001-0888 CVE-1999-1335 CVE-2001-0236 CVE-2002-0017 CVE-2000-0221 CVE-2001-0487 CVE-2002-0069

CVE-2002-0302 CAN-1999-0517 CAN-1999-1245 CAN-2000-0955 CAN-2001-0380 CAN-2001-0840 CAN-2002-0012 CAN-2002-0478 CAN-2002-1408 CAN-2003-0935 CAN-2004-0616

CAN-1999-0186 CAN-1999-0615 CAN-1999-1460 CAN-2000-1157 CAN-2001-0470 CAN-2001-1210 CAN-2002-0013 CAN-2002-0540 CAN-2002-1426 CAN-2003-1002 CAN-2004-0635

CAN-1999-0254 CAN-1999-0792 CAN-1999-1513 CAN-2000-1192 CAN-2001-0552 CAN-2001-1220 CAN-2002-0053 CAN-2002-0812 CAN-2002-1448 CAN-2004-0311 CAN-2004-0714

CAN-1999-0499 CAN-1999-1042 CAN-2000-0147 CAN-2001-0046 CAN-2001-0566 CAN-2001-1221 CAN-2002-0109 CAN-2002-1048 CAN-2002-1555 CAN-2004-0312

CAN-1999-0516 CAN-1999-1126 CAN-2000-0885 CAN-2001-0352 CAN-2001-0711 CAN-2001-1262 CAN-2002-0305 CAN-2002-1170 CAN-2003-0137 CAN-2004-0576

U6.4 Como determinar se voc est vulnervel Voc pode verificar se o SNMP esta sendo executado em dispositivos remotos de rede executando um scanner ou verificando manualmente. SNMPing baixe a ferramenta gratuita de scanning SNMPing do SANS Institute at http://www.sans.org/alerts/snmp/. SNScan - Foundstone criou outra ferramenta de scanning fcil de utilizar chamada SNScan, que pode ser baixada em http://www.foundstone.com/knowledge/free_tools.html. Nessus Uma ferramenta open source de scanning de vulnerabilidades, que pode ser encontrada em http://www.nessus.org Se voc no puder utilizar nenhuma das ferramentas acima, voc pode manualmente verificar se o SNMP est rodando nos seus sistemas. Busque na documentao do seu sistema operacional, de como identificar cada implementao especifica do SNMP, mas o daemon pode ser identificado listando os processos da maquina e fazendo um grepping do "snmp" ou olhando por processos que estejam nas portas 161 ou 162. (A ferramenta lsof pode mostrar um mapeamento de portas para processos). Uma estncia do SNMP sendo executada provavelmente evidencia suficiente de que voc esta vulnervel a ataques relacionados a requests. Veja o CERT Advisory CA2002-03 para mais informaes Se o SNMP estiver rodando e algumas destas variveis adicionais forem encontradas voc pode ter uma vulnerabilidade relacionada a strings: 1. Community Strings vazias ou default. 2. Community Strings fceis de se descobrir. 3. Strings de comunidade SNMP escondidas. Veja http://www.sans.org/resources/idfaq/snmp.php para mais informaes sobre como identificar a presena de tais condies. U6.5 Como se Proteger Vulnerabilidades de Trap e request: 1. Se voc no precisa de SNMP, desabilite-o. 2. Sempre que possvel, utilize o SNMPv3 com autenticao da mensagem e possivelmente criptografia do protocol data unit. 3. Se voc precisa utilizar SNMPv1 e v2, esteja certo que voc est rodando a ultima verso disponibilizada pelo seu fabricante. Um bom ponto de inicio obter informaes especificas do seu fabricante o Appendix A do CERT Advisory CA-2002-03.

4. Filtre o SNMP (porta 161 TCP/UDP e 162 TCP/UDP) ingress na sua rede a no ser que seja absolutamente necessrio para gerenciar os dispositivos externamente. 5. Coloque controle de acesso baseado em host nos seus agentes SNMP. Enquanto essa feature pode ser limitada pelo sistema operacional do agente, o controle do que o agente pode aceitar pode ser possvel. Na maioria dos sistemas UNIX isso pode ser feito pela configurao do TCP-Wrappers ou Xinetd. Um filtro de pacotes baseado em host tambm pode ser utilizado para bloquear requisies indevidas. Vulnerabilidades de Strings default e fceis de se descobrir: 1. Se voc no precisa de SNMP, desabilite-o. 2. Sempre que possvel, utilize o SNMPv3 com autenticao da mensagem e possivelmente criptografia do protocol data unit. 3. Se voc precisa do SNMPv1 ou v2, utilize a mesma poltica de senhas para os nomes das comunidades. Esteja certo que elas so difceis de se adivinhar ou quebrar e que elas so trocadas periodicamente. 4. Valide e verifique os nomes das comunidades utilizando snmpwalk. Informaes adicionais podem ser encontradas em http://www.zend.com/manual/function.snmpwalk.php. Um bom tutorial sobre essa ferramenta pode ser encontrada em http://www.sans.org/resources/idfaq/snmp.php. 5. Filtre o SNMP (porta 161 TCP/UDP e 162 TCP/UDP) ingress na sua rede a no ser que seja absolutamente necessrio para gerenciar os dispositivos externamente. Ento, se possvel, configure os filtros para somente permitir trfego SNMP entre as subnets confiveis. 6. onde possvel, faa da MIBs read-only. Informaes adicionais podem ser encontradas em http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm#xtocid210315 back to top ^ U7 Open Secure Sockets Layer (SSL) U7.1 Descrio A biblioteca open-source OpenSSL prove suporte criptogrfico para as aplicaes que se comunicam pela rede. uma implementao do protocolo SSL/TLS amplamente encontrada, e usada por um grande nmero de fabricantes. O exemplo mais comum de aplicao utilizando essa biblioteca o servidor web Apache (para suportar conexes http seguras). Muitos dos servidores POP3, IMAP, SMTP e LDAP tambm tem suas verses baseadas no OpenSSL. J que a biblioteca OpenSSL est integrada com um numero de aplicaes, qualquer vulnerabilidade nesta biblioteca pode ser explorada via as aplicaes. Por exemplo, mltiplos exploits esto disponveis publicamente e podem comprometer os servidores Apaches compilados com algumas verses da biblioteca. Entretanto, os mesmos exploits podem ser facilmente modificados para comprometer o Sendmail, openLDAP, CUPS, ou outra aplicao baseada em OpenSSL. Mltiplas vulnerabilidades foram encontradas na biblioteca OpenSSL. A mais seria um conjunto de 5 vulnerabilidades listadas no CAN-2002-0655, CAN-2002-0656, CAN2002-0557, CAN-2002-0659 e CAN-2003-0545. Estas vulnerabilidades podem ser exploradas remotamente para execuo de cdigo arbitrrio em um nvel privilegiado das aplicaes usando a biblioteca OpenSSL. Em alguns casos, como no 'sendmail', a explorao bem sucedida pode gerar privilgios root. U7.2 Sistemas Operacionais Afetados

Todos os sistemas UNIX ou LINUX rodando as verses do OpenSSL a seguir esto afetados (a) 0.9.7c ou anterior (b) 0.9.6l ou anterior. Isso pode afetar os pacotes de Linux como os do Apache, CUPS, Curl, OpenLDAP, Stunnel, Sendmail e outras aplicaes baseadas em OpenSSL. U7.3 Referncias CVE/CAN CVE-1999-0428, CVE-2001-1141, CAN-2000-0535, CAN-2002-0655, CAN-2002-0656, CAN-2002-0557, CAN-2002-0659, CAN-2003-0078, CAN-2003-0131, CAN-2003-0147, CAN-2003-0543, CAN-2003-0544, CAN-2003-0545, CAN-2003-0851, CAN-2004-0079, CAN-2004-0081, CAN-2004-0112, CAN-2004-0607 U7.4 Como determinar se voc est vulnervel Verifique o output do commando openssl version. Se a verso no for 0.9.7d ou 0.9.6m, o sistema est vulnervel. U7.5 Como se Proteger 1. Faa o upgrade para a verso mais recente do OpenSSL. Se o OpenSSL foi pr instalado com o sistema operacional, instale o ltimo patch disponvel pelo fabricante. Note que em alguns casos, a re-compilao ou re-linking da aplicao pode ser necessria para habilitar as bibliotecas atualizadas. 2. Se possvel, considere o uso de ipfilter / netfilter ou outras ferramentas de firewalling para restringir o acesso a um servidor com OpenSSL habilitado. Note que um dos usos mais comuns do OpenSSL para a segurana do trfego HTTP atravs da Internet para e-commerce, onde a restrio aos hosts com SSL provavelmente no possvel. back to top ^ U8 Configuraes Errneas dos Servios NIS/NFS U8.1 Descrio O Network File System (NFS) e o Network Information Service (NIS) so dois importantes servios comumente utilizados em servidores e redes UNIX. O NFS um servio originalmente criado pela Sun Microsystems que designado para compartilhar (exportar) sistemas de arquivos/diretrios e arquivos entre os sistemas UNIX em uma rede. Por outro lado, o NIS um conjunto de servios que funciona com uma base de dados distribuda para prover informaes, chamada de Maps, para outros servios, como o NFS. Os mapas mais comumente criados so os dos arquivos de passwd e group, que so usados para centralizar a autenticao dos usurios. O arquivo de hosts outro alvo comum para o NIS. Os problemas de segurana com os dois servios, representados pelos contnuos problemas encontrados no passar dos anos (buffer overflows, DoS e autenticao fraca), fazem deles alvos freqentes de ataques. Alem dos servios sem patches que esto amplamente implementados, os maiores riscos so representados pelas configuraes erradas do NFS e NIS, que facilmente permitem que falhas de segurana sejam exploradas no sistema remoto.

A falta de autenticao oferecida pelo NIS, enquanto fazendo consultas nos mapas NIS permitem que usurios utilizem aplicaes como ypcat ou getent que mostram os valores de uma base de dados NIS, ou mapa, consigam o arquivo de senhas. O mesmo tipo de problema ocorre com o NFS que implicitamente confia no UID (user ID) e GIDs (group IDs) que o cliente NFS apresenta para o servidor e dependendo da configurao do servidor, permite que qualquer usurio monte e explore o sistema de arquivos remoto. U8.2 Sistemas Operacionais Afetados Quase todos os sistemas UNIX e Linux vm com uma verso de NFS e NIS instalados e geralmente habilitados por default. No caso do NFS, embora ele esteja habilitado por default, o arquivo de exports geralmente vazio (o arquivo de exports especifica quais e como os diretrios sero compartilhados). U8.3 Referncias CVE/CAN NFS CVE-1999-0002, CVE-1999-0166, CVE-1999-0167, CVE-1999-0170, CVE-1999-0211, CVE-1999-0832, CVE-1999-1021, CVE-2000-0344, CVE-2002-0830 CAN-1999-0165, CAN-1999-0169, CAN-2000-0800, CAN-2002-0830, CAN-2002-1228, CAN-2003-0252, CAN-2003-0379, CAN-2003-0576, CAN-2003-0680, CAN-2003-0683, CAN-2003-0976, CAN-2004-0154 NIS CVE-1999-0008, CVE-1999-0208, CVE-1999-0245, CVE-2000-1040 CAN-1999-0795, CAN-2002-1232, CAN-2003-0176, CAN-2003-0251 U8.4 Como determinar se voc est vulnervel Os seguintes passos so relacionados s vulnerabilidades de software do NIS/NFS: 1. Verifique que voc esteja atualizado com os patches lanados pelo fabricante. Para a maioria das verses, o comando rpc.mountd version para o NFS e ypserv version para o NIS iro mostrar as verses de ambos. Qualquer verso sem patch ou desatualizada passvel de estar vulnervel. 2. Para vulnerabilidades de software, o melhor caminho utilizar um scanner de vulnerabilidades que esteja atualizado para fazer uma checagem peridica no seu sistema, buscando novas falhas. Os seguintes passos se referem s vulnerabilidades do NIS: 1. Assegure que a senha de root no est no mapa NIS. 2. Assegure que a senhas dos usurios esto de acordo com a poltica de segurana. Um cracker de senhas pode ser utilizado para essa verificao. 3. Se possvel, utilize Blowfish ou MD5 ao invs do DES para o hashing das senhas. Importante: Nunca execute um cracker de senha, mesmo em sistemas que voc tenha acesso de root, sem a permisso explicita e de preferncia por escrito do seu empregador. Administradores com as intenes mais benevolentes tem sido demitidos por executar cracker de senhas sem autorizao para faz-lo.

Os seguintes passos se referem a configurao do NFS: 1. Verifique se os hosts, netgroups e permisses no arquivo /etc/export esto atualizados. 2. Execute o commando showmount e SERVER_IP para verificar o que esta sendo exportado. Verifique se o que esta sendo montado est de acordo com sua poltica de segurana. U8.5 Como se Proteger Os seguintes passos se referem s configuraes NIS: 1. Em cada cliente voc pode explicitamente listar os servidores NIS que queria utilizar, prevenindo que outros sistemas se faam passar por servidores NIS. 2. Se estiver criando arquivos DBM, ative a feature YP_SECURE para assegurar que o servidor somente ir responder as requisies de um cliente em portas privilegiadas. Isso pode ser feito utilizando o switch s junto com o comando makedbm. 3. Inclua os hosts e redes confiveis e no /var/yp/securenets utilizados pelo ypserv e pelo processo ypxfrd, e se lembre de reiniciar os daemons para que as mudanas tenham efeito. 4. Nos seus clientes NIS, assegure ter as entradas +:*:0:0::: no arquivo de senhas. 5. Considere o uso de NIS sobre um protocolo seguro como o SSH. Um bom ponto de inicio o http://www.math.ualberta.ca/imaging/snfs/. Nota: O Lightweight Directory Access Protocol (LDAP) est substituindo o NIS em algumas configuraes e todas as distribuies de Linux suportam LDAP como fonte para vrios servios de nome, como passwd, group e hosts. Um bom livro de Administrao de Sistemas LDAP bem til. Adicionalmente, o LDAP suporta SSL e replicao de forma nativa. Os passos a seguir se referem configurao NFS: 1. Utilize IPs ou nomes e domnios completes ao invs de aliases (do arquivo hosts ou do map de hosts NIS) quando estiver permitindo clientes no arquivo /etc/exports. 2. Utilize o arquivo /etc/exports para restringir acesso ao sistema de arquivos NFS adicionando os seguintes parmetros: Previna usurios normais de montarem um sistema de arquivos NFS acrescentando o parmetro secure aps o endereo IP ou domnio no seu cliente NFS (ex: /home 10.20.1.25(segure) ) Faa o export do sistema de arquivoa NFS com as permisses apropriadas (ro para Read-only ou rw para Read-Write) aps o endereo IP ou domnio do seu cliente NFS no arquivo /etc/exports (ex: /home 10.20.1.25(ro) ) Se possvel, utilize o parmetro root_squash aps o endereo IP ou domnio do seu cliente NFS. Se esse parmetro estiver habilitado, o superusurio ID root no cliente NFS ser substitudo pelo usurio ID nobody e grupo ID nogroup (isso pode ser modificado para ajustar suas necessidades com os parmetros anonuid e anongid) no servidor NFS. Isso significa que o usurio root no cliente no poder acessar ou mudar os arquivos que somente o root no servidor pode acessar ou

mudar, prevenindo ele de conseguir privilgios de super usurios no servidor (ex: /home 10.20.1.25 (root_squash)) Se voc desejar exportar um diretrio com permisses do tipo annimas, use o parmetro all_squash, que mapeia cada user ID e gruop ID para o anonuid e anongid. O conjunto total de parmetros pode ser encontrado na pgina man do /etc/exports. man exports ou online em http://www.netadmintools.com/html/5exports.man.html

3. Uma ferramenta chamada NFSBug pode ser utilizada para testar a configurao. Os testes incluem a busca por sistemas exportados para todos, determinando quando as restries de export funcionam, determinando quando os sistemas de arquivo podem sem ser montados pelo portmapper, tentando adivinhar os file handles, e testando vrios bugs para acessar o sistema de arquivos. http://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/nfsbug/ 4. No Solaris, tenha certeza de ativar a feature de Port Monitoring. Isso pode ser feito acrescentando a linha set nfssrv:nfs_portmon = 1 no arquivo /etc/system . O Linux, por default, nega a cooperao com clientes NFS utilizando portas no privilegiadas (aquelas acima de 1024). Consideraes Gerais relacionadas ao NIS e NFS: 1. Faa uma reviso de sua poltica de firewalls e esteja certo que as portas que no so necessrias estejam bloqueadas, assim como as portas tcp e udp 111 (portmap) e porta 2049/tcp/udp (Rpc.nfsd). Permita acesso aos servidores NIS e NFS somente de clientes autorizados. Outra medida possvel restringir acesso via tcp_wrappers localizados em http://sunsite.cnlabswitch.ch/ftp/software/security/security-porcupine.org/. No seu arquivo /etc/hosts.allow, voce deve colocar o servio e IP permitido a acessar o servio (ex: portmap: 10.20.0.0/16 para permitir uma rede privada 10.20.0.0 a acessar o servio portmap). Alem disso, no arquivo /etc/hosts.deny inclua os servios e IPs que no so permitidos acessar o servio (ex: portmap: ALL ir fazer o bloqueio de todos os outros endereos IP que no esto includos no arquivo /etc/hosts.allow). O servio portmap um servio importante de ter o acesso negado porque por ele que o NFS opera. 2. Considere o uso do NFS sobre um protocolo seguro como o SSH. Um bom ponto de inicio o http://www.math.ualberta.ca/imaging/snfs/. 3. Aplique todos os patches do fabricante ou atualize seus servidores de NFS e NIS para a ltima verso. Para mais informao sobre hardening do seu UNIX, veja o checklist de segurana de UNIX do CERT. 4. Desabilite os daemons NFS e o NIS em quaisquer sistemas que no estejam especificamente autorizados a serem servidores NFS e/ou NIS. Para prevenir essa mudana de ser desfeita, pode ser interessante remover os softwares de NFS e/ou NIS no sistema. back to top ^

U9 Bancos de Dados U9.1 Descrio Bancos de dados so elementos para a viabilizao eletrnica de comercio, Banco, mercado financeiro e sistemas ERP (Enterprise Resource Planning), e incluem informaes criticas de parceiros, clientes e empregados. Mesmo com a importncia da integridade e confidencialidade de dados, os sistemas de gerenciamento sistemas de banco de dados (DBMS) tipicamente no seguem o mesmo nvel de segurana dos sistemas operacionais e redes. Sistemas de gerenciamento de banco de dados so colees de programas que armazenam, modificam e extraem informaes de um banco de dados. A integridade e confidencialidade dos dados podem ser comprometidas por vrios fatores, incluindo a complexidade da implementao, uso de senhas no seguras, configuraes erradas, aplicaes escritas de forma frgil, senhas hard-coded e backdoors desconhecidos. A maioria das organizaes privadas e publicas utilizam banco de dados para informaes pessoais, como informaes de pagamentos, histricos mdicos pelos quais existem medidas regulatrias que colocam responsabilidade sobre a privacidade e confidencialidade desses dados. Bancos de dados armazenam informaes sensveis de dados financeiros, passado e futuro, incluindo informaes de comercio de aes, transaes financeiras e de registros. Os bancos de dados incluem ainda informaes de clientes, incluindo registros financeiros, nmeros de cartes de crdito, e informaes confiveis de parceiros. Bancos de dados so aplicaes extremamente complexas e so, geralmente, difceis de ser configuradas de forma segura. Aplicaes de banco de dados como MySQL, PostgreSQL e ORACLE incluem muitas das seguintes features: sistemas de auditoria de contas e senhas de usurios, modelo de privilgios e permisses especificas para controle dos objetos do banco de dados, comandos inerentes, linguagem nica de programao script, protocolos de rede, patches e service packs, e aplicaes poderosas para o gerenciamento e de banco de dados e desenvolvimento. Muitos administradores lidam com a administrao de banco de dados em um modelo part time e geralmente no entendem a complexidade destas aplicaes. Como resultado, vulnerabilidades de segurana srias, e configuraes erradas, passam sem ser verificadas, ou completamente sem serem detectadas. A comunidade de segurana tradicional praticamente ignorava o tpico de segurana em base de dados; muitos profissionais de banco de dados geralmente no consideram segurana como uma de suas responsabilidades. Muitos bancos de dados tm muitas features que podem ser usadas de forma errada ou exploradas para comprometer a confidencialidade, disponibilidade e integridade dos dados. Todas os sistemas bases de dados relacionais modernos so port addressable que significa que qualquer um com ferramentas de query podem tentar conectar diretamente na base de dados, fazendo um bypass nos mecanismos de segurana usados pelo sistema operacional. Por exemplo, o Oracle pode ser acessado via TCP porta 1521, MySQL pode ser acessado via TCP porta 3306, e o PostgreSQL pode ser acessado via TCP porta 5432. A maioria das aplicaes de banco de dados tambm tem contas e senhas padro e bem conhecidas, que provem vrios nveis de acesso aos recursos e tabelas do banco de dados. Hoje, grande parte dos bancos de dados esto bem ligados com as aplicaes de frontend, sendo as aplicaes web-based as mais comuns. Se uma aplicao configurada ou escrita de forma frgil, isso pode possibilitar que um hacker faa um ataque de SQL injection ou explore algum das vulnerabilidades do banco de dados.

O CERT CC publicou um advisory, CA-2003-05, para mltiplas vulnerabilidades do Oracle que podem comprometer o banco de dados. Mais recentemente o US-CERT tambm publicou um advisory sobre vulnerabilidades de SQL Injection no Oracle EBusiness Suite (TA04-160A) que poderia levar a um comprometimento da aplicao de banco de dados e da integridade dos dados. Similarmente, o MySQL tambm est sujeito a algumas vulnerabilidades. Uma breve descrio de alguns ataques comuns no MySQL podem ser encontrados em um artigo publicado recentemente pela empresa Next Generation Software, http://www.nextgenss.com/papers/HackproofingMySQL.pdf. U9.2 Sistemas Operacionais Afetados Quase todas os sistemas Linux so distribudos com verses DBMS open source como MySQL e PostgreSQL, assim como solues comerciais DBMS, como o Oracle. Varias outras distribuies UNIX como Solaris, AIX, HPUX suportam ORACLE, DB2 e outros bancos de dados comerciais, assim como a maioria de DBMS open source. U9.3 Referncias CVE/CAN Oracle: CVE-2002-0567, CVE-2002-0571 CAN-1999-0652, CAN-1999-1256, CAN-2002-0858, CAN-2002-1264, CAN-2003-0095, CAN-2003-0096, CAN-2003-0222, CAN-2003-0634, CAN-2003-0727, CAN-2003-0894 MySQL: CVE-1999-1188, CVE-2000-0045, CVE-2000-0148, CVE-2000-0981, CVE-2001-0407 CAN-1999-0652, CAN-2002-1373, CAN-2003-0150, CAN-2004-0627, PostgreSQL: CVE-2002-0802 CAN-1999-0862, CAN-2000-1199, CAN-2001-1379, CAN-2002-0972, CAN-2002-1397, CAN-2002-1398, CAN-2002-1399, CAN-2002-1400, CAN-2002-1401, CAN-2002-1402, CAN-2003-0040, CAN-2003-0500, CAN-2003-0515, CAN-2003-0901, CAN-2004-0366, CAN-2004-0547 U9.4 Como determinar se voc est vulnervel Assegura que todos os DBMS que acompanham com o sistema operacional esto rodando com a ultima verso. Sistemas de banco de dados sem patches ou desatualizados tendem a estar vulnerveis. Instalaes default de DBMS tendem ter vulnerabilidades que podem ser exploradas por um hacker. CAN-2001-1274, CAN-2001-1275, CAN-2002-0229, CAN-2002-0969, CAN-2002-1374, CAN-2002-1375, CAN-2002-1376, CAN-2003-0073, CAN-2003-0515, CAN-2003-0780, CAN-2004-0381, CAN-2004-0388, CAN-2004-0628

Faa um scan de vulnerabilidades nos sistemas para se determinar quais softwares DBMS esto vulnerveis: MySQL Network Scanner: permite que se faa um scanning de toda a rede procurando sistemas MySQL com senha default e possibilita a identificao de servidores estranhos Open source network vulnerability scanner Nessus (http://www.nessus.org) tambm verifica por falhas comuns em bancos de dados em UNIX. Scanners de vulnerabilidade comerciais como Foundstone, Qualys, eEyE Retina tambm so usados para detector vulnerabilidades de banco de dados. Ainda, existem scanners especficos de banco de dados como AppSecInc ou ISS Database Scanner.

U9.5 Como se Proteger Primeiro, essencial assegurar que as aplicaes de banco de dados esto com os ltimos patches disponveis. Verifique o web site do fabricante para informaes de patch: Oracle (http://otn.oracle.com/software/index.html) MySQL (http://www.mysql.com/products/mysql/) PostgreSQL (ftp://ftp.postgresql.org/pub)

A seguir, assegure que o DBMS e as aplicaes esto seguras: Uso de least privileges. Remova/mude as senhas default nas contas privilegiadas ou de sistema antes de colocar o sistema na rede. Use stored procedures quando possvel. Remova/desabilite stored procedures desnecessrias. Coloque limites de tamanho em quaisquer campos de formulrio. Faa a validao de todos os dados no lado do servidor (tamanho, formato, tipo).

Existem vrios recursos teis para ajudar a colocar mais segurana no DBMS's: Oracle (http://otn.oracle.com/deploy/security/index.html) MySQL (http://dev.mysql.com/doc/mysql/en/Security.html) PostgreSQL (http://www.postgresql.org/docs/7/interactive/security.htm)

Fique sempre atualizado com as vulnerabilidades e alertas anunciados pelos fabricantes: Oracle Security Alerts (http://otn.oracle.com/deploy/security/alerts.htm) MySQL (http://lists.mysql.com/) PostgreSQL (http://www.postgresql.org/lists.html)

O SANS Institute publica um checklist de segurana para Oracles que pode ser bem util para auditar uma instalao de banco de dados Oracle: http://www.sans.org/score/oraclechecklist.php The Center for Internet Security tambm desenvolveu Ferramenta de benchmark para Database Oracle que pode ser bem til para se fazer um benchmark de segurana na base de dados: http://www.cisecurity.org/bench_oracle.html SANS Security Oracle Step-by-Step prove dicas teis e praticas para se fazer um hardening de sistemas Oracle (https://store.sans.org/store_item.php?item=80) Por ltimo, informaes adicionais sobre segurana de banco de dados podem ser encontradas aqui: SANS Reading Room on Database Security (http://www.sans.org/rr/catindex.php?cat_id=3) http://www.petefinnigan.com/orasec.htm

back to top ^ U10 Kernel U10.1 Descrio O componente principal do sistema operacional o Kernel. O Kernel responsvel por um nmero de interaes de baixo nvel entre o sistema operacional o hardware, memria, comunicaes entre processos, sistema de arquivos e outros. O kernel possui privilgios de acesso a todos os aspectos do sistema, por isso, um comprometimento no nvel do kernel pode ser devastador. Riscos de vulnerabilidades no kernel incluem Denial of service, execuo de cdgo arbitrrio com privilgios de sistema, acesso irrestrito ao sistema de arquivos, ou acesso de root. Muitas vulnerabilidades so exploradas remotamente, e so especialmente perigosas quando o ataque feito por um servio publico na Internet. Em alguns casos, com o envio de pacotes icmp mal formados, o kernel pode ficar em um loop, consumindo todos os recursos de CPU deixando a maquina praticamente sem uso, causando um Denial of Service. Um tunning do kernel, no somente pode oferecer uma proteo contra ataques, mas tambm melhorar a performance do sistema. U10.2 Sistemas Operacionais Afetados Praticamente todos as variantes de Unix incluindo Solaris, HP-UX, distribuies Linux, verses BSD, e verses Windows tem experimentado vulnerabilidades no kernel, ou por fatores inerentes ou por falhas de aplicaes que desfavoravelmente afetam o kernel. U10.3 Referncias CVE/CAN CVE-1999-0295, CVE-1999-1214, CVE-2000-0456, CVE-2001-0316, CVE-2002-0046, CVE-1999-0367, CVE-1999-1339, CVE-2000-0506, CVE-2001-0317, CVE-2002-0766, CVE-1999-0482, CVE-1999-1341, CVE-2000-0867, CVE-2001-0859, CVE-2002-0831 CVE-1999-0727, CVE-2000-0274, CVE-2001-0062, CVE-2001-0993, CVE-1999-0804, CVE-2000-0375, CVE-2001-0268, CVE-2001-1166,

CAN-1999-1166, CAN-2001-1181, CAN-2003-0248, CAN-2004-0003, CAN-2004-0496,

CAN-2000-0227, CAN-2002-0279, CAN-2003-0418, CAN-2004-0010, CAN-2004-0497,

CAN-2001-0907, CAN-2002-0973, CAN-2003-0465, CAN-2004-0177, CAN-2004-0554,

CAN-2001-0914, CAN-2003-0127, CAN-2003-0955, CAN-2004-0482, CAN-2004-0602

CAN-2001-1133, CAN-2003-0247, CAN-2003-0984, CAN-2004-0495,

U10.4 Como determinar se voc est vulnervel Existe um nmero de formas de ajudar a determinar se o kernel est vulnervel. Se oferecido pelo fabricante, faa um registro para receber emails com informaes de updates de segurana. A maioria das listas de segurana anuncia vulnerabilidades de kernel assim que so lanadas. Verificando as verses de kernel corrente dos sistemas deve ser parte de um procedimento padro. Softwares de verificao de segurana podem ser usados para determinar a verso do kernel que est sendo executado nos sistemas. O Nessus possui um nmero de plug-ins para testar os sistemas com vulnerabilidades de kernel. Cuidado:muitos destes plug-ins podem causar condies de denial-of-service, e cuidados devem ser tomados quando estiver fazendo um scanning nos seus sistemas, para no causar um down-time antecipado. U10.5 Como se Proteger Existem duas classes de parmetros que podem ser configurados no kernel para impedir ataques. Um realizar um tunning nos recursos do sistema para restringir um ataque de denial of service e buffer overflows. A segunda classe fazer um harden nas configuraes da rede para prevenir ataques de rede. Os comandos e parmetros para configurao so especficos a cada plataforma. A documentao especifica para cada plataforma deve ser consultada para se entender como fazer o tunning apropriado do kernel. recomendvel que todas as modificaes sejam bem testadas antes da implementao em um ambiente de produo e que os backups sejam feitos e estejam prontamente disponveis caso algum problema ocorra. Existem vrios recursos teis que ajudam a fechar o sistema realizando o tuning do kernel de forma apropriada. Solaris Solaris Solaris Solaris Tunable Parameters Reference Manual (Solaris 8) Tunable Parameters Reference Manual (Solaris 9) Operating Environment Network Settings for Security Kernel Tuning for Security ou http://www.securityfocus.com/infocus/1385

Linux Kernel Hardening The Linux Kernel Archives Linux Kernel Hardening AIX Kernel Tuning HP-UX Kernel Tuning and Performance Guide

http://docs.hp.com/hpux/pdf/5185-6559.pdf http://docs.hp.com/hpux/pdf/TKP-90203.pdf http://docs.hp.com/cgi-bin/otsearch/hpsearch http://docs.hp.com/ FreeBSD Handbook (contem informao sobre tuning do kernel): http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/index.html OpenBSD: http://www.openbsd.org/faq/index.html http://www.openbsd.org/docum.html (para mais informaes) NetBSD Tuning, Kernel Tuning back to top ^

Apndice A Portas Vulnerveis Mais Comuns

Nesta seo, listamos as portas que so freqentemente sondadas e atacadas. O bloqueio destas portas uma exigncia mnima para a segurana do permetro da rede, e no representa uma lista completa de especificaes para o firewall. Uma regra muito mais apropriada seria bloquear todas as portas que no so usadas. Mesmo sabendo que estas portas esto bloqueadas, voc deveria monitor-las ativamente para detectar tentativas de intruso. Aqui cabe uma advertncia: bloquear algumas das portas da lista seguinte pode desabilitar servios necessrios. Considere os efeitos potenciais destas recomendaes antes de implement-las. Nota: Tambm importante ilustrar que h uma aceitao muito grande da idia que a denegao default ou bloqueio das portas que no sejam explicitamente permitidas uma prtica muito mais eficaz de segurana que bloquear portas especficas. Esta forma de encarar tambm resulta mais fcil para a administrao de roteadores e firewalls pois suas configuraes e listas de controle tendem a ser mais curtas, mais lgicas, e mais fceis de manter. Tenha em mente que bloquear estas portas no substitui um conjunto completo de polticas e um bom plano de segurana. Mesmo que as portas tenham sido bloqueadas, um atacante que j conseguiu acesso sua rede atravs de outros meios (por exemplo, atravs de um modem, um Trojan anexado a um E-mail, o ataque de um usurio que se encontra antes do ponto de filtrado, ou um computador comprometido) pode explorar estas portas se elas no esto adequadamente protegidas em todos os hosts de sua organizao. Nome Small services FTP SSH TELNET SMTP TIME Porta <20 21 22 23 25 37 Protocolo Descrio tcp/udp tcp tcp tcp tcp tcp/udp small services transferncia de arquivos servio de login servio de login mail horrio

WINS DNS DNS zone transfers DHCP server DHCP client TFTP GOPHER FINGER HTTP alternate HTTP port alternate HTTP port LINUXCONF POP2 POP3 PORTMAP/RPCBIND NNTP NTP NetBIOS NetBIOS NetBIOS NetBIOS/SAMBA IMAP SNMP SNMP XDMCP BGP FW1-secureremote FW1-secureremote LDAP HTTPS Windows 2000 NetBIOS ISAKMP REXEC RLOGIN RSHELL RWHO SYSLOG LPD TALK RIP UUCP HTTP RPC-EPMAP

42 53 53 67 68 69 70 79 80 81 88 98 109 110 111 119 123 135 137 138 139 143 161 162 177 179 256 264 389 443 445 500 512 513 514 513 514 515 517 520 540 593

tcp/udp udp tcp tcp/udp tcp/udp udp tcp tcp tcp tcp tcp tcp tcp tcp tcp/udp tcp udp tcp/udp udp udp tcp tcp tcp/udp tcp/udp udp tcp tcp tcp tcp/udp tcp tcp/udp udp tcp tcp tcp udp udp tcp udp udp tcp/udp tcp

replicao WINS servio de nomes servio de nomes configurao de host configurao de host miscelnea antigo servio tipo WWW miscelnea web web web (s vezes Kerberos) configurao de host mail mail RPC portmapper servio network news horrio DCE-RPC endpoint mapper servio de nomes NetBIOS servio de datagramas NetBIOS file sharing e servio de login mail miscelnea miscelnea X display manager protocol miscelnea CheckPoint FireWall-1 mgmt CheckPoint FireWall-1 mgmt naming services web SMB over IP (Microsoft-DS) IPSEC Internet Key Exchange } the three } Berkeley r-services } (used for remote login) miscelnea miscelnea impresso remota miscelnea protocolo de roteamento transferencia de arquivos HTTP DCE-RPC endpoint mapper

IPP LDAP over SSL Sun Mgmt Console SAMBA-SWAT Windows RPC programs Windows RPC programs Windows RPC programs SOCKS LotusNotes MS-SQL-S MS-SQL-M CITRIX WINS replication ORACLE NFS COMPAQDIAG COMPAQDIAG CVS SQUID Global catalog LDAP Global catalog LDAP SSL MYSQL Microsoft Term. Svc. LOCKD Sun Mgmt Console PCANYWHERE PCANYWHERE VNC VNC X11 FONT-SERVICE alternate HTTP port alternate HTTP port alternate HTTP port alternate HTTP port alternate HTTP port alternate HTTP port Unix RPC programs Unix RPC programs Unix RPC programs COMPAQDIAG COMPAQDIAG

631 636 898 901 1025 to 1039 1080 1352 1433 1434 1494 1512 1521 2049 2301 2381 2401 3128 3268 3269 3306 3389 4045 5987 5631 5632 5800 5900 7100 8000 8001 8002 8080 8081 8888 32770 to 32899 49400 49401

tcp tcp tcp tcp tcp/udp tcp/udp tcp tcp tcp udp tcp tcp/udp tcp tcp/udp tcp tcp tcp tcp tcp tcp tcp tcp tcp/udp tcp tcp tcp/udp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp/udp tcp/udp tcp tcp

impresso remota LDAP over SSL administrao remota administrao remota } geralmente designado } pelo DCE-RPC portmapper } em hosts Windows miscelnea banco de dados/groupware banco de dados banco de dados remote graphical display WINS replication banco de dados NFS file sharing administrao remota de Compaq administrao remota de Compaq file sharing colaborativo web cach Global catalog LDAP Global catalog LDAP SSL banco de dados remote graphical display NFS file sharing administacao remota administacao remota administacao remota administacao remota administacao remota servidor X Window servio de fontes X Window web web web web web web } geralmente designado } pelo RPC portmapper } em hosts Solaris administrao remota de Compaq administrao remota de Compaq

6000-6255 tcp

PCANYWHERE

65301

tcp

administrao remota

ICMP: bloqueie echo requests entrantes (ping e traceroute de Windows), bloqueie echo replies de sada, tempo esgotado, e mensagens de destino inatingvel exceto mensagens de "pacote muito grande" (tipo 3, cdigo 4). (Este item supe que voc quer abster-se dos usos legtimos do ICMP echo request de maneira a bloquear alguns usos maliciosos conhecidos.) Alm destas portas, bloqueie pacotes com endereos forjados ("spoofed") - pacotes que chegam de fora da sua companhia e contm endereos de origem internos, endereos reservados privados (RFC1918) ou endereos reservados pelo IANA (para detalhes, veja http://www.iana.org/assignments/ipv4-address-space). Ademais se sugere o bloqueio de pacotes dirigidos a endereos de broadcast ou multicast. Tambm seria conveniente o bloqueio de pacotes source routed ou qualquer pacote com opes IP ativadas. Voc deveria aplicar tambm filtros de sada nos roteadores da borda para bloquear spoofed packets que se originem na sua rede. Somente permita que pacotes originados nos seus endereos sejam roteados para fora da sua organizao. Reconhecimento de Marcas Registradas: O SANS Institute reconhece a importncia da propriedade intelectual, marca registrada, direitos autorais, marcas de servios, e patentes e se esfora para respeit-las neste documento. Os seguintes produtos, sistemas, ou programas so reconhecidos como nomes de marcas registradas. Se voc pensa que omitimos alguma marca registrada de produtos, por favor envie um e-mail a top20@sans.org com os seus comentrios e observaes e asseguraremos de atualizar o documento de acordo s necessidades. Microsoft, Windows, Windows Server 2003, Microsoft SQL Server, Microsoft Outlook so nomes comerciais ou marcas registradas da Microsoft Corporation nos Estados Unidos e/ou outros pases. Sendmail um nome comercial ou marca registrada de Sendmail, Inc. nos Estados Unidos e/ou outros pases. SSH um nome comercial ou marca registrada de SSH Communication Security nos Estados Unidos e/ou outros pases. CERT Coordination Center um nome comercial ou marca registrada de Carnegie Mellon Software Engineering Institute nos Estados Unidos e/ou outros pases. UNIX um nome comercial ou marca registrada de The Open Group nos Estados Unidos e/ou outros pases. back to top ^

Apndice B
Os Especialistas que Ajudaram a Criar a Lista das Vinte Vulnerabilidades Mais Comuns na Internet (Top Twenty Vulnerable Services List) para 2004 Ross Patel, Project Coordinator 2004

Erik Kamerling, Project Coordinator 2003 Richard Starnes, Cable & Wireless Ed Fisher, Ocwen Technology Solutions Carl Thorp, Westthor Ted Humphreys, XiSEC UK Brian Smith-Sweeney, Network & Security Consulting, LLC Nick Edwards, Windsor Lodge Associates Olivier Devaux, Qualys Gerhard Eschelbeck, Qualys Michael Murray, nCircle Proactive Network Security Alexander Kotkov, Corporate Legal Services Anton Chuvakin, Ph.D., netForensics Kevin Hong - Korea Information Security Agency (KISA), KrCERT/CC Dean Farrington, Wells Fargo Cory Scott, @stake Sam Patel, AFENTIS UK Leo Pastor, Advanced Consulting & Training, Argentina William Bellamy, Office of the Auditor of Public Accounts, Commonwealth of Kentucky John Banghart, Center for Internet Security Koon Yaw Tan, Infocomm Development Authority of Singapore Pedro Paulo Ferreira Bueno, Brasil Telecom Steven Sim Kok Leong, Infocomm Security Group (National University of Singapore) Rick Wanner, SaskTel Sanjay V. Pandit, DIRECTV Buanzo' Busleiman, OISSG.Ar President Scott Lawler, General Dynamics Christopher Misra, University of Massachusetts Jeff Ito, Department of Transport Rohan Amin, Lockheed Martin Scott Fendley, Internet Storm Center Tyler Hudak Rohit Dhamankar, TippingPoint Technologies Justin Tibbs, SNOsoft Marcos A. Ferreira Jr., NX Security Jean-Francois Legault, Connexim Monty Ijzerman, Ph.D., McAfee, Inc. Paul Lindsay, Philips Semiconductors Marco Cremonini, University of Milan Department of Homeland Security (DHS) British Computer Society (BCS) Information Systems Security Association (ISSA) Security Experts Panel (SEP) Information Systems Security Group (ISSG) National Infrastructure Security Coordination Centre (NISCC) Communication Electronic Security Group (CESG) Government Communications Headquarters (GCHQ) Public Safety and Emergency Preparedness Canada (PSEPC) Ministry of Defence (MoD) Department of Defence (DoD) Department of Transport (DoT) Department of Energy (DoE)

back to top ^ Os Especialistas que Ajudaram a Criar a Top Twenty Vulnerable Services List para 2003 Adair Collins, US Department of Energy Alan Paller, SANS Institute Alex Lucas, United Kingdom National Infrastructure Security Co-ordination Center Alexander Kotkov, CCH Legal Information Services Anton Chuvakin, Ph.D., netForensics BJ Bellamy, Kentucky Auditor of Public Accounts Bradley Peterson, US Department of Energy Cathy Booth, United Kingdom National Infrastructure Security Co-ordination Center Incident Response CESG Chris Benjes, National Security Agency Christopher Misra, University of Massachusetts Amherst Dave Dobrotka, Ernst & Young Dominic Beecher, United Kingdom National Infrastructure Security Co-ordination Ed Fisher, CableJiggler Consulting, LLC Edward Skoudis, International Network Services Edward W. Ray, MMICMAN LLC Erik Kamerling, Pragmeta Networks/SANS Institute - Editor Gerhard Eschelbeck, Qualys Jeff Campione, Editor 2002 Jeff Ito, Indus Corporation Jeni Li, Arizona State University Kevin Thacker, United Kingdom National Infrastructure Security Co-ordination Koon Yaw Tan, Infocomm Development Authority of Singapore (IDA) Pedro Paulo Ferreira Bueno, MetroRED Telecom, Brazil Pete Beck, United Kingdom National Infrastructure Security Co-ordination Richard (Rick) Wanner, InfoSec Centre of Expertise (COE) CGI Information Systems & Management Consultants Inc. Roland M Lascola, U.S. Dept. of Energy - Office of Independent Oversight and Performance Assurance Ross Patel, Afentis Security Russell Morrison, AXYS Environmental Consulting Ltd. Scott A. Lawler, CISSP, Veridian Information Solutions Stephen Northcutt, SANS Institute Valdis Kletnieks, Virginia Tech William Eckroade, U.S. Dept. of Energy Agradecemos tambm s seguinten pessoas pelo seu excelente trabalho ajudanto a editar, dar formato e produzir a lista 2003. Audrey (Dalas) Bines, SANS Institute Brian Corcoran, SANS Institute Cara L. Mueller, SANS Institute A equipe da Top 20 gostaria de agradecer aos seguintes alunos do SANS que doaram seu tempo para revisar e comentar a verso preliminar de 2003. Paul Graham, CIT at the University at Buffalo (UB) Jerry Berkman, UC Berkeley Neil W Rickert, Northern Illinois University Travis Hildebrand, US Department of Veteran Affairs Christoph Gruber, WAVE Solutions

Mark Worthington, Affiliated Computer Services (ACS), Riverside Public Library Matthew Nehawandian, CISSP Os Especialistas que Ajudaram a Criar a Top Twenty Vulnerable Services List para 2002 Jeff Campione, Federal Reserve Board - Editor Eric Cole, Editor, 2001 Edition Ryan C. Barnett, Department of the Treasury/ATF Chris Benjes, National Security Agency Matt Bishop, University of California, Davis Chris Brenton, SANS Institute Pedro Paulo Ferreira Bueno, Open Communications Security, Brazil Anton Chuvakin, Ph.D., netForensics Rob Clyde, Symantec Dr. Fred Cohen, Sandia National Laboratories Gerhard Eschelbeck, Qualys Dan Ingevaldson, Internet Security Systems Erik Kamerling, Pragmeta Networks Gary Kessler, Gary Kessler Associates Valdis Kletnieks, Virginia Tech CIRT Alexander Kotkov - CCH Legal Information Services Jamie Lau, Internet Security Systems Scott Lawler, Veridias Information Solutions Jeni Li, Arizona State University Nick Main, Cerberus IT, Australia Jose Marquez, Alutiiq Security and Technology Christopher Misra, University of Massachusetts Stephen Northcutt, SANS Institute Craig Ozancin, Symantec Alan Paller, SANS Institute Ross Patel, Afentis, UK Marcus Ranum, ranum.com Ed Ray - MMICMAN LLC Chris Rouland, Internet Security Systems Bruce Schneier, Counterpane Internet Security Inc. Greg Shipley, Neohapsis Ed Skoudis, Predictive Systems Gene Spafford, Purdue University CERIAS Koon Yaw Tan, Infocomm Development Authority of Singapore Mike Torregrossa, University of Arizona Viriya Upatising, Loxley Information Services, Thailand Rick Wanner, CGI Information Systems and Management Consultants Pessoas que ajudaram a priorizar CVE individuais para ajudar a definir os testes a serem usados nos Top 20 scanners para 2002. Para detalhes sobre o processo utilizado, veja www.sans.org/top20/testing.pdf Charles Ajani, Standard Chartered Bank, London, UK Steven Anderson, Computer Sciences Corporation, North Kingstown RI John Benninghoff, RBC Dain Rauscher, Minneapolis MN Layne Bro, BEA Systems, Denver CO Thomas Buehlmann, Phoenix AZ Ed Chan, NASA Ames Research Center, San Jose CA Andrew Clarke, Computer Solutions, White Plains NY

Brian Coogan, ManageSoft, Melbourne Australia Paul Docherty, Portcullis Computer Security Limited,UK Arian Evans, U.S. Central Credit Union, Overland Park KS Rich Fuchs, Research Libraries Group, Mountain View CA Mark Gibbons, International Network Services, Minneapolis MN Dan Goldberg, Rochester NY Shan Hemphill, Sacramento CA Michael Hensing, Charlotte, NC, Microsoft Simon Horn, Brisbane Australia Bruce Howard, Kanwal Computing Solutions, Jilliby NSW Australia Tyler Hudak, Akron OH Delbert Hundley, MPRI Division of L-3COM, Norfolk VA Chyuan-Horng Jang, Oak Brook IL Kim Kelly, The George Washington University, Washington DC Martin Khoo, Singapore Computer Emergency Response Team (SingCERT), Singapore Susan Koski, Pittsburgh PA Kevin Liston, AT&T, Columbus OH Andre Marien, Ubizen, Belgium Fran McGowran, Deloitte & Touche, Dublin, Ireland, UK Derek Milroy, Zurich North America, Chicago IL Bruce Moore, Canadian Forces Network Operations Center, DND, Ottawa Canada Castor Morales, Ft. Lauderdale FL Luis Perez, Boston MA Reg Quinton, University of Waterloo, Ontario Canada Bartek Raszczyk, UWM Olsztyn, Olsztyn Poland Teppo Rissanen, Plasec Oy, Helsinki Finland Alan Rouse, N2 Broadband, Duluth GA Denis Sanche, PWGSC ITSD/IPC, Hull, QC Canada Felix Schallock, Ernst & Young, Vienna, Austria Gaston Sloover, Fidelitas, Buenos Aires Argentina Arthur Spencer, UMASS Medical School, Worcester MA Rick Squires Jeff Stehlin, HP Koon Yaw TAN, Infocomm Development Authority of Singapore, Singapore Steven Weil, Seitel Leeds & Associates, Seattle WA Lance Wilson, Time Warner Cable/Broadband IS, Orlando FL Andrew Wortman, Naval Research Laboratory, Washington DC Carlos Zottman, Superior Tribunal de Justica, Brasilia Brazil Outros especialistas de seguranca que ajudaram com as listas Top Twenty para 2001 e Top Ten para 2000 que serviram de base sobre a qual se construiu a Top Twenty para 2002 Billy Austin, Intrusion.com Phil Benchoff, Virginia Tech CIRT Tina Bird, Counterpane Internet Security Inc. Lee Brotzman, NASIRC Allied Technology Group Inc. Mary Chaddock Steve Christey, MITRE Scott Conti, University of Massachusetts Kelly Cooper, Genuity Scott Craig, KMart Sten Drescher, Tivoli Systems Kathy Fithen, CERT Coordination Center

Nick FitzGerald, Computer Virus Consulting Ltd. Igor Gashinsky, NetSec Inc. Bill Hancock, Exodus Communications Robert Harris, EDS Shawn Hernan, CERT Coordination Center Bill Hill, MITRE Ron Jarrell, Virginia Tech CIRT Jesper Johansson, Boston University Christopher Klaus, Internet Security Systems Clint Kreitner, Center for Internet Security Jimmy Kuo, Network Associates Inc. Jim Magdych, Network Associates Inc. Dave Mann, BindView Randy Marchany, Virginia Tech Mark Martinec "Jozef Stefan" Institute William McConnell, Trend Consulting Services Peter Mell, National Institutes of Standards and Technology Larry Merritt, National Security Agency Mudge, @stake Tim Mullen, AnchorIS.com Ron Nguyen, Ernst & Young David Nolan, Arch Paging Hal Pomeranz, Deer Run Associates Chris Prosise, Foundstone Inc. Jim Ransome RAZOR Research - BindView Development Martin Roesch, Snort Vince Rowe, FBI, NIPC Marcus Sachs, JTF-CNO US Department of Defense Tony Sager, National Security Agency Gene Schultz, Lawrence Berkeley Laboratory Eric Schultze, Foundstone Derek Simmel, Carnegie Mellon University Ed Skoudis, Predictive Systems Lance Spitzner, Sun Microsystems, GESS Team Wayne Stenson, Honeywell Jeff Stutzman Frank Swift Bob Todd, Advanced Research Corporation Jeff Tricoli, FBI NIPC Laurie Zirkle, Virginia Tech CIRT back to top ^ Os Especialistas que Colaboraram na Traduo da Top 20 2004 para o Portugus Leo Pastor, Advanced Consulting & Training, Argentina Pedro Paulo Ferreira Bueno, Brasil Telecom Jess Garca, LAEFF-INTATwenty Vulnerable Service Lists for 2003 The SANS Institute SANS Web Privacy Policy: www.sans.org/privacy.php Web Contact:webmaster@sans.org
2002-2004

back to top ^