DeSplinter / Redes / 0 comentários

DNS – A Internet Vai Parar Em 2018?

Tenho recebido vários questionamentos sobre se é verdade sobre a parada dos servidores DNS, então resolvi fazer esse post para responder.

Muito se tem noticiado sobre a troca das chaves  KSK dos servidores DNS, e que com essa troca o seu servidor ira parar e a internet no mundo corre o risco de parar mais precisamente em outubro de 2018, mas será que isso é uma verdade absoluta?

Vejamos então:

De acordo com o documento disponível na ICANN as datas são as seguintes:

  • Outubro de 2016: geração da nova KSK
  • Fevereiro de 2017: publicação da nova KSK no site da IANA
  • Julho de 2017: publicação da nova KSK no DNS
  • Outubro de 2017: uso da nova KSK para assinatura (a revisão em si)
  • Janeiro de 2018: revogação da KSK antiga
  • Março de 2018: destruição segura da KSK antiga e conclusão do processo de revisão

https://www.icann.org/pt/system/files/files/ksk-rollover-at-a-glance-22jul16-pt.pdf

Entendendo o funcionamento!

Para isso precisamos entender bem o conceito e funcionamento dos servidores DNS para entendermos onde as chaves KSK se encaixam.

O NIC.br tem um canal no youtube que particularmente acho fantástico, eles disponibilizam vários vídeos explicativos que foram desenvolvidos em uma linguagem muito simples para entendimento do funcionamento da internet, e um desses vídeos eu vou colocar aqui para que possamos entender o funcionamento do DNS e DNSSEC.

 

Após ver o vídeo sabemos então que o DNSSEC  aplica uma camada de segurança no DNS usando criptografia, evitando assim diversos problemas que o DNS sofre em razão de sua arquitetura.

Para o DNSSEC  existe uma etapa do processo de consulta que se chama VALIDAÇÃO, nessa etapa os servidores utilizam uma cadeia de chaves de criptografia para comparar se a chave criptográfica utilizada pelo servidor que esta consultando é válida, utilizando diversos parâmetros para essa validação.

E então é aqui que a coisa toda acontece, existe uma chave criptográfica chamada de Trust Anchor assinada em 2010 que de acordo com a sua documentação deve ser trocada a cada 5 anos ou quando acontecer algum incidente. Ela é responsável pela validação da troca de informação entre os servidores DNS.

Está chave já deveria ter sido trocada, porém por diversas situações políticas e afins não foi trocada e agora chegou a hora.

Mas como nossos arquitetos de tecnologia acompanham a evolução, adivinha só, alguém imaginou que isso iria acontecer e que iria dar um trabalhão para trocar todas as chaves dos servidores DNS espalhados pelo mundo, tu acredita nisso?

É verdade, a maioria dos servidores DNS implementam a RFC 5011, ela é responsável pela atualização da chave Trust Anchor e assim o administrador de rede pode ficar um pouco mais tranquilo.

 

Para quem usa UNBOUND:

A partir da versão 1.4.0(Nov/2009)

server:
auto-trust-anchor-file: “/var/lib/unbound/root.key”

Nas versões mais novas o UNBOUND já separa essa configuração  direto pelo arquivo /etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf

Conteúdo do arquivo:

server:
# The following line will configure unbound to perform cryptographic
# DNSSEC validation using the root trust anchor.
auto-trust-anchor-file: “/var/lib/unbound/root.key”

 

Para quem usa BIND:

A partir da versão 9.8 (Mar/2011)

No arquivo /etc/bind/named.conf.options

options{
dnssec-validation auto;
};

 

Deixo aqui um vídeo do GTER 42 com o Frederico Neves que é CTO-Diretor de Serviços e de Tecnologia do Nic.br uma verdadeira aula do que será o Roll-over da KSK raiz.

Bom é isso pessoal, espero que tenha ajudado a esclarecer as dúvidas ou até mesmo sana-las.

Vale lembrar que grande parte dos canais que estão falando sobre o assunto estão interessados em alertar para um possível problema, para que as pessoas responsáveis tomem os devidos cuidados e evitem caso necessário um potencial problema.

Nosso compromisso é sempre em fornecer informações relevantes e de qualidade.

Grande abraço a todos!

DeSplinter / Segurança / 0 comentários

URGENTE – FALHA DE SEGURANÇA EM MIKROTIK

Falha permite capturar o banco de dados de senhas do dispositivo.

Na sexta-feira 20 de Abril o usuário thekrzos fez a seguinte postagem no fórum da mikrotik.

log_mikrotik

a postagem pode ser acompanhada pelo link: https://forum.mikrotik.com/viewtopic.php?f=2&t=133438

Trata de uma falha de segurança na porta que opera o sistema de acesso Winbox, com essa falha uma ferramenta special para esse ataque consegue obter acesso ao equipamento e depois consegue salvar o banco de dados de senhas do aparelho.

A Mikrotik prontamente verificou os fatos e no dia de hoje lançou uma correção para a falha.

log_mikrotik2

É recomendado a atualização imediata do firmware para que o seu dispositivo não fique exposto.

  1. Para isso entre em no site da Mikrotik em Downloads e faça o download do pacote npk de seu dispositivo.
  2. Abra o winbox e conecte-se ao seu dispositivo.
  3. Arraste o pacote para dentro da pasta Files.
  4. Reinicie o seu dispositivo.

A versão atual é v6.42.1, então se a atualização ocorrer bem você verá no canto superior do seu winbox a versão atual.

DeSplinter / Segurança / 0 comentários

De acordo com a empresa Kaspersky Security, foi emitido um relatório sobre uma campanha de ciberespionagem altamente sofisticada chamada Slingshot.

“O vetor de ataque usa uma maneira única para a infecção. De acordo com a pesquisa, muitas vítimas foram atacadas por roteadores comprometidos da Mikrotik. Os roteadores baixam e executam vários arquivos DLL no curso normal dos negócios. Os atacantes encontraram uma maneira de comprometer os dispositivos adicionando uma DLL maliciosa a um pacote legitimo de outras DLLs. A DLL ruim foi um downloader para vários arquivos maliciosos, que também foram armazenados no roteador.”

Segundo a Kaspersky Security foi relatado a fabricante Mikrotik que já corrigiu o problema.

O ataque é altamente sofisticado pois o carregador inicial substitui uma biblioteca legítima do Windows ‘scesrv.dll’ por uma maliciosa exatamente do mesmo tamanho. Não só isso, ele interage com vários outros módulos, incluindo um carregador de ring-0, sniffer de rede de modo kernel, packer independente de base e sistema de arquivos virtual, entre outros.

Embora, para a maioria das vítimas, o vetor de infecção para Slingshot permaneça desconhecido, conseguimos encontrar vários casos em que os atacantes conseguiram acessar os roteadores Mikrotik e colocou um componente baixado pelo Winbox Loader, um conjunto de gerenciamento para roteadores Mikrotik.Por sua vez, isso infectou o administrador do roteador.

Acreditamos que este cluster de atividade começou em pelo menos 2012 e ainda estava ativo no momento desta análise (fevereiro de 2018).

Ainda não se sabe ao certo a ordem, mas a maioria das vítimas que observaram parece ter sido inicialmente infectada através de uma exploração do Windows ou comprometimento dos roteadores Mikrotik.

Como exatamente a infecção ocorre?

O método exato utilizado pela Slingshot para explorar os roteadores em primeira instância ainda não está claro.Quando o usuário alvo executa o Winbox Loader software (um utilitário usado para a configuração do roteador Mikrotik), isso se conecta ao roteador e baixa algumas DLLs (bibliotecas de links dinâmicos) do sistema de arquivos do roteador.

Um deles – ipv4.dll – foi colocado pela APT com o que é, de fato, um downloader para outros componentes maliciosos.Winbox Loader baixa esta biblioteca ipv4.dll para o computador do destino, carrega-a na memória e a executa.

Esta DLL então se conecta a um IP e uma porta de código rígido (em todos os casos que vimos foi o endereço IP do roteador), baixa os outros componentes maliciosos e os executa.

Para executar o seu código no modo kernel nas versões mais recentes dos sistemas operacionais, que possuem o Driver Signature Enforcement, o Slingshot carrega drivers vulneráveis ​​assinados e executa seu próprio código através de suas vulnerabilidades.

Após a infecção, a Slingshot carregaria vários módulos no dispositivo da vítima, incluindo dois grandes e poderosos: Cahnadr, o módulo do modo kernel e o GollumApp, um módulo de modo de usuário.Os dois módulos estão conectados e podem suportar-se mutuamente na coleta de informações, persistência e exfiltração de dados.

O módulo mais sofisticado é o GollumApp.Isso contém quase 1.500 funções de código de usuário e fornece a maioria das rotinas acima descritas para persistência, controle de sistema de arquivos e comunicações C & C.

Canhadr, também conhecido como NDriver, contém rotinas de baixo nível para operações de rede, IO e assim por diante.Seu programa em modo kernel é capaz de executar código malicioso sem bater todo o sistema de arquivos ou causar tela azul – uma conquista notável.Escrito em linguagem C pura, o Canhadr / Ndriver fornece acesso total ao disco rígido e à memória operacional, apesar das restrições de segurança do dispositivo, e executa o controle de integridade de vários componentes do sistema para evitar depuração e detecção de segurança.

Mikrotik é o único roteador afetado?

Algumas vítimas podem ter sido infectadas através de outras rotas.Durante a nossa pesquisa, também encontramos um componente chamado KPWS que acabou por ser outro downloader para os componentes do Slingshot.

O que os usuários de roteadores Mikrotik podem fazer para se proteger?

Os usuários de roteadores Mikrotik devem atualizar para a mais recente versão do software o mais rápido possível para garantir proteção contra vulnerabilidades conhecidas.Além disso, o Mikrotik Winbox já não faz o download de nada do roteador para o computador do usuário.

Recebemos um e-mail da própria Mikrotik informando (https://forum.mikrotik.com/viewtopic.php?f=21&t=132499) que a correção foi efetuada em março de 2017 em RouterOS v6.38.5
Slingshot APT- Módulo Malicioso Principal

Que tipo de informação a Slingshot parece estar procurando?

O objetivo principal da Slingshot parece ser a ciberespionagem.A análise sugere que ele colecione screenshots, dados de teclado, dados de rede, senhas, conexões USB, outras atividades de desktop, área de transferência e muito mais.Mas, com acesso total à parte do sistema do kernel, ele pode roubar o que quiser: números de cartão de crédito, hashes de senha, números de conta de segurança social – qualquer tipo de dados.

Como a Slingshot evitou a detecção?

O ator da ameaça combinou uma série de abordagens conhecidas para protegê-lo de forma muito eficaz da detecção: incluindo a criptografia de todas as cadeias de caracteres em seus módulos, chamando serviços de sistema diretamente para ignorar ganchos de produtos de segurança, usando várias técnicas anti-bug e muito mais.

Além disso, ele pode desligar seus componentes, mas garantir que eles completem suas tarefas antes do fechamento.Este processo é desencadeado quando há sinais de um evento iminente no sistema, como um desligamento do sistema, e provavelmente é implementado para permitir que os componentes do malware do modo usuário completem suas tarefas adequadamente para evitar a detecção durante qualquer pesquisa forense.

Você disse que desabilita o módulo de desfragmentação de disco no sistema operacional Windows.Por quê?

Esta APT usa seu próprio sistema de arquivos criptografados e isso pode ser localizado entre outros em uma parte não utilizada de um disco rígido.Durante a desfragmentação, a ferramenta de desfragmentação realoca dados no disco e esta ferramenta pode escrever algo em setores onde a Slingshot mantém seus sistemas de arquivos (porque o sistema operacional pensa que esses setores são gratuitos).Isso prejudicará o sistema de arquivos criptografados.Nós suspeitamos que o Slingshot tenta desativar a desfragmentação dessas áreas específicas do disco rígido para evitar que isso aconteça.

Como é que ele filtra dados?

O malware infiltra dados através de canais de redes padrão, esconde o tráfego sendo extraído por meio de ligações legítimas, verificando os pacotes de dados do Slingshot e mostrando o usuário (e os programas dos usuários como sniffers e assim por diante) limpa o tráfego sem dados filtrados.

Utiliza explorações para vulnerabilidades de dia zero?Alguma outra façanha?

Nós não vimos a Slingshot explorar nenhum dia zero, mas isso não significa que não – essa parte de uma história ainda não está clara para nós.Mas ele explora vulnerabilidades conhecidas nos drivers para passar o código executável no modo kernel.Essas vulnerabilidades incluem CVE-2007-5633;CVE-2010-1592, CVE-2009-0824.

Qual é o perfil da vítima e a geografia alvo?

Até agora, os pesquisadores viram cerca de 100 vítimas da Slingshot e seus módulos relacionados, localizados no Quênia, Iêmen, Afeganistão, Líbia, Congo, Jordânia, Turquia, Iraque, Sudão, Somália e Tanzânia.A maioria das vítimas parece ser alvo de indivíduos em vez de organizações, mas existem algumas organizações governamentais e instituições.O Quênia e o Iêmen representam a maioria das vítimas observadas até à data.

Slingshot - Geografia do Ataque Global

O que sabemos sobre o grupo por trás do Slingshot?

As amostras maliciosas investigadas pelos pesquisadores foram marcadas como “versão 6.x”, o que sugere que a ameaça existe há um longo período de tempo.O tempo de desenvolvimento, habilidade e custo envolvidos na criação do conjunto de ferramentas complexas do Slingshot provavelmente será extremamente elevado.Em conjunto, essas pistas sugerem que o grupo por trás da Slingshot provavelmente será altamente organizado e profissional e provavelmente patrocinado pelo estado.
As pistas de texto no código sugerem que é de língua inglesa.Algumas das técnicas utilizadas pela Slingshot, como a exploração de drivers legítimos e vulneráveis, já foram vistas anteriormente em outros malwares, como White e Gray Lambert. No entanto, a atribuição precisa é sempre difícil, senão impossível de determinar, e cada vez mais propensas a manipulação e erro.

Você ainda não tem um bom antivírus?

Saiba que um sistema de antivírus pode ajudar você a manter seu computador seguro e assim não comprometer seus dados e nem equipamentos que você tem acesso.

Obtenha agora mesmo: https://resolvesolucoes.com.br/seguranca/antivirus/

 

Saiba mais em:
https://www.kaspersky.com/blog/web-sas-2018-apt-announcement-2/21514/
https://securelist.com/apt-slingshot/84312/

DeSplinter / BackupSegurança / / 0 comentários

Backup seguro para as PME, é possível?

Backup – Investimento ou Custo?

Apesar de hoje ser bastante conhecido, ainda encontro empresas que não possuem uma politica de backup segura ou ainda que nem possuem um sistema de backup.

Desde empresas pequenas até grandes corporações é possível notar a falta de preparo da equipe de TI ou a total desinformação com relação a segurança de seus dados.

Essa é uma realidade para diversos negócios, como advocacia, comunicação, marketing e advocacia, pequenos comércios, restaurantes, clinicas. Existe em todas essas áreas à necessidade de escalar a capacidade de backup.

Estamos na era digital, onde você efetua compras de qualquer lugar do mundo que lhe permita se conectar a internet, difícil encontrar um ramo de negócio que você não precise armazenar um XML, ou que não gere dados de alto grande de relevância para o negócio.

E essa grande necessidade de estarmos conectados e da facilidade de efetuarmos grande parte de nossas tarefas pela internet, nos expõe também a riscos que acompanham a internet desde seu surgimento como vírus, spywares,worm, malware ou o mais recente ransoware.

Leia mais “Backup seguro para as PME, é possível?”

O que é Virtualização?

Talvez a melhor definição para virtualização seja: “o processo de criar uma representação baseada em software (ou virtual) de algo, em vez de um processo físico” (VMWARE). O conceito em si é muito amplo e é aplicado em diversos segmentos da Tecnologia da Informação, desde um IP Virtual à uma rede virtual ou até mesmo um Android virtual, porém daremos enfase para os Servidores Virtualizados.

Quais os benefícios de utilizar a Virtualização em Servidores?

Podemos citar vários benefícios mas para sermos objetivo citaremos aqui os principais:

Economia em Hardware

Se focarmos apenas no processador de um servidor já poderemos notar a grande economia que podemos ter em termos de hardware com a utilização da virtualização. A maioria dos servidores opera com menos de 15% da capacidade,o que leva à proliferação e à complexidade dos servidores.

E se fosse possível usar esses 75% para processar outros programas ou até mesmo executar outros sistemas operacionais?

Dessa forma a virtualização vem para resolver esse problema, por meio de um software você é capaz de criar um ambiente que simula o ambiente físico, ou seja com um servidor físico você poderá gerar vários servidores virtuais limitando-se apenas pela capacidade total do servidor físico e assim conseguindo aproveitar aquele tempo ocioso que antes era desperdiçado.

Economia em Espaço e Financeira

Leia mais “Virtualização você conhece ? Conheça mais sobre essa tecnologia”