Segurança mais visível no Firefox para sites https

Uma pequena dica, mas que faz uma grande diferença, ainda mais hoje em dia que os ataques a servidores DNS estão comuns e a existência de ataques do tipo ssl strip que podem levar o usuário a pensar que está no site correto, mas na verdade está em outro (uma forma de MITM).

Para que sites seguros com HTTPS exponham os certificados de forma mais visível, conforme figura abaixo, basta configurar a variável browser.identity.ssl_domain_display para o valor "1". Isso é feito no about:config do Firefox:



Veja a diferença no campo da URL quando você acessar sites com https depois de modificar essa configuração:



Fonte: The right way to handle encryption with Firefox 3

IRPF 2009 e ReceitaNet Java no Fedora 10

No Fedora 10, o IRPF 2009 em java até funciona bem. Mas para transmitir a declaração, é necessário ter o ReceitaNet Java, e esse apresenta problemas no Linux:

$ ./ReceitanetJava2009.01_setup_linux.bin

Assistente InstallShield

Inicializando Assistente InstallShield…

Procurando Java(tm) Virtual Machine…
…………………………The wizard cannot continue because of the following error: could not load wizard specified in /wizard.inf (104)


Só para variar, deve ser feito uma gambiarra para conseguir instalar o ReceitaNet:

./ReceitanetJava2009.01_setup_linux.bin -is:javahome /usr/java/jre1.6.0_07


Quando será que a Receita vai se convencer que a declaração deve ser via web, para evitar esse tipo de problema ?


Update: Encontrei diversos relatos na internet de pessoas que não conseguiram imprimir o recibo de envio. E isso independente de sistema operacional, seja Windows ou Linux. Isso aconteceu comigo também, para conseguir imprimir o recibo, é preciso manualmente copiar a declaração da pasta gravadas para a pasta transmitidas.

Esse software da Receita é um LIXO !

Código Aberto é mais seguro

As aplicações com o código aberto são mais seguras dos que as aplicações de código fechado. E essa afirmação foi feita em 1883 !!

1883? Você está maluco, Zucco ?

Calma !

Na verdade em 1883, Auguste Kerckhoffs criou em seu artigo intitulado "La Cryptographie Militaire" uma máxima chamada de "Princípio de Kerckhoffs": "Um sistema de criptografia deve ser seguro mesmo que tudo sobre o sistema, exceto a chave criptográfica, seja de conhecimento público."

Apesar de o artigo tratar especificamente sobre criptografia, o princípio também pode ser aplicado em aplicativos com outras funções, já que o conhecimento do algoritmo e seu funcionamento produz código mais seguro e eficiente, segundo esse mesmo princípio. Eric Raymond também fez essa analogia do princípio de Kerckhoffs com a segurança de aplicações com código aberto.


E pensar que tem pessoas que duvidam disso desde 1883 até hoje... Segurança por obscuridade não é garantia de segurança.

Ouro de Tolo

O Raul Seixas deveria estar sentindo o que sinto agora quando escreveu essa música. Não fique no seu apartamento também esperando a morte chegar. :-)

Ouro de Tolo
Raul Seixas

Composição: Raul Seixas

Eu devia estar contente
Porque eu tenho um emprego
Sou um dito cidadão respeitável
E ganho quatro mil cruzeiros
Por mês...

Eu devia agradecer ao Senhor
Por ter tido sucesso
Na vida como artista
Eu devia estar feliz
Porque consegui comprar
Um Corcel 73...

Eu devia estar alegre
E satisfeito
Por morar em Ipanema
Depois de ter passado
Fome por dois anos
Aqui na Cidade Maravilhosa...

Ah!
Eu devia estar sorrindo
E orgulhoso
Por ter finalmente vencido na vida
Mas eu acho isso uma grande piada
E um tanto quanto perigosa...

Eu devia estar contente
Por ter conseguido
Tudo o que eu quis
Mas confesso abestalhado
Que eu estou decepcionado...

Porque foi tão fácil conseguir
E agora eu me pergunto "e daí?"
Eu tenho uma porção
De coisas grandes prá conquistar
E eu não posso ficar aí parado...

Eu devia estar feliz pelo Senhor
Ter me concedido o domingo
Prá ir com a família
No Jardim Zoológico
Dar pipoca aos macacos...

Ah!
Mas que sujeito chato sou eu
Que não acha nada engraçado
Macaco, praia, carro
Jornal, tobogã
Eu acho tudo isso um saco...

É você olhar no espelho
Se sentir
Um grandessíssimo idiota
Saber que é humano
Ridículo, limitado
Que só usa dez por cento
De sua cabeça animal...

E você ainda acredita
Que é um doutor
Padre ou policial
Que está contribuindo
Com sua parte
Para o nosso belo
Quadro social...

Eu que não me sento
No trono de um apartamento
Com a boca escancarada
Cheia de dentes
Esperando a morte chegar...

Porque longe das cercas
Embandeiradas
Que separam quintais
No cume calmo
Do meu olho que vê
Assenta a sombra sonora
De um disco voador...

Ah!
Eu que não me sento
No trono de um apartamento
Com a boca escancarada
Cheia de dentes
Esperando a morte chegar...

Porque longe das cercas
Embandeiradas
Que separam quintais
No cume calmo
Do meu olho que vê
Assenta a sombra sonora
De um disco voador...

Linux: Fedora 10 - Webcam Microdia SN9C201 0c45:624f

Baseado nos posts sobre web cams do Douglas Landgraf, resolvi testar o funcionamento da minha câmera embutida do notebook. O notebook é um AmazonPC L81/Compal HEL81, e a câmera dele é uma Microdia SN9C201 0c45:624f.



Até pouco tempo atrás, só existia um driver proprietário, mas resolvi procurar mais um pouco. Acabei encontrando esse post, e adaptei o mesmo para funcionar com o Skype e Fedora 10.

Dados sobre a câmera:

# lsusb:
Bus 001 Device 002: ID 0c45:624f Microdia PC Camera (SN9C201 + OV9650)

# dmesg:
usb 1-4: new high speed USB device using ehci_hcd and address 2
usb 1-4: configuration #1 chosen from 1 choice
usb 1-4: New USB device found, idVendor=0c45, idProduct=624f
usb 1-4: New USB device strings: Mfr=0, Product=1, SerialNumber=0
usb 1-4: Product: USB20 Camera


Instruções para instalação:


1 - Instalar pacotes Pacotes requeridos:

# yum install libv4l kernel-headers ctags git


2 - Baixar o código fonte do driver:

# git clone http://repo.or.cz/r/microdia.git


3 - Compilar e instalar o módulo da câmera:

# cd microdia
# make
# strip -g sn9c20x.ko
# cp sn9c20x.ko /lib/modules/`uname -r`/kernel/drivers/media/video/usbvideo/
# depmod -a


Testando o funcionamento da câmera:

# modprobe videodev
# modprobe compat-ioctl32 (somente se você usar Linux 64 bits)
# make insmod
$ LD_PRELOAD=/usr/lib/libv4l/v4l2convert.so mplayer tv:// -tv \
driver=v4l2:width=640:height=480:fps=25:device=/dev/video0 -vo xv



Integrando com o Skype:

Crie um novo executável:

shell> sudo vi /usr/local/bin/webcamSkype

Adicione as 2 linhas abaixo:

#!/bin/bash
LD_PRELOAD=/usr/lib/libv4l/v4l2convert.so skype


Configurando permissões:
# chmod 755 /usr/local/bin/webcamSkype


Agora você pode carregar o webcamSkype de um terminal ou crie um atalho no seu desktop.
Ex: shell> webcamSkype



Agradeço ao desenvolvedor do driver, e ao grupo de suporte de cãmeras microdia para Linux.


Update: Não teve jeito de fazer funcionar o microfone usando o PulseAudio. A alternativa é configurar no skype para o dispositivo de entrada ser direto, conforme figura abaixo:


Não esqueça também de tirar seu microfone do "mudo" no mixer (você pode fazer isso através do gnome-volume-control ou do kmix).

YSTS 3.0 - CFP

A chamada para submissao de apresentacoes do YSTS 3.0 esta aberta!

A terceira edicao ocorrera em Sao Paulo, em 22 de Junho de 2009

INTRODUCAO

O YSTS e' um evento unico, de alto nivel, com foco na comunidade de seguranca da informacao brasilera, com participacao de palestrantes nacionais e internacionais.

Buscando combinar apresentacoes de alta qualidade, cobrindo os mais diversos topicos relacionados com seguranca da informacao, do nivel mais tecnico ao gerencial.

O objetivo e' permitir que a audiencia compreenda a abrangencia do mundo da seguranca da informacao, que exige entendimento das particularidades dos varios segmentos deste mercado.

Este e' um evento apenas para convidados. Assim sendo, submeter uma palestra e', certamente, um excelente modo de garantir a participacao no evento.

Devido ao sucesso das edicao anteriores, nos mantivemos o mesmo formato:

- - Ambiente confortavel e descontraido

- - O local do YSTS 3.0 sera informado apenas aos convidados

- - Como nas edicoes anteriores, o local secreto sera um bar fechado ou club

- - E sim havera comida e bebida


TOPICOS

Os focos de interesse, para o YSTS 3.0, sao:

* Sistemas Operacionais

* Topicos relacionados com carreira e gestao

* Dispositivos moveis/Sistemas embarcados

* Auditoria e controle

* Web e coisas 2.0

* Politicas para seguranca da informacao

* Telecomunicacao/Redes/Radio frequencias

* Respostas a incidentes e politicas (uteis) relacionadas

* Guerra cibernetica

* Malware/ BotNets

* Concientizacao de usuarios/Problemas em redes sociais

* Programacao segura

* Espacos e comunidades hacker

* Fuzzing

* Seguranca fisica

* Virtualizacao

* Criptografia/Ofuscacao

* Infraestrutura e sistemas criticos

* CAPTCHAS inviolaveis

* E qualquer outro topico relacionado com seguranca que voce imagine
relevante para a conferencia

Nos gostamos de palestras curtas, 30 minutos costuma ser suficiente para passar o recado, se voce achar que necessita de mais tempo, faca essa observacao na sua submissao.


REGALIAS AOS PALESTRANTES

* Auxilio para despesas de viagem e hospedagem, para palestrantes fora de Sao Paulo,
no valor de R$ 700,00 (Setecentos reais).

* Cafe da manha, almoco e jantar, durante a conferencia

* Festa pos-conferencia

* Auditoria de produto em pizzarias/churrascarias tradicionais


SUBMISSAO

Cada submissao deve incluir as segintes informacoes:

* Nome, titulo, endereco, email e telefone/numero de contato

* resumo biografico e qualificacoes

* Experiencia em apresentacoes

* Sumario e abstrato da sua apresentacao

* Se ja tiver produzido algum material envie tambem (ppt, pdf, etc.)

* Requisitos tecnicos (alem do projetor)

* Outras publicacoes ou conferencia onde este materia foi ou sera publicado/submetido

Nos aceitamos submissoes e apresentacoes em Ingles, Portugues e Espanhol


DATAS IMPORTANTES

Data final para submissoes - 10 de Maio de 2009
Notificacao dos autores aceitos - 20 de Maio de 2009
Envio do material para apresentacoes aceitas - 15 Junho 2009

Por favor envie sua submissao para cfp/at/ysts.org


CONTATO

Informacoes gerais: b0ard/at/ysts.org

Patrocinio: sponsors/at/ysts.org

Esperamos voce!


I Sh0t the Sheriff - 63 edições no ar: http://naopod.com.br

Tchelinux na Ulbra Gravataí

ncdu » NCurses Disk Usage

As the name already suggests, ncdu is an ncurses version of the famous old 'du' unix command. It provides a fast and easy interface to your harddrive. Where is your disk space going? Why is your home directory that large? ncdu can answer those questions for you in just a matter of seconds!



Source: http://dev.yorhel.nl/ncdu

Introduction to Canonical Landscape

http://www.youtube.com/watch?v=EgeS8WinWz4

Blacklist OSSEC

Script simples que lista os IPs que mais geraram active responses no log do OSSEC:


#!/bin/bash
LOG="/var/ossec/logs/active-responses.log"

cat ${LOG} | awk -F \ '{ print $10 }' | sort | tr A-Z a-z | uniq -c | sort -gr



blacklist_ossec.sh


O resultado pode ser integrado com regras de firewall facilmente. O fato dos IPs de origens dos ataques se repetirem não é mera coincidência. :-)

Nerdices na areia

Praia. Sol. Descanso merecido e um bom livro para ler na beira do mar de Florianópolis. Mas como todo bom nerd, o assunto não foge muito, mesmo durante o descanso.

Nas últimas férias, li o livro Rebel Code: Linux and the Open Source Revolution, de Glyn Moody.



Leitura recomendada para todos os amantes do software livre. Conta diversas histórias sobre como surgiram vários softwares de código aberto (entre eles: Linux, X, Mosaic, Gnome, KDE, Apache, Sendmail), o próprio movimento GNU, distribuições Linux, etc.

Algumas curiosidades que estão no livro:

- Andrew Tanenbaum: quem estudou (ou estuda) computação, sabe quem é ele. Além de seus livros, eu conhecia também a sua histórica flamewar com Linus Torvalds, na lista de discussão do Minix. Mas você sabia que antes disso tudo, Richard Stallman também trocou farpas com Tanenbaum? Tudo porque no início do projeto GNU, Stallman estava precisando de um compilador C, e tentou convencer Tanembaum de tornar livre o Amsterdam Compiler Kit (ACK). A resposta de Tanenbaum foi: "Porque você não desiste dessa idéia triste de criar um sistema livre? Eu gostaria de alguns utilitários para distribuir junto com o compilador para incrementar as vendas. Contribua com alguns utilitários e lhe darei uma parte dos lucros." O que para Tanenbaum parecia generosidade, foi um insulto para Stallman, é claro. Pode se dizer que, indiretamente, Tanembaum foi um dos grandes motivadores da criação do GCC e do Linux, os maiores projetos de software livre atuais.

- Quando comprou seu primeiro computador da arquitetura x86, em Janeiro de 1991, Linus Torvalds passou 70% do tempo jogando Prince of Persia enquanto aguardava os disquetes do minix que havia encomendado pelo correio.

- A Microsoft foi o principal fator que ajudou o Linux a se tornar mais popular que o unix 386BSD. A razão disso? Linux era capaz de ser dual-boot, enquanto o BSD não, e muitas pessoas queriam ter os dois sistemas operacionais usando a mesma máquina. Além disso, o 386BSD exigia co-processador aritmético (80387), o que tornava o equipamento mais caro e inacessível, enquanto o Linux emulava o 80387 por software. Pequenas decisões que fazem toda a diferença. Depois, é claro, o principal fator da escolha de um ao invés de outro foi a dúvida legal existente devido ao processo USL v. BSDi.

- A primeira aplicação comercial desenvolvida para rodar em Linux foi o Flagship da Multisoft.

Cansei de escrever. Para saber mais, você vai ter que ler o livro. Vale a pena. :-)

Twitter

Twitter serve para alguma coisa? Eu até achava que não, mas depois que comecei a usá-lo, começou a ficar interessante. Você consegue trocar idéias facilmente, postar links interessantes para ler (principalmente se não conseguir fazer isso no momento), acompanhar o que os outros estão fazendo, etc.

Ficou muito mais simples depois que (através de um post do twitter de um amigo, olha o exemplo de uso!) descobri um plugin para o pidgin para postar e receber atualizações no twitter:

http://code.google.com/p/microblog-purple/

Caso não use pidgin, existe também o twitterfox, que é um plugin para o Firefox com a mesma função.


Se quiser me acompanhar no twitter, é só clicar em "follow" no http://twitter.com/jczucco.

(IN)SECURE Magazine Issue 20 released

(IN)SECURE Magazine is a freely available digital security magazine discussing some of the hottest information security topics.

Issue 20 has just been released. Download it from:
http://www.insecuremag.com

The covered topics include:

- Improving network discovery mechanisms
- Building a bootable BackTrack 4 thumb drive with persistent changes and Nessus
- Review: SanDisk Cruzer Enterprise
- Forgotten document of American history offers a model for President Obama's vision of government information technology
- Security standpoint by Sandro Gauci: The year that Internet security failed
- What you need to know about tokenization
- Q&A: Vincenzo Iozzo on Mac OS X security
- Book review - Hacking VoIP: Protocols, Attacks and Countermeasures
- A framework for quantitative privacy measurement
- Why fail? Secure your virtual assets
- Q&A: Scott Henderson on the Chinese underground
- iPhone security software review: Data Guardian
- Phased deployment of Network Access Control
- Playing with authenticode and MD5 collisions
- Web 2.0 case studies: challenges, approaches and vulnerabilities
- Q&A: Jason King, CEO of Lavasoft
- Book review - Making Things Happen: Mastering Project Management
- ISP level malware filtering
- The impact of the consumerization of IT on IT security management

Instalando o Kde 4.2 no Fedora 10

Foi lançado o kde 4.2. Realmente a primeira impressão é de que está bem melhor. Para quem quiser testar no fedora 10 também, execute os comandos abaixo, como super usuário:

# cd /etc/yum.repos.d/
# wget http://apt.kde-redhat.org/apt/kde-redhat/fedora/kde.repo

* edite o arquivo e habilite o repositório kde-testing e kde-testing-all, colocando a linha “enabled=1″ nas suas respectivas sessões

# rpm –import http://kde-redhat.sourceforge.net/gpg-pubkey-ff6382fa-3e1ab2ca
# yum groupupdate kde-desktop
# yum update

Reinicie a sessão após o update, caso esteja utilizando o kde.

Segurança da Informação em Filmes

Publicado na edição 4 do Antebellum:

Site com uma ótima e bem compilada relação de filmes cuja estória, ou alguma cena específica está relacionada direta ou indiretamente com SI:

http://cid-a5471764a99bcec0.profile.live.com/Lists/cns!A5471764A99BCEC0!149

Videos do YSTS 2.0

Foram disponibilizados os vídeos da conferência You Shot The Sheriff 2.0:

Slides das Apresentações

Vídeos:

- Introdução - Luis Eduardo - We're back

- Anderson Ramos - Economia x Segurança da Informação

- Adriano Cansian - Uma breve folksonomia dos Hackers

- Nelson Murilo - Iphone Phorensics

- Wendel Guglielmetti Henrique - Most people knows about pen-test strategy, but miss tactical

- Bruno Oliveira - Sharing my Mic with a (pop)Star and a Little Bit More of Cold Boot Attacks

- Francisco Milagres - Auditores x Auditados

- Nicholas Percoco - Point of Sale Hacking

- H1kari - Putting all together

- Emmanuel Goldstein


Se você não assistiu os vídeos da primeira edição do evento, poderá vê-los aqui

PythonBrasil [5] 2009 em Caxias do Sul

Definido o local do próximo encontro brasileiro da comunidade Python.
PythonBrasil [5]: Caxias do Sul, 2009

Na última reunião da Associação Python Brasil foi definido que Caxias do Sul, na acolhedora Serra Gaúcha, será o local do próximo encontro brasileiro da comunidade Python, de 10 a 12 de Setembro de 2009.

Na ocasião também foi decidido que a partir de 2009 o maior evento de Python da comunidade brasileira, já em sua quinta edição, passa a se chamar oficialmente PythonBrasil. A mudança visa melhor identificar o nome linguagem Python no Brasil, de forma semelhante ao que ocorre na Europa onde o evento recebe o nome de EuroPython.

A PythonBrasil [5] será realizada nas dependências da Universidade de Caxias do Sul (UCS) e terá como Big Kahuna Dorneles Treméa.

Cinco cidades estavam na disputa para sediar o evento:

* Brasília, DF
* Caxias do Sul, RS
* Curitiba, PR
* Fortaleza, CE
* Patos, PB


Dorneles acredita que a experiência acumulada auxiliando na organização das últimas duas edições do encontro foi um fator importante, mas destaca que o mérito pela escolha de Caxias do Sul é da equipe Python da UCS, que se dedicou durante um mês inteiro para escrever uma proposta detalhada sobre o que a universidade e a região têm a oferecer à comunidade Python brasileira.

"Estamos muito felizes com a escolha de Caxias pelos vínculos históricos daquela cidade com a comunidade Python no Brasil. Foi lá que nasceu a X3ng, empresa pioneira em Plone no Brasil, cujos fundadores seguiram caminhos diferentes mas continuam sendo gurus reconhecidos internacionalmente, além de autores de muito código livre que usamos todo dia. E a UCS foi a primeira universidade brasileira a usar Zope e Plone", afirma Luciano Ramalho, atual presidente da Associação Python Brasil.


Fonte: http://associacao.pythonbrasil.org/associacao/imprensa/caxias-do-sul-2009

Linux Kernel Security Wiki

Foi anunciado um sistema wiki relacionado a projetos de segurança do kernel Linux. O wiki contém seções com trabalhos no repositório git security-testing, uma lista de vários projetos de segurança no kernel, e uma página de eventos.

Para acessá-lo, visite http://security.wiki.kernel.org

Vídeos da Pycon Brasil 2008

Estão disponíveis no Google Vídeos os vídeos da Pycon Brasil 2008 que se realizou em setembro de 2008 no Rio de Janeiro.




Abaixo a apresentação que fiz junto com meu colega de trabalho Leandro. Django em Sites de Alto Tráfego - O Case UCSVirtual:



Link para os vídeos:

http://video.google.com/videosearch?q=pyconbrasil+2008&emb=0&start=0

Os slides das apresentações podem ser vistos aqui:
http://www.slideshare.net/tag/pyconbrasil2008

Zero day na Globo

Não é todo dia que aparece na TV sobre segurança na informática:

Canal Bsdconferences no Youtube

Canal de vídeos no youtube com conteúdo sobre a família de Sistema Operacionais BSD: FreeBSD, NetBSD, OpenBSD, DragonFly BSD, MacOS X, PC-BSD, etc.

http://www.youtube.com/bsdconferences

Android + SELinux

The Zen of Python

Easter Egg do Python. Chame o prompt do Python e digite: "import this".


The Zen of Python

Beautiful is better than ugly.
Explicit is better than implicit.
Simple is better than complex.
Complex is better than complicated.
Flat is better than nested.
Sparse is better than dense.
Readability counts.
Special cases aren’t special enough to break the rules.
Although practicality beats purity.
Errors should never pass silently.
Unless explicitly silenced.
In the face of ambiguity, refuse the temptation to guess.
There should be one– and preferably only one –obvious way to do it.
Although that way may not be obvious at first unless you’re Dutch.
Now is better than never.
Although never is often better than *right* now.
If the implementation is hard to explain, it’s a bad idea.
If the implementation is easy to explain, it may be a good idea.
Namespaces are one honking great idea — let’s do more of those!
– Tim Peters, um dos “gurus” do Python


Em português:

Bonito é melhor que feio.
Explícito é melhor que implícito.
Simples é melhor que complexo.
Complexo é melhor que complicado.
Plano é melhor que aninhado.
Esparso é melhor que denso.
Legibilidade conta.
Casos especiais não são especiais o suficente para quebrar as regras.
Embora a praticidade vença a pureza.
Erros nunca devem passar silenciosamente.
A menos que sejam explicitamente silenciados.
Diante da ambigüidade, recuse a tentação de adivinhar.
Deve haver um — e preferencialmente só um — meio óbvio para fazer aquilo.
Embora esse modo possa não ser óbvio à primeira vista a menos que você seja holandês.
Agora é melhor que nunca.
Embora nunca é também melhor que *exatamente* agora.
Se a implementação é difícil de explicar, é uma má idéia.
Se a implementação é fácil de explicar, pode ser uma boa idéia.
Namespaces são uma grande idéia — vamos fazer mais desses!

Fonte da tradução: O início do fim

Steve Jobs ^2

Esse vídeo, muito engraçado, é para quem já assistiu o filme o filme Piratas do Vale do Silício




Este outro vídeo com o Steve Jobs, com o discurso de formatura em Stanford, é uma lição de vida. Quem ainda não o assistiu, recomendo:

Meu primeiro computador

Logo após ter o primeiro contato com um computador em 1989, decidi que deveria conseguir um de qualquer jeito, incomodei meu pai até que consegui comprar em 1991 um MSX PLUS 1.1 da Gradiente, um computador que foi muito popular aqui no Brasil nessa época.

Não tenho dúvida nenhuma que foram as experiências que tive com meu MSX que acenderam a minha curiosidade como tudo funcionava. Com um processador simples, o Zilog Z80 e apenas 24K de memória livre após o boot (na verdade ele vinha com 64K, porém a ROM com o a linguagem Basic ocupava todo esse espaço), eu lia tudo que encontrava a respeito do computador, e como não existia a internet comercial ainda, a documentação era conseguida através de contatos com outras pessoas que também possuíam o MSX, livros e revistas.


No MSX eu pude programar em Assembler (usei muito os PEEK's e POKE's), Basic, Pascal, DBase e até Cobol. Além disso havia muitos jogos e aplicativos para o MSX. Até hoje existem diversos grupos que se reúnem para relembrar o MSX e trocar informações sobre a plataforma, eu particularmente não participei de nenhum. Mas relembro com saudades aquele tempo, quando um admirável mundo novo de possibilidades se abria aos meus olhos e ateava a minha curiosidade.

Entendendo o SELinux - Security Enhanced Linux

Slides da apresentação realizada no evento Tchelinux 2008 no dia 8 de Novembro na PUC em Porto Alegre. O pdf da apresentação pode ser pego aqui.

Entendendo o SELinux - Security Enhanced Linux

View SlideShare presentation or Upload your own. (tags: selinux mac)

Entrevistas com Theo de Raadt

Abaixo há dois vídeos de entrevistas com Theo de Raadt, líder do projeto OpenBSD. No primeiro vídeo, é possível ver o "datacenter" onde ficam os servidores do openbsd.org, que antes eu só conhecia por essa foto, foi legal escutar o barulho das máquinas e conhecer a infra-estrutura por outros ângulos. No segundo vídeo Theo fala sobre diversas questões, como porque ele disponibiliza o sistema livremente na internet, sobre crackers e hackers, e fala até sobre a Microsoft. São vídeos curtos, aproveite e dê uma olhada.






Aproveitando, a versão 4.4 do OpenBSD foi lançada no dia 1 de Novembro. Você pode encomendar cds, camisetas e posters para ajudar o projeto, ou então fazer download diretamente do site do OpenBSD.

Security is Broken

Vídeo muito interessante disponibilizado pelo googletechtalks, com Rik Farrow falando sobre o modelo atual de segurança de sistemas. Os slides da apresentação podem ser pegos aqui.

Horário de Verão e Podcasts

Agora que iniciou o horário de verão, aproveite para dar uma caminhada, pois faz muito bem à saúde.

Tem preguiça ? Arrume uma desculpa para caminhar. A minha é escutar podcasts, escuto vários. Recomendo para começar o excelente TickTack podcast.

Se quiser estudar inglês enquanto caminha, nada melhor que o English as a Second Language Podcast.

Para acompanhar as notícias da área da segurança da informação, escute o também excelente I shot the sheriff.

Existem muitos outros ótimos podcasts, porém estão na língua inglesa. Se isso não for problema para você, recomendo o Network Security Podcast e o FLOSS Weekly. Existe também o Security Now, porém as vezes o Steve Gibson gagueja muito e me tira a paciência, mas os assuntos abordados são muito bons.

Nada como se atualizar mantendo a saúde. :-)

Se tiver alguma recomendação de podcast, por favor, envie nos comentários.

SELinux em Porto Alegre

Irei palestrar sobre SELinux na Tchelinux 2008, que se realizará no dia 8 de Novembro nas dependências da Faculdade de Informática da PUC-RS em Porto Alegre - RS - Brasil. Segue anúncio oficial:

"É com imenso orgulho que anunciamos a 3ª edição do Seminário de Software Livre Tchelinux que acontecerá no dia 8 de Novembro nas dependências da Faculdade de Informática da PUC-RS em Porto Alegre. O temário desta desta edição é composto por 30 apresentações sobre temas relacionados ao Software Livre, e dentre os palestrantes confirmados teremos a presença dos Kernel Hackers da RedHat Arnaldo Carvalho Melo, Eduardo Habkost, Fábio Olivé Leite, Luis Claudio Gonçalves e Douglas Landgraf, do membro do Mozilla Brasil Clauber Halic e do desenvolvedor de Software Livre e escritor Aurélio Marinho Jargas. Não será cobrada inscrição em dinheiro, entretanto cada participante deverá doar 2 (dois) quilogramas de alimentos não perecíveis que serão encaminhados à instituições de caridade. Para maiores informações sobre o evento, recomendamos visita ao site abaixo:

http://www.tchelinux.org/2008

As pré-inscrições para as 500 vagas disponíveis já se encontram abertas, garanta já a sua!!"

Laptop Stickers

ISSA Day em Porto Alegre - 01 de outubro de 2008

A Regional Sul da ISSA Capítulo Brasil vai realizar um ISSA Day em Porto Alegre (RS) para compartilhar conhecimentos em Segurança da Informação e conhecer quem faz este mercado no Rio Grande do Sul. O patrocínio é da Dinamize, Qualytool, IT2S e BSI Management System.

O ISSA Day de Porto Alegre vai ocorrer no dia 01 de outubro de 2008.

Programação

* 19:00 Recepção dos Convidados
* 19:10 Palestra de Abertura: Eduardo V. C. Neves, Diretor Regional da ISSA
* 19:30 Empreendedorismo: Ampliando Oportunidades: Prof. Newton Braga Rosa
* 20:10 Coffee Break
* 20:30 A Evolução da Gestão de Risco: Cassio Henrique F. Ramos
* 21:10 Sistema de Gestão para Segurança da Informação: Vicente Rubino
* 21:50 Encerramento: Leonardo Goldim

Local: Hotel Holliday Inn Porto Alegre, Avenida Carlos Gomes, 565

O evento é gratuito e as inscrições devem ser feitas até 30 de setembro. Envie seu nome, empresa e telefone para o e-mail regionalsul@issabrasil.org

Fonte:camargoneves.com

Feliz aniversário, GNU

Com legendas em português:

Tchelinux 2008 - 27 de Setembro na FTEC em Caxias do Sul

Evento promovido pelo Tchelinux em parceria com o Curso Superior em Redes de Computadores da Faculdade de Tecnologia de Caxias do Sul, com a finalidade de divulgar o Software Livre através de palestras e demonstrações práticas veiculadas de forma gratuita para estudantes e demais interessados.

O temário desta edição é composto por 22 palestras sobre temas relacionados com Software Livre, e como já é de costume nos eventos do Tchelinux haverá apresentações para usuários de diferentes níveis de conhecimento e áreas de interesse.

As pré-inscrições para as 400 vagas disponíveis estão abertas. Não será cobrada inscrição em dinheiro, contudo cada participante deverá doar dois quilos de alimentos não perecíveis que serão encaminhadas a instituições de Caridade de Caxias do Sul.

Mais informações: http://www.tchelinux.org/caxias

PyConBrasil 2008: Rio de Janeiro, RJ

Eu e meu colega de trabalho Leandro Zanuz iremos palestrar na PyConBrasil 2008, que acontecerá nos dias 18, 19 e 20 de setembro na Universidade Veiga de Almeida no Rio de Janeiro - RJ. Nossa palestra será "Django em Sites de Alto Tráfego - O Case UCSvirtual, no sábado dia 20/09, as 15:45hs.

Pela Programção, o evento será muito bom, além de ter várias presenças ilustres como: Alexander Limi co-fundador do Plone, atualmente trabalhando no Google; e Bruce Eckel autor dos clássicos “Thinking in Java” e “Thinking in C++” que apresentará “Why I Love Python”

Faça já a sua inscrição e participe do evento!

Você pode também assistir a edição anterior da PyconBrasil aqui.

openSUSE irá adotar SELinux na versão 11.1

Foi anunciado na lista opensuse.devel que o SELinux será disponibilizado a partir da versão 11.1 do openSUSE Linux. O AppArmor ainda será a opção default.

Link para o anúncio:

http://article.gmane.org/gmane.linux.suse.opensuse.devel/16096

Linux Foundation Japan Symposium Videos

Foram disponibilizados os vídeos do Linux Symposium realizado no Japão. No início os vídeos são em japonês, mas logo depois o palestrante fala em inglês. Recomendo o primeiro e o segundo para quem quer ver uma introdução sobre SELinux:

SELinux Project Overview ---- James Morris (Red Hat)

Introduction to Labeled Networking on Linux ---- Paul Moore (HP)

The Completely Fair Scheduler ---- Thomas Gleixner (linutronix)

Status and Direction of Kernel Development ---- Andrew Morton (Google)

Realities of Mainlining - Case of the TOMOYO Linux Project

Panel Discussion:カーネル開発プロセスの現状と変化---Andrew Morton、Thomas Gleixner、柴田次一(NEC)

Red Hat Linux Commercial

Red Hat Performance Tuning Guide

Esta página contém:

- RHEL Performance Tuning Guide (PDF, 2.4 MB): uma introdução a ferramentas e técnicas que administradores de sistemas experientes podem utilizar para conseguir a melhor performance do Red Hat Enterprise Linux.

- PerformanceAnalysisScript.sh : script referenciado no RHEL Performance Tuning Guide.


Você é convidado de compartilhar suas sugestões de melhoramentos a casos de sucesso enviando e-mail para mbehm@redhat.com

Com sua permissão, suas sugestões serão adicionadas em futuras revisões do manual.

Fonte: http://people.redhat.com/mbehm

Nagios Plugin: check_oracle_tablespaces

Criei um plugin nagios que verifica todas as table spaces de um servidor oracle. Esse script foi baseado no script original check_oracle, porém com a diferença que você não precisa criar uma entrada no servidor nagios para cada table space que deseja monitorar, o que dependendo do número de table spaces, dava muito trabalho. O script já verifica todas as table spaces no Oracle.

Uma chamada exemplo do script seria:

/usr/local/nagios/libexec/check_oracle_tablespaces database usuario1 senha1 95 90



Para pegar o script, basta fazer download em:

http://jczucco.googlepages.com/check_oracle_tablespaces



Atualizado em 16/04/2012: O colaborador Leandro Lana alterou o script para que suporte tablespace em modo autoextend:

https://sites.google.com/site/zuccoscripts/check_oracle_tablespaces?attredirects=0&d=1


Muito obrigado, Leandro.

Adicionando Suporte a XFS no Red Hat Enterprise 5.1

Curiosamente, apesar do sistema de arquivos XFS ser robusto, rápido e confiável (desde que você tenha um bom no-break, é claro), o Red Hat Enterprise Linux não o suporta por padrão. É preciso instalar as ferramentas de nível de usuário e o módulo do kernel para prover esse suporte.

Instalar as ferramentas a nível de usuário é a parte mais simples, basta pegar em qualquer buscador de rpm (http://rpm.pbone.net, por exemplo), e procurar por "xfsprogs". Basta tomar cuidado nas versões do RHEL e se você está utilizando 32 ou 64 bits. No meu exemplo estarei utilizando o RHEL 5.1 64 bits.

Para instalar o módulo do kernel, já é um pouco mais complicado. Caso você tiver a opção de compilar o kernel vanilla, é mais simples, mas muitas vezes o kernel que vem junto com o Red hat deve ser utilizado, devido a dependências de alguns módulos do kernel (se você estiver conectando o servidor a um storage, e o fornecedor do storage só suporta a versão X do kernel, por exemplo). A versão do kernel do RHEL 5.1 é o 2.6.18-53.el5, então basta seguir os seguintes passos:

# uname –r
# mkdir /usr/src/sources
# cd /usr/src/sources
Pegue o RPM fonte de ftp://ftp.redhat.com/pub/redhat/linux/enterprise/[VERSION DIRECTORY]/en/os/SRPMS/kernel-2.6.X.X-EL.src.rpm
# rpm -ivh kernel-2.6.X.X-EL.src.rpm
# cd /usr/src/redhat
# rpmbuild -bp SPECS/kernel-2.6.spec
# cp -r /usr/src/redhat/BUILD/kernel-2.6.18/linux-2.6.18/fs/xfs/. /lib/modules/$(uname -r)/build/fs/xfs/
# cd /lib/modules/$(uname -r)/build

# make menuconfig
ADICIONE O SUPORTE A XFS AQUI

# cd /lib/modules/$(uname -r)/build
# make SUBDIRS=fs/xfs/ modules
# cd /lib/modules/$(uname -r)
# mkdir kernel/fs/xfs
# cp build/fs/xfs/xfs.ko kernel/fs/xfs/
# chmod 744 kernel/fs/xs/xfs.ko
# depmod
# modprobe xfs


Pronto, agora poderá utilizar o sistema de arquivos XFS. Mas não sem usar um bom no-break !!

Facilidades no Fedora 9

Como é simples realizar atualizações de segurança (e de correções ou novas funcionalidades) no Fedora 9:










Sem contar que durante a instalação você pode optar em criptografar uma partição, muito útil para uso em notebooks.

Será que o uso de tantas facilidades não vão acabar me emburrecendo no uso de Linux ? :-)

As vezes tenho saudades do Gentoo, onde homens eram homens e compilavam sua própria distribuição :-)

Falando nele, essa semana lançaram a release 2008.0, depois de muito tempo:
Gentoo Linux 2008.0 released

Ajude a sustentar a Wikipédia e outros projetos, sem colocar a mão no bolso, e concorra a um Eee PC!

Ajude a sustentar a Wikipédia e outros projetos, sem colocar a mão no bolso, e concorra a um Eee PC!
…e também a pen drives, card drives, camisetas geeks, livros e mais! O BR-Linux e o Efetividade lançaram uma campanha para ajudar a Wikimedia Foundation e outros mantenedores de projetos que usamos no dia-a-dia on-line. Se você puder doar diretamente, ou contribuir de outra forma, são sempre melhores opções. Mas se não puder, veja as regras da promoção e participe - quanto mais divulgação, maior será a doação do BR-Linux e do Efetividade, e você ainda concorre a diversos brindes!

Contato: jczucco at gmail dot com

kerneloops.org: Você também pode ajudar a melhorar o kernel do linux

kerneloops.org é um site que procura ajudar os desenvolvedores do kernel linux coletando "kernel oops", que são assinaturas que o kernel gera quando ele tem problemas de crash. Os "oopses" coletados são estatisticamente processados para apresentar informações aos desenvolvedores, como:

- Quais são as assinaturas de crash mais correm (e que obviamente precisam ser corrigidas mais urgentemente);
- Quando foi a primeira vez que um determinado tipo de crash ocorreu?
- Quais são as funções da API do kernel que apresentam mais erros?


Os kerneloops podem ser submetidos no site, ou automaticamente pela ferramenta disponível no site, como mostra essa captura de tela no Fedora 9:

Todos os videos do You Sh0t the Sheriff 1.0

Finalmente todos os videos do YSTS 1.0 estão no ar. A maioria das palestras em PDF tambem.

Divirtam-se.

Abertura do Luiz Eduardo
Video Palestra

Nick Farr - Building the Global Hacker Community
Video Palestra

Augusto P. de Barros - Detecção de ameaças internas: Alternativas, tendências e novidades
Video Palestra

Luis Miras - Reverse engineering analysis of various vulnerabilities
Video Palestra

Eduardo Neves - Sobrevivendo no Mercado: As Carreiras em Segurança da Informação
Video Palestra

Rodrigo R. Branco - KIDS - Kernel Intrusion Detection System
Video Palestra

Mike Reavey - MSRC’s historical perspective on security ecosystem
Video

Adriano Cansian - Forjando o código: Desafios e progressos da formação profissional em segurança
Video Palestra

Felix "FX" Lindner - iPhone vs. Windows Mobile vs. BlackBerry vs. Symbian
Video

Eldon Sprickerhoff - Attacks of Nortel VoIP Implementations
Video Palestra

Emmanuel Goldstein
Video


--


Posted By Willian Caprino to i shot the sheriff at 6/14/2008 02:29:00 P

Core SELinux version R080611 released

An updated public release of SELinux was made available today. Some highlights of this release are listed below:

* New support for permissive domains in libsepol and checkpolicy.
* New support for user and role remapping in libsepol (required for use in optionals).
* Fixed endianness bug in handling network node addresses in libsepol.
* Fixed semanage port to use --proto.
* Updated audit2allow to report dontaudit cases.
* Revised the policy load logic in libselinux to try loading the maximum supported version of the kernel or libsepol.
* Fixed matchpathcon -V support and changed it to report success/failure via exit status.
* Fixed memory leaks in matchpathcon in libselinux.

Fonte: National Security Agency

Palestra que ministrei no Forum Internacional de Software Livre em 2007, sobre Técnicas e Ferramentas de Código Aberto Para Combate ao SPAM. Os slides podem ser pegos aqui.

Debian/OpenSSL Weak Key Detector

Para verificar se o seu Debian está afetado pelo bug do openssl:


wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
Assinatura PGP: dowkd.pl.gz.asc (opcionalmente verifique a assinatura do script)


gunzip dowkd.pl.gz
chmod u+x dowkd.pl


./dowkd.pl user
./dowkd.pl host


Fonte: http://ubuntu-tutorials.com/2008/05/13/openssh-openssh-vulnerabilities-confirm-fix-instructions/

Monografia sobre SELinux

Publiquei na internet minha monografia de conclusão da pós-graduação em Gerência e Segurança de Redes de Computadores. A monografia aborda o uso de SELinux para aumentar a segurança de servidores Linux. Como não encontrei muita documentação em português sobre SELinux, caso tenha interesse em ler poderá acessá-la em:


http://jczucco.blogspot.com/2010/06/monografia-sobre-selinux.html

Phishing: Pare - Pense - Clique

Resolvendo problemas do wine com winetricks

Winetricks é um script que realiza download e instalação automática de várias bibliotecas, fontes e codecs que algumas vezes são necessárias para execução de programas windows através do wine.

Esse script muito útil pode ser obtido aqui: http://wiki.winehq.org/winetricks

SELinux disponível para o Ubuntu 8.04 - “Hardy Heron”

A partir da versão do Ubuntu 8.04, você pode optar por usar AppArmor ou SELinux.

O AppArmor continua sendo a opção padrão na instalação. Apesar de o projeto SELinux ser aberto e independente de distribuição, frequentemente o seu uso é associado com algumas distribuições, como Fedora, Red Hat, etc. A adoção do SELinux pelo Ubuntu irá ajudar a sua popularização e a dispersar esses mitos, incluindo o que diz que o SELinux é difícil de usar.


Para remover o AppArmor e instalar o SELinux, basta dar o seguinte comando:

sudo aptitude install selinux



Para maiores detalhes:


How To Install SELinux on Ubuntu 8.04 “Hardy Heron”

Vídeos sobre SELinux

Se você quer saber mais sobre SELinux, uma forma rápida é assistir esses vídeos para ter uma idéia do poder que ele dá ao administrador. Os vídeos abordam a administração básica do SELinux, e demonstra uma das proteções aplicadas ao servidor apache.

SELinux Permissive mode intro

Use chcon in SELinux to alter security context for Apache

Peruse the targeted SELinux policy

Mais vídeos sobre segurança na Red Hat Magazine

Mark Cox - líder do Red Hat Security Response Team - fala sobre problemas de segurança, políticas de atualizações na RHN, e dicas para manter o Linux mais seguro.

Episode 1: The Vendor

Episode 2: Policies

Episode 3: Tips for a secure system

Episode 4: Security issues and metrics


Fonte: Red Hat Magazine

Disk encryption - useless ?

Fonte:

http://isc.sans.org/diary.html?storyid=4006

SELinux Slogans

Post muito engraçado (ou não, depende do seu ponto de vista) feito por Spencer Shimko em http://beyondabstraction.net/2008/01/10/selinux-slogans

• SELinux - Because users do weird shit.


• SELinux - Fuck root.


• SELinux - Hampering administrators since before it was cool.


• SELinux - High-security gone haywire.


• SELinux - Turning it off is like removing the batteries from a smoke detector. Sure it sounds better but you might get burned.


• SELinux - Because life is too simple.


• SELinux - AppArmor sucks.


• SELinux - It’s too early in the morning to be cleaning up after 11-year old kiddies.


• SELinux - Too powerful for our own good.


• SELinux - Here’s our root password, what’s yours?


• SELinux - Didn’t they teach you about using protection in high-school?


• SELinux - Blind faith not required


• SELinux will save you tons of money, your TCO will go down and your ROI will go up.


• SELinux supports 3-letter acronyms out of the box, no complex policy changes required.


• Zero day vulnerabilities are a fact. Do something about it.


• Trusted Solaris has been end-of-lifed and you’re not in the government space to begin with.


• Path-named based access control is weak.


• Implicitly trusting admins doesn’t have to be SOP.


• You’re not a security expert, let us do the hard work.


• The US military (and others) trust SELinux with their information, shouldn’t you?

Desenvolvedor do AppArmor é contratado pela Microsoft

Crispin Cowan, desenvolvedor do AppArmor e ex-funcionário da Novell foi contratado pela Microsoft [1]. (Observação: a equipe desenvolvedora do AppArmor foi demitida pela Novell em outubro de 2007 sem muitas explicações [2], e Crispin criou a Mercenary Linux [3] para dar continuidade ao desenvolvimento do AppArmor).

Além de colocar em dúvida a continuidade do desenvolvimento do AppArmor, esse fato impediu que Crispin Cowan desse sua palestra na LinuxConf Austrália desse ano. Crispin havia convidado o desenvolvedor do SELinux Russel Coker para um debate público que iria expor as diferenças das duas tecnologias, o qual Russel não aceitou [4]. Como Crispin nem ninguém compareceu para substituí-lo, a palestra iria ser cancelada, quando Russel se ofereceu para falar sobre SELinux, e sua palestra foi muito bem recebida [5].

Qual será agora o futuro do AppArmor? O Suse Linux e mais recentemente, o Ubuntu Linux ainda continuarão usando essa tecnologia? Pelo menos já existem esforços para que o SELinux seja portado para Ubuntu pela equipe Ubuntu-Hardened [6].

Referências:
[1]: http://blogs.msdn.com/michael_howard/archive/2008/01/17/crispin-cowan-joins-the-windows-security-team.aspx
[2]: http://www.heise.de/english/newsticker/news/97383/from/rss09
[3]: http://www.mercenarylinux.com
[4]: http://linux.conf.au/programme/detail?TalkID=210
[5]: http://etbe.coker.com.au/2008/01/30/my-lca-talk
[6]: https://wiki.ubuntu.com/HardySELinux

Wireless Intel 3945ABG no Fedora 8

Apesar de o Fedora 8 reconhecer na instalação a placa de rede wireless Intel 3945, ela não funciona imediatamente assim como no Ubuntu, é preciso fazer uma configuração para que ela funcione.

Primeiro, para verificar se o Fedora reconheceu corretamente a placa de rede wireless, os seguintes comandos devem ter resultados como esse:

# lspci | grep Wireless
02:00.0 Network controller: Intel Corporation PRO/Wireless 3945ABG Network Connection (rev 02)

# rpm -qa | grep 3945
iwl3945-firmware-2.14.1.5-2

# dmesg | grep 3945
iwl3945: Intel(R) PRO/Wireless 3945ABG/BG Network Connection driver for Linux, 1.1.19kds
iwl3945: Copyright(c) 2003-2007 Intel Corporation
iwl3945: Detected Intel PRO/Wireless 3945ABG Network Connection
iwl3945: Tunable channels: 11 802.11bg, 13 802.11a channels


Agora a dica que faz a placa funcionar:

O arquivo /etc/modprobe.conf deve possuir as seguintes entradas:

alias wlan0 iwl3945
options iwl3945 disable_hw_scan=0

A segunda entrada "options iwl3945 disable_hw_scan=0" é que resolveu o problema do meu notebook. Caso você esteja com o mesmo problema, espero que essa dica lhe ajude como me ajudou. :-)

Depois de editar o arquivo /etc/modprobe.conf, basta reiniciar o linux e configurar a rede wireless normalmente.

Tipos de Políticas de Segurança SELinux

- Política Strict:
Um sistema que usa a política de segurança strict é aquele onde tudo é negado por padrão, é nescessário habilitar regras na política de segurança para cada tarefa que cada aplicação ou processo irá realizar. O SELinux foi concebido originalmente para atender à política strict, pois as políticas são somente de permissão e não de bloqueio.

Para um sistema generalista como é o Linux, atender ao uso de uma política strict é uma grande e complexa tarefa. As primeiras experiências de uso da política strict no sistema operacional Linux foram na distribuição Fedora Core versão 2, onde a política era desabilitada por padrão. Esse novo recurso causou curiosidade em muitos administradores de sistemas, que por desejo de tornar o seu sistema mais seguro, habilitaram o uso da política strict durante a instalação. Como a política strict ainda não era madura o suficiente para seu uso em sistemas comerciais (o Linux Fedora Core é uma distribuição usada pela Red Hat para testar novos recursos e amadurecimento de versões de aplicações para depois então serem aplicados no Red Hat Linux) e não atendia todos os programas disponíveis na distribuição Fedora, acabaram ocorrendo muitos problemas em seu uso, e esse deve ter sido o fato que motivou a "má fama" que o SELinux ganhou de ser um sistema muito complexo, que apenas trazia mais problemas para serem contornados pelos administradores de sistemas, tanto que a principal pergunta em fóruns de internet sobre segurança e SELinux da época era: "Como desabilito o SELinux?" [1]

Desde então muita coisa mudou no SELinux até os dias atuais, pois hoje a política strict se mostra utilizável em sistemas Linux para muitos casos. Os incidentes ocorridos nas distribuições Fedora 2 levaram a criação de uma nova política de segurança SELinux, a targeted, e a criação de um novo domínio chamado unconfined_t. [2]


- Política Targeted:
Através da política targeted, cada sujeito e objeto roda em um domínio chamado unconfined_t exceto alguns serviços alvos que possuem políticas pré-definidas. Objetos que estão no domínio unconfined_t não possuem restrições e usam a segurança Linux padrão (DAC), ou seja, rodam como se não existisse o SELinux para realizar os controles de segurança. Os serviços que fazem parte da política targeted rodam em seus próprios domínios e são restritos à política para cada operação que realizam no sistema, dessa forma se esses serviços forem comprometidos ou de alguma maneira explorados por suas vulnerabilidades, os danos são limitados e até mesmo podem ser controlados.

Como exemplo, o servidor web apache é protegido pela política targeted, e não poderá comprometer os outros serviços do sistema, como servidor de nomes, servidor ssh, arquivos privados de usuários, etc, conforme a política pré-definida. No formato padrão DAC, isso não acontece, um bom exemplo disso é a vulnerabilidade no aplicativo gerenciador de conteúdo web chamado Mambo, que na versão 4.0.14 é vulnerável ao ataque descrito na CVE-2005-3738 [3]. O SELinux é capaz de limitar esse ataque a ponto de torná-lo inútil. [4]

A política targeted é a padrão na maioria das distribuições Linux que usam SELinux, como Fedora 3 ou superior e Red Hat 4 ou superior.


OBS: Na versão 8 do Fedora Core Linux lançada em novembro de 2007, que é a distribuição Linux onde a maioria do desenvolvimento do SELinux é realizada e são propostos e implementados novos recursos e várias mudanças, a política strict deixou de existir como uma política totalmente isolada da política targeted, foi criada uma política híbrida onde tanto a política targeted quanto a strict é utilizada. No Fedora 8 é possível usar a política strict por usuário, adicionando o usuário em um domínio strict (domínio guest ou xguest, por exemplo), e esse usuário estará com limitações de acessos como era antigamente usando-se a política strict. Por padrão, os usuários serão criados ainda no domínio unconfined_t. Para remover totalmente a habilidade de processos executarem no domínio unconfined_t, pode-se remover o módulo unconfined com o comando "semodule -r unconfined". [5]

No próximo post, comentarei sobre políticas MLS e MCS no SELinux.

Referências:
[1]: http://selinux-symposium.org/2005/presentations/session4/4-1-walsh.pdf
[2]: http://danwalsh.livejournal.com/9031.html
[3]: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3738
[4]: http://www.linuxjournal.com/article/9176
[5]: http://fedoraproject.org/wiki/Interviews/SELinux

Quais são os objetivos de uso do SELinux?

O uso do SELinux tem por objetivos de segurança primários:

- Isolamento das aplicações: buscando o nível do menor privilégio no uso de aplicações, um problema de segurança em uma aplicação isolada (como bugs, vulnerabilidades e zero-days) não influencia o sistema como um todo, não comprometendo o funcionamento das outras aplicações e diminuindo o efeito da exploração de vulnerabilidades, limitando a propagação de erros;

- Fluxo de informações: garantia de que a informação deve seguir caminhos pré-definidos para acesso entre os processos;

- Confidencialidade: a informação não estará disponível ou será divulgada a indivíduos, entidades ou processos sem a devida autorização;

- Integridade: disponibilidade de informações confiáveis, corretas e dispostas em formato compatível com o de sua utilização. A informação manipulada mantém todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).

- Auto-proteção: como o SELinux é aplicado diretamente sobre o kernel do Linux, além de proteger as políticas ele também tem por objetivo proteger o próprio sistema operacional (binários, configurações, recursos, etc) para se auto proteger;

- Menor privilégio: garante que as políticas aplicadas estão corretas e de que os processos possuem apenas o acesso nescessário para realizar a sua função, e nada mais do que isso;

- Separação de papéis: definição das permissões de usuários e processos para evitar a elevação de privilégios e suas consequências.

SELinux vs chroot

Uma questão frequentemente feita é qual a melhor maneira de restringir um programa? Usando a maneira tradicional com chroot, ou usar SELinux para fazer isso?

No mundo Unix, chroot é uma maneira de rodar um programa com um conjunto restrito de arquivos e diretórios disponíveis. Essa técnica de isolamento de programas é conhecida como sandbox, e o chroot é uma maneira de implementá-la. O chroot pode ser implementado como um daemon (usando a chamada de sistema chroot) ou por um shell script usando o comando "chroot". A desvantagem do chroot é que é possível escapar dele, um processo rodando em chroot tem a capacidade de ver a existência de processos que não estão rodando em chroot (ps e programas similares funcionam da mesma maneira em ambientes chroot) e IPC's (Inter-Process Communication) não são prevenidos. Uma solução para esse problema é ter um ambiente chroot avançado (que normalmente requer um patch de kernel) onde os processos chroot não podem rodar comandos como o ps sem restrições e outros têm outros limites aplicados (existem vários patches do kernel que implementam essas restrições).



Configurar um ambiente em chroot é incoveniente. Se ele é configurado da maneira tradicional (copiando arquivos para o chroot ao invés de montar com bind os diretórios) então versões antigas de programas podem existir no ambiente chroot enquanto novas versões de programas com correções de segurança são instalados no ambiente principal.

SELinux provê uma segurança melhor do que um ambiente chroot típico controlando todas as interações entre os processos. Ele provê mais flexibilidade do que um ambiente chroot avançado porque pode ser configurado inteiramente por políticas e a recompilação do kernel não é nescessária para mudar a maneira de como ela funciona. Eu acredito que é mais correto abandonar a maneira tradicional de criar ambientes chroot e usar SELinux.

Baseado no post de Russel Coker, desenvolvedor do SELinux:

http://etbe.coker.com.au/2007/08/22/se-linux-vs-chroot

Como verificar se o seu sistema suporta SELinux

O SELinux é compilado no kernel, e é suportado via LSM (Logical Security Modules). Para determinar se o seu kernel foi compilado com suporte a SELinux, devemos primeiro determinar qual versão do kernel está rodando:

# uname -r
2.6.23.1-49.fc8

Depois que determinamos a versão do kernel que está rodando, podemos consultar o arquivo de configuração que foi usado para compilar o kernel:

# grep -i selinux /boot/config-2.6.23.1-49.fc8
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1
CONFIG_SECURITY_SELINUX_DISABLE=y
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
CONFIG_SECURITY_SELINUX_ENABLE_SECMARK_DEFAULT=y
# CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set

A opção CONFIG_SECURITY_SELINUX está configurada como 'yes'. Isso siginifica que o suporte a SELinux está habilitado no kernel. A opção CONFIG_SECURITY_SELINUX_DISABLE também está configurada como 'yes'. Portante, apesar de o suporte a SELinux estar habilitado no kernel, ele não está habilitado por padrão.


Outra maneira de determinar o suporte a SELinux no kernel é dar o comando para verificar o systema de arquivos virtual do SELinux:

grep selinuxfs /proc/filesystems


Para verificar o estado corrente do SELinux no seu sistema:

# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 21
Policy from config file: targeted


Obrigado ao amigo dgrift pela sua disposição em ensinar o mundo SELinux. O post original em inglês você pode acessar aqui:

http://domg444.blogspot.com/2007/11/how-to-determine-if-our-system-supports.html

SELinux by Example

Estou estudando SELinux à algum tempo. Para quem deseja fazer o mesmo, recomendo esse livro:



OBS: Sem querer assustar ninguém, mas existem vários motivos para o sabre de luz jedi estar na capa do livro :-)

Para quem ainda não sabe o que é SELinux (ou só ouviu falar quando instala o Red Hat e o desabilita) , assista esse vídeo:
http://www.redhat.com/v/swf/SELinux

Mais vídeos sobre segurança

Dessa vez, voltado ao usuário final. Foi um concurso de vídeos apresentado no GTS 10. Alguns vídeos são muito interessantes, e até engraçados.

Pegue os vídeos em:


ftp://ftp.registro.br/pub/gts/gts10/08-videocontest.tar

Demorei...

Congratulations; you are already an Ubuntero, having signed the Ubuntu Code of Conduct.

Teams:
https://launchpad.net/~ubuntu-hardened

Vídeos sobre segurança na Red Hat Magazine

A Red Hat Magazine disponibilizou vídeos curtos do desenvolvedor do glibc Uli Drepper falando sobre diversos ataques, e como eles podem ser evitados.

Você pode baixar os vídeos nos seguintes endereços:
Vídeo 1
Vídeo 2
Vídeo 3
Vídeo 4
Vídeo 5

Forçando uma placa de rede a 1 Gigabit

Para forçar a placa de rede para 1000 full duplex:

ethtool -s eth0 speed 1000 duplex full autoneg off


Para deixar a mudança permanente, edite ou adicione a variável ETHTOOL_OPT em /etc/sysconfig/network-scripts/ifcfg-eth0:

ETHTOOL_OPTS="speed 1000 duplex full autoneg off"

O primeiro computador que tive contato

Seção nostalgia: decidi lembrar quando e qual foi o primeiro computador que tive contato.

Em 1989 abriu a primeira escola de informática na minha cidade, e me inscrevi na primeira turma. Resolvi fazer o curso de um ano, que era introdução ao DOS-CPM, Visicalc (planilha de cálculo), wordstar (editor de texto) e dbase (banco de dados).

Os computadores usados na escola eram clones do Apple II fabricados no Brasil, quase no fim da reserva de mercado de informática. Essa reserva deixava o Brasil na época muito defasado em tecnologia, pois além de caros, os equipamentos deveriam ser produzidos aqui. Na época, apenas com 13 anos, eu já havia decidido que iria trabalhar com informática. Talvez porque fui seduzido pelos jogos karateka ou Grand Prix que eu rodava nesses computadores :-)

Mais especificamente, o computador era o TK-3000 da Microdigital. Seguem fotos dele:

Como manter os softwares atualizados

Isso se você for um (infeliz) usuário de windows:

http://www.filehippo.com/updatechecker

Ajude a divulgar a lista brasileira de equipamentos e serviços compatíveis com Linux

Ajude a divulgar a lista brasileira de equipamentos e serviços compatíveis com Linux
...e concorra a MP4 e MP3 players, mochilas Targus, períodos de VoIP grátis e até a ventiladores USB - além de contribuir automaticamente para doações para a Wikipedia e o Wordpress! O BR-Linux coletou mais de 12.000 registros de compatibilidade de equipamentos e serviços (webcams, scanners, notebooks, ...) na sua Pesquisa Nacional de Compatibilidade 2007, e agora convida a comunidade a ajudar a divulgar o resultado. Veja as regras da promoção no BR-Linux e ajude a divulgar - quanto mais divulgação, maior será a doação do BR-Linux à Wikipedia e ao Wordpress.

Contato: jczucco em gmail ponto com

Dividindo arquivos tar em múltiplos volumes

Dica originalmente retirada daqui

Muitas vezes queremos dividir os arquivos gerados pelo tar para caber em um dvd ou um cd, por exemplo. Para mídias como fita dat ou disquetes, a opção "-M" resolve, mas e quando quisermos fazer isso em sistema de arquivos para posteriormente gravar em mídias ?

Um exemplo: um arquivo de 1Gb e queremos separar em dois arquivos para caber em 2 cds de 700 Mb, usamos o seguinte comando:

tar -c -M --tape-length=700000 --file=cd1.tar arquivao.tar.gz

Onde a opção "--tape-length" é multiplicada por 1024 bytes (por arredondamento: 700000 x 1024 = +- 700Mb)

Quando o primeiro arquivo chegar a 700mb, o tar dará o seguinte prompt:

Prepare volume #2 for cd1.tar and hit return:

Para começar a escrever no segundo arquivo, digite:

n cd2.tar

Caso você saiba previamente quantos volumes o arquivo irá gerar, o seguinte comando não precisará de interação:

tar -c --tape-length=700000 -f cd1.tar -f cd2.tar arquivao.tar.gz

A opção "--tape-length" também pode ser substituída por "-L"

Para restaurar o arquivo:

tar -x -M --file=cd1.tar --file=cd2.tar arquivao.tgz

Limpando openldap log archives

Para limpar o log archives do openldap/berkeleyDB, é usado o utilitário db_archive:

http://pybsddb.sourceforge.net/utility/db_archive.html

Em um shell simples:

for arq in $(db_archive -h /var/lib/ldap -a); do rm -f $arq; done

Realizando backup da MBR e tabela de partições

# dd if=/dev/hda of=backup-hda.mbr count=1 bs=512

# sfdisk -d /dev/hda > backup-hda.sf


- Para recuperar:

- Iniciar com o System Rescue CD ( http://www.sysresccd.org )

# dd if=backup-hda.mbr of=/dev/hda

# sfdisk /dev/hda < backup-hda.sf

Leitura atual: Inevitável Mundo Novo - Alexandre Freire

Saiba como, quando e por quem você está sendo cotidianamente observado.
Ao sair de casa, você está exposto às mais variadas câmeras que, sob os mais variados pretextos, vai documentando cada passo da sua vida.

Ao fazer suas compras, seu comportamento de consumidor está sendo registrado, expondo informações que você nem sequer imagina. Ao usar a Internet, sua navegação está sendo integralmente documentada e arquivada.

A alegação é sempre a mesma: tudo é feito no sentido de ou de protegê-lo ou de melhor servi-lo. Entretanto, ninguém o consultou sobre essas medidas e várias delas partem até mesmo da iniciativa privada, que não dispõe de poder de policia sobre nenhum cidadão.

Num país em que a representação política tem a fragilidade que todos conhecemos, a manipulação das informações acumuladas pode transformá-lo de protegido a perseguido, num piscar de olhos.

Alexandre Freire escreveu um livro que incomoda. Todavia o que mais incomoda é não lê-lo.

http://www.alexfreire.com.br/interno.php?Conteudo=livro