Arquivo

Archive for the ‘CyberSecurity’ Category

Sobre Azure Web Application Firewall–escrito por Diogo Bacelar

21 de agosto de 2017 Deixe um comentário

Saudações,

Hoje começamos uma nova fase no blog Microsoft Space. Firmo uma parceria (que espero ser vitalícia) com um cara ao qual devo muito pela ajuda que me dá com seu conhecimento e pela pessoa que é. Trata-se do Arquiteto de Soluções Diogo Bacelar, expert em Azure e infra estrutura Microsoft, VMWare entre outros.

Iremos começar a partir deste post, com um trabalho voltado a OWASP (Open Web Application Security Project) voltado a Azure Web Application Firewall. Abaixo o texto escrito por ele que é o primeiro de muitos que teremos aqui neste espaço.

Aos seguidores e leitores deste blog, peço que aguardem, pois estaremos também alterando o nome do mesmo.

Fiquem com o texto abaixo do Diogo e aprendam muito com ele:

Fala pessoALL, tudo bem?

Sou o Diogo Bacelar e é com muito prazer que público pela primeira vez no blog do meu grande amigo Uilson Souza. Vim aqui para falar um pouquinho de uma tecnologia incrível, capaz de proteger nossos ambientes de servidores web e garantir um final de semana sossegado para nós administradores de TI.

Antes de mais nada vamos falar um pouco sobre o OWASP (Open Web Application Security Project/Projeto Aberto de Segurança em Aplicações Web), uma comunidade online que cria e disponibiliza de forma gratuita artigos, metodologias, documentações, ferramentas e tecnologias no campo da segurança de aplicações web. Legal não? Mas se eu te contar que os mais importantes players da área de segurança tomam seus padrões como referência para segurança em ambientes de webservers? Isso mesmo, mestres como PaloAlto, Barracuda, Check Point entre muitos outros usam esta base para seus produtos, padrões estes que você pode ser conferido no portal abaixo:

https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project

Já que falamos da referência de proteção quando se trata de servidores web, chegou a hora de explicar um pouco sobre o funcionamento de um Web Application Firewall ou WAF para os mais íntimos (eu amo esta sigla!) . Como você pode ver na topologia abaixo o WAF atua basicamente como um intermediador de todas as requisições que chegam para seu backend de servidores web e pode ser implementado de diversas formas, inclusive como serviço interno(Plugin) em seu próprio webserver.

image

Fonte da Imagem: researchgate.net (acesso em 19 de Agosto de 2017)

O funcionamento e modo em que o WAF irá operar, você quem determina. Ele pode ser Detectivo, que é quando o mesmo atua apenas monitorando todas requisições e às documentando em relatórios. Neste modo você não previne os ataques, mas fica ciente deles, podendo ou não executar alguma ação para preveni-los. Ou pode ser Preventivo, que é quando ele atua incisivamente em todas as ocorrências que venham acontecer em seu ambiente, por exemplo as que fazem parte do grupo de proteção padrão REQUEST-912-DOS-PROTECTION que foca nos ataques do tipo DOS, neste caso se o WAF identificar anomalias na conexão que se adequam a uma das regras que fazem parte deste grupo a conexão será abortada e seu ambiente continuará seguro.

Já que aprendemos como funciona um WAF, chegamos no foco da nossa publicação: O Azure Web Application Firewall. Como o próprio nome diz é um serviço oferecido pela Microsoft para proteção de ambientes de servidores web que estão hospedados em sua plataforma de nuvem pública, o interessante desta oferta é que ela é PaaS(para quem não conhece este conceito aconselho ver este meu webcast gravado aqui https://www.youtube.com/watch?v=rCWluYr3t9U&t=3806s onde abordo de uma forma mais palpável os conceitos básicos de cloud computing) por este fato, você apenas se preocupa em parametrizar o WAF e os servidores de backend que fazem parte da solução, decidir o modo de operação(Detectivo ou Preventivo) e habilitar quais regras OWASP que serão usadas no monitoramento do ambiente. Como é padrão da computação em nuvem, a base deste serviço é toda gerenciada pela Microsoft, isto quer dizer que você não se preocupa com atualizações de Kernel, Segurança, Novos padrões de regras e demais detalhes. O legal é o poder e magnitude que a ferramenta possui, seu custo tem uma média de 150US$/Mês para proteger seu ambiente de diversos tipos de ameaças como por exemplo:

· Proteção contra SQL Injection;

· Proteção contra Cross site scripting;

· Proteção Contra Ataques Comuns da Web, como a injeção de comandos, as solicitações HTTP indesejadas, a divisão de resposta HTTP e o ataque de inclusão de arquivo remoto;

· Proteção contra violações de protocolo HTTP;

· Proteção contra anomalias de protocolo HTTP, como ausência de host de agente do usuário e de cabeçalhos de aceitação;

· Prevenção contra bots, rastreadores e scanners;

· Detecção de problemas comuns de configuração de aplicativo (por exemplo, Apache, IIS etc.).

Ressaltando o último tópico acima, imagina você ter aquele ambiente super bem configurado e homologado (SQN) que permite até ratos entrarem no server, e simplesmente ele estar protegido por este super segurança na porta da grande festa? É disso que estamos falando meus amigos, este é o Azure WAF.

Querem saber e conhecer mais sobre esta possível nova maravilha do mundo? Em breve Uilson Souza e eu estaremos apresentando um webcast com uma recheada demonstração prática deste serviço do Microsoft Azure, fiquem ligados aqui no blog!

Deixem seus comentários, sugestões e elogios, vai ser muito importante para os próximos posts!

Até a próxima!

Diogo Bacelar

image

Anúncios

Petya Ransomware–algumas informações

27 de junho de 2017 Deixe um comentário

Saudações,

Hoje vamos dar um parênteses na série sobre DNS Policies do Windows Server 2016 para falar da onda de ataques massivos iniciada hoje (27/06/2017) na Ucrânia e que se estendeu por outros países da Europa.

image

Trata-se do Petya Ransomware (ou Petwrap), uma variante do WannaCry que também explora vulnerabilidades na porta 445 – protocolo SMB v1.

Um dos casos mais interessantes foi um supermercado na Ucrânia totalmente parado devido ao ocorrido, conforme imagem abaixo:

russia

Algumas informações:

O ocorrido foi noticiado pelo Telegraph e pela BBC nos links abaixo:.

http://www.telegraph.co.uk/news/2017/06/27/ukraine-hit-massive-cyber-attack1/

http://www.bbc.co.uk/news/technology-40416611

Uma das recomendações é se assegurar que o patch MS17-010 está instalado em seu ambiente. Se ainda não o fez e teve a sorte de não ser atacado pelo WannaCry, então não dê sopa ao azar e atualize.

Entre com alugmas ações pro-ativas:

 

1. Além do patch MS17.010, desabilite o protocolo SMBv1 em seu ambiente.

2. Se constatou a falta do patch em algum equipamento, remova-o da sua rede até que o mesmo esteja atualizado

Mais informações:

A brecha do protocolo SMB não é o único meio pelo qual o ataque pode ser executado. A famosa engenharia social tb pode trazer problemas. Portanto conscientize seus usuários da importância de evitar abrir emails com aenxos os quais não saiba a procedência. Abaixo o email associado ao virus:

wowsmith123456@posteo.net

O endereço do BitCoin informado para pagamento do “resgate”:

1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Cuidado com os IP´s abaixo:

 

84.200.16.242 – porta 80

111.90.139.247 – porta 80

Portas usadas:

TCP 1024-0035, 135, 445.

 

A execução dos arquivos abaixo inicializa a ação do malware:

File Name            Order-20062017.doc       (RTF із CVE-2017-0199)

MD5 Hash Identifier       415FE69BF32634CA98FA07633F4118E1

SHA-1 Hash Identifier     101CC1CB56C407D5B9149F2C3B8523350D23BA84

SHA-256 Hash Identifier                FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206

File Size                6215 bytes

File Type              Rich Text Format data

 

File Name            myguy.xls

MD5 Hash Identifier       0487382A4DAF8EB9660F1C67E30F8B25

SHA-1 Hash Identifier     736752744122A0B5EE4B95DDAD634DD225DC0F73

SHA-256 Hash Identifier                EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6

File Size                13893 bytes

File Type              Zip archive data

 

File Name            BCA9D6.exe

MD5 Hash Identifier       A1D5895F85751DFE67D19CCCB51B051A

SHA-1 Hash Identifier     9288FB8E96D419586FC8C595DD95353D48E8A060

SHA-256 Hash Identifier   17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB3017AF1FBD

File Size                275968 bytes

 

Sugiro que você crie uma política no seu servidor de antivirus bloqueando a execução dos arquivos citados acima.

Maiores informações nos links abaixo:

https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/

https://www.hybrid-analysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?environmentId=100

No link abaixo a Symantec partilha dicas de como evitar o ataque:

https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know

Fique atento e mantenha seu ambiente atualizado. Além disso conscientize seus usuários sobre engenharia social e o perigo de se abrir anexos não conhecidos.

Abraços

Uilson

%d blogueiros gostam disto: