Mostrando postagens com marcador Artigos/Tutoriais. Mostrar todas as postagens
Mostrando postagens com marcador Artigos/Tutoriais. Mostrar todas as postagens
quinta-feira, 17 de abril de 2014
Mikrotiks - Efetuando Login sem Senha Utilizando o SSH com Chaves DSA
Uma boa dica para quem usa equipamentos Mikrokits, optar por este meio, você terá acesso de forma direta, pois a chave reconhecerá a máquina de origem, o login será efetuado com chaves DSA, que é um tipo de chave, que usa chaves de credenciais do computador, mas isso pode ser um problema se usares uma máquina real, então para maior estabilidade sob ataques, utilizem uma máquina virtual.
Gerando as chaves:
ssh-keygen -t dsa
Logando no ftp do equipamento para enviar a chave:
ftp ipdomikrotik
Logamos e enviamos:
put id_dsa.pub
Finalizando e saindo do processo:
exit
Importe a chave logando via winbox:
[user@mikrotik]> user ssh-keys import file=id_dsa.pubuser: usuáriodoequipamento
Logue e seja feliz:
ssh usermikrotik@ipmikrotik
OBS: Requer um mínimo de conhecimento na área de equipamentos mirkotiks
Abraço.
Gabriel Santana.
terça-feira, 25 de março de 2014
Segurança Centralizada em OS's pentester's Contra seu site
Saiba Agora Algumas Dicas Básicas de Como Proteger Seu Site dos Chamados Defacers que usam Sempre as mesmas ferramentas básicas e mais comuns e exploram sempre as mesmas falhas mais comuns em seu Site e ao primeiro erro simplesmente desistem e vão para seu próximo alvo.
Saudações caros leitores, seja você um profissional ou um Amante de Segurança da informação ou apenas um Garoto Geek este tutorial foi escrito com um imenso carinho e dedicação a você então por favor caso for compartilhar isso dê os devidos créditos a mim, o Autor.
Bom sem mais Delongas Vamos ao Tutorial, Bem nos últimos anos um crescimento considerável em invasões de web sites, em sua maioria as invasões são puramente por Status na Comunidade Underground Brasileira o Defacer que invade mais sites e sites maiores ganha mais fama perante os demais.
Para Garantir a Segurança de Seu Web Site caso ainda não tenha noções ao menos básicas sobre algumas linguagens como Html, PHP, Mysql, e não saiba editar permissões de pastas em seu servidor nem criar regras em arquivos como robots.txt e .htacess eu Sinceramente Sugiro que Aprenda em um nível intermediário Todos Esses tópicos Citados acima.
Bom Hoje as Principais Falhas Exploradas Pelos Defacers que em sua maioria 90% não tem conhecimento nenhum em invasão a não ser por ferramentas existentes em algumas distro para pentest como Back Track, Kali Linux e Bugtrack dentre outras,porém ao menor sinal de erro no processo de Scaneamento do site o Script Kiddie desiste de tentar a invasão em seu site e simplesmente vai procurar outro alvo no google.
Então Basta Usar Seu Raciocínio Lógico e algumas dicas que vou lhe dar em algumas linguagens como o PHP, Bom no PHP antes que eu me esqueça vou lhe dar alguns conselhos básicos Sempre que for usar o include no php para incluir uma página prefira usar o require_once ao invés do include o efeito é o mesmo porém o require_once Evita Falhas de RFI, Também Caso Use Wordpress e Estiver Pensando em Usar o certificado SSL use-o para sempre pois caso usar e remover posteriormente deverá trocar TODAS as imagens upadas no Site (Dica retirada do Site Security Attack).
Voltando ao Raciocínio Lógico todo Scanner seja ele Nmap, Sqlmap, Sqlninja, Dirbuster, Nikito, Fimap, Nessus, Openvas, Webshag, Uniscan, Acunetix dentre outros em um Scan no site ele acessa o mesmo por um User Agent então depois de estudar sobre o htacess você pode criar regrinhas básicas para redirecionar todo scan com alguns user agents específicos para lugar algum exemplo para 127.0.0.1 ou qualquer endereço inválido ou seja sempre que alguém tentar scanear seu web site para ele somente retornará a mensagem de conexão time out.
Bom resumindo tal artigo basta usar a cabeça para pensar como um defacer sabendo com ele te ataca para bloquear tais ataques
Autor: Wellington Guilherme Rogério
domingo, 23 de março de 2014
Marco Civil - Imoralidade Atras de Imoralidade
O Marco Civil na internet, ao ver "dos justiceiros" tem uma finalidade e impressões de que estão fazendo algo que irá ajudar a combater crimes cibernéticos, até certo ponto. Posso afirmar que o Brasil precisa desse feito, mas de uma forma civilizada, onde ão é necessário desmoralizar certos pontos na internet.
Várias adiações, várias trambicagens, e "justiça" desigual. Do meu ponto de vista acho que todos que vão contra, deviam se manifestar, e dizer por detalhes, cada opção que deverá ser mudada. No exemplo, o fechamento do netflix segundo o tribunal de justiça Brasileiro. Porque!? A resposta está a sua frente, interligação de informações incorretas, onde se caracterizam sob-medidas desiguais, se preocupam com coisas inuteis e deixam de lado os princípios.
Complexidade por nada. Dramas em cima de dramas. Violação por violação. Ambas perspectivas lutando pelos seus direitos, e sofrendo ainda mais, Fazermos o que? Brasil é Brasil!
Abraço.
Gabriel Santana
sábado, 22 de março de 2014
É possível que Black Hats possam causar um Blecaute?
Um blecaute pode ser causado de várias maneiras, entre elas estão a chance de que Hackers possam causar um total apagão em alguma cidade que seja controlada por computadores. Alguns países têm seu total controle por sistemas chamados CtOS (The Central Operating System) trata-se de um software computacional poderoso, que é dado como o "núcleo" de informações de toda cidade ou país.
Caso um hacker experiente consiga invadir tal sistema, ele poderá exercer o controle sobre praticamente TUDO, pode controlar as câmeras de vigilância, alterar o funcionamento dos semáforos, ter acesso à diversas contas bancárias e energia. Um exemplo desse ataque aconteceu em 2003, quando uma parte dos EUA ficou sem energia após um ataque (que hoje suspeitam que ele pode ter sido causado por um hacker), todo o CtOS teria sido comprometido por um malware que se infiltrou no sistema e causou tamanho prejuízo à várias cidades.
Para quem gosta de games (como eu) já deve ter notado que em Watch Dogs, tem esse sistema controlando uma cidade na qual um hacker consegue invadir e tomar posse de tudo que for controlado pelo computador central utilizando apenas um Smartphone avançado criado pelo Black Hat, o jogo pode exagerar um pouco tratando-se desse assunto, mas é uma ótima analogia que pode ser real em um futuro próximo.
Abraço.
Skyfall Maidenhead.
Google e sua Invasões
O Google, como todos sabemos, é de longe, o buscador com mais populariedade e utilidade na internet. Dentre tempos pra cá, foram ocorridos diversos ataques, sem determinações corretas. As caracterizações não se combinam, e o google não está conseguindo meios de proteções necessitados, White Hats competentes para realizar a proteção. Estes ataques estão ocorrendo sucessivamente. Somente depois de 48 horas da competição hacker, corrigem bugs no Chrome, sofrendo dns hijacked dentre diversos...
Tempos vindos e não tomamos, precauções contra a possibilidade desse tipo de violação, não é visto, seguimos estendendo a criptografia imprestável para cada vez mais produtos da Google, e mais ataques constanes... por eles, nossos dados são brinquedos.
Critério privado aos teus dados, apesar de não estar em boas mãos.
Abraço.
Gabriel Santana.
segunda-feira, 17 de março de 2014
Criptografando discos no Windows
Bem, todos nós sabemos que a segurança na internet nunca foi e provavelmente nunca será 100%, como já vi vários tutoriais sobre criptografia de discos no linux, resolvi trazer algo de diferente para vocês acompanhantes do blog. Algo simples, mas uma segurança eficaz e rígida para usuários que se preocupam com sua máquina. Itens importantes devem ser questão de preocupação como a Disponibilidade, confidencialidade e preocupante a integridade de seus dados.
Para o feito, necessitaremos apenas de um simples programa, de uma empresa muito famosa entre os "eternos estudantes" da área de TI..."Comodo Disk Encryption". O software é o de mais simples manuseio, basta clicar com o botão direito sobre a unidade a criptografar ou usar as teclas de atalho CTRL + E e aguardar o processo de criptografação concluir:
Abraço.
Gabriel Santana.
Para o feito, necessitaremos apenas de um simples programa, de uma empresa muito famosa entre os "eternos estudantes" da área de TI..."Comodo Disk Encryption". O software é o de mais simples manuseio, basta clicar com o botão direito sobre a unidade a criptografar ou usar as teclas de atalho CTRL + E e aguardar o processo de criptografação concluir:
Abraço.
Gabriel Santana.
segunda-feira, 10 de março de 2014
Criando um Gadget com o código do seu banner
Uma das maneiras de divulgar um site seja por parceria, amizade e afins, é usando Banners. Um banner digital é um código que ao ser interpretado pelo navegador, é gerada uma imagem que foi escolhida contendo um link, e ao clicar sobre ela abrirá o endereço determinado. Vale lembrar que a imagem é de acordo com o site, pois é a identidade, pode-se usar o logo.
Posicionamos estes banners em determinada área do site, através de gadgets ou anúncios randômicos (aqueles que todo mundo odeia, às vezes em forma de pop-ups).
Posicionamos estes banners em determinada área do site, através de gadgets ou anúncios randômicos (aqueles que todo mundo odeia, às vezes em forma de pop-ups).
Um exemplo é o que contém nesse Blog na lateral direita, há um gadget chamado "Parceiros".
Agora que você já sabe o que é banner e com certeza já deve ter uma imagem para usar, vamos aprender como deixar uma caixa contendo o código disponível no seu site. Com isso fica mais fácil que outros usuários que queiram divulgá-lo realizem essa tarefa.
Primeiramente copie o código abaixo:
<div align="center"><img src="URL_IMAGEM" height="ALTURA" width="LARGURA"/><br/> <textarea cols="15" rows="3" onfocus="this.select()" onmouseover="this.focus()" name="textarea" style="width:80%;"> <a href="LINK_SITE" target="_blank"><img src="URL_IMAGEM" title="NOME_SITE" alt="LINK_SITE" style="border:0; width:LARGURA; height:ALTURA;"/></a> </textarea> </div>
Agora a explicação para você substituir no seu:
<div align="center">
<img src="URL_IMAGEM" height="ALTURA" width="LARGURA"/><br/>
<textarea cols="15" rows="3" onfocus="this.select()" onmouseover="this.focus()" name="textarea" style="width:80%;">
<a href="LINK_SITE" target="_blank"><img src="URL_IMAGEM" title="NOME_SITE" alt="LINK_SITE" style="border:0; width:LARGURA; height:ALTURA;"/></a>
URL_IMAGEM = Onde você tem que colocar o link da sua imagem já hospedada.
ALTURA e LARGURA = Dimensões do banner, de preferência escolha uma imagem maior ou igual a essas dimensões para que a resolução fique boa.
LINK_SITE = Endereço do seu site ou blog.
NOME_SITE = Nome do seu site ou blog.
Agora vá até o painel, procure onde adiciona gadgets e cole o código. Após posicionar e salvar o código já tem sua caixa de código do banner pronta.
Agora é só pedir aos seus amigos ou parceiros que copiem o código e coloquem-no em seus sites.
Dúvidas ou sugestões? Comente!
Fonte: Leo Lopez
domingo, 9 de março de 2014
Teoria - Segurança em Servidores Linux
É verídico que o Linux é de longe o mais seguro dos sistemas operacionais, mas, vale sempre um pouco mais de precaução, pois nenhum sistema é de fato 100% seguro e principalmente quando se trata de administração de servidores, iremos aqui abordar alguns conceitos sobre a segurança nos servidores Linux.
Mas o que protejer com isso? Coisas importantes devem ser questão de preocupação como a Disponibilidade, confidencialidade e integridade. A segurança deve sempre ter início na hora da instalação dos servidores, o administrador deve sempre se preocupar na inserção de senhas no setup entre outros, para evitar o acesso indevido às configurações e sempre manter o foco nas atualizações dos sistemas operacionais, algumas distribuições como o Linux CentOS, Debian, Redhat e OpenSuse são ótimas e seguras na administração de servidores.
Sempre manter o Backup dos arquivos; é uma das melhores maneiras de prevenção caso aconteca o inesperado, o problema é que muitos que administram servidores não estão preocupados com a recuperação dos arquivos, como se nunca fossem passar por prejuísos iminentes ou serem vítimas de ataque de Crackers. É sempre bom criar um particionamento para manter o Backup. Outra dica que vale ressaltar é sempre instalar apenas os pacotes necessários e notar se os mesmos são de fontes seguras, pois muitos pacotes suspeitos podem acabar enviando informações indevidamente para qualquer mal intencionado.
Usar IDSs (Sistemas de Detecção de Intrusos) e principalmente bons Firewalls para monitorar todo o tráfego de informações da rede, assim estará mais seguro e informado sobre o que se passa na rede. Ativar apenas as portas de conexão necessárias e desabilitar as demais, pois um Cracker pode usar qualquer uma das 65.536 portas disponíveis para ter acesso indevido ao servidor.
Sempre manter os serviços SSH atualizados, com isso você poderá fazer acesso remotamente aos servidores com mais integridade e segurança, com todo o tráfego criptografado e usando autenticações com senhas e/ou certificado, também vale manter atualizados outros serviços como o FTP. Utilize mapeadores de redes como o Nmap, Wireshark, NetCap e também algumas distribuições para fazer pen-tests no seu próprio servidor, com isso você saberá como agir e se defender, umas distribuições adequadas para esse tipo de teste é o Backtrack Linux, Kali Linux ou Blackbuntu. Configurar os servidores para a proteção de ataques como DDoS, pois esses tipos de atques tendem a deixar qualquer servidor inativo e vulnerável.
Abraço.
Skyfall Maidenhead.
sábado, 8 de março de 2014
Phreaking – Disparando o alarme do carro com celular
Olá pessoal, mostrarei como disparar o alarme de um carro, para fins de estudos e conhecimentos sobre Phreaking.
O procedimento é bem simples, basta iniciar a sessão de ligação, e digitar 44444444, e chegar perto do receptor do alarme e e iniciar a ligação com o número dito e será disparado, vale lembrar que, não irá funcionar em alguns modelos de alarmes.
OBS: a utilização desta publicação é puramente educacional, e não deve ser utilizada sem a devida permissão da aplicação alvo. Podendo sofrer as sanções penais descritas na Lei 12.737/2012 do código penal brasileiro.
Abraço.
Gabriel.
Postado também, no Security Attack: https://securityattack.com.br/phreaking-disparando-o-alarme-do-carro-com-celular/ por Gabriel Santana
