Recursos:

- Não precisa de instalação.
- Desabilita auto-reprodução em unidades removíves, com excessão de CDs e DVDs.
- Antivírus integrado que detecta e remove indícios de vírus em mídias removíveis.
- Log detalhado de ações.
- Checagem por novas versões automática, pela web.
- Permite voltar a qualquer momento para o estado anterior do sistema (sem a proteção do USBForce instalada).
- Software livre, licenciado sob a GPL.

Download: http://superd.com.br/75456

Página do projeto: http://sourceforge.net/projects/usbforce

Com ele você consegue gerenciar quais usuários da máquina terão a filtragem de sites habilitada, qual tipo de filtragem será definida, quais usuários irão gerar um relatório de sites acessados que serão enviados para o usuário definido como “adminsitrador” por e-mail, gerenciamento de contatos do MSN Messenger, enfim, é uma ferramenta completa para monitorar o uso da internet em sua casa.

É umsoftware gratuito e bem fácil de utitlizar. Se você é pai, e quer ter um controle melhor sobre o que eles andam fazendo na internet, esta é sem dúvidas uma excelente ferramenta que vai te ajudar bastante. É bem simples de configurar e você com certeza ficará mais tranquilo enquanto seus filhos estiverem na internet.

Depois de instalado, fica um ícone na barra te tarefas, onde você pode acessar para alterar configurações. A tela é similar a esta:

Quando um site é bloqueado, é exibida uma mensagem como a mostrada abaixo, onde o usuário é informado que o acesso foi bloqueado e sugere que que solicite acesso ao adminsitrador para ter acesso ao site em questão. Veja:

A imagem acima é do Internet Explorer, mas testei também no Firefox e funciona sem problemas.

Se você quiser conhecer também, no link abaixo tem um tutorial da instalação:

http://www.microsoft.com/brasil/protect/products/family/onecarefamilysafety.mspx

Abaixo alguns links interessantes:

http://www.navegueprotegido.com.br/

http://www.internetsegura.org/

http://www.censura.com.br/

http://www.safernet.org.br/site/

Até a próxima!

O que são os ataques monitorados?

Os ataques por monitoração são baseados em softwares de monitoração de rede conhecido como “sniffer”, instalado sorrateiramente pelos invasores.

O sniffer grava os primeiros 128 bytes de cada sessão login, telnet e FTP session vista naquele segmento de rede local, comprometendo TODO o tráefgo de/para qualquer máquina naquele segmento, bem como o tráfego que passar por aquele segmento.

Os dados capturados incluem o nome do host destino, o username e o password. A informação é gravada em um arquivo posteriormente recuperado pelo invasor para ter acesso a outras máquinas.

Em muitos casos os invasores obtêm acesso inicial aos sistemas usando uma das seguintes técnicas:

• Obtêm o arquivo de passwords via TFTP em sistemas impropriamente configurados;
• obtêm o arquivo de password de sistemas rodando versões inseguras do NIS;
• Obtêm acesso ao sistema de arquivos local via pontos exportados para montagem com NFS, sem restrições;
• usam um nome de login e password capturada por um sniffer rodando em outro sistema.

Uma vez no sistema, os invasores obtêm privilégios de root explorando vulnerabilidades conhecidas, tal como rdist, Sun Sparc integer division e arquivos utmp passíveis de escrita por todo mundo ou usando uma password de root capturada.

Eles então instalam o software sniffer, registrando a informação capturada num arquivo invisível. Adicionalemtne , eles instalam cavalos de tróia em substituição dentre os seguintes arquivos do sistema, para ocultar sua presença:

/bin/login

/usr/etc/in.telnetd

/usr/kvm/ps

/usr/ucb/netstat

O que é Spoofing?

Certamente a fase que mais ouvimosde nossos pais quando somos criança – depois de “não faça isso” ou “não faça aquilo” é claro é: “não converse com estranhos”. Isso porque pessoas desconhecidas podem ter más intenções, ou querer se aproveitar de nós.

Num mundo de insegurança e guerras como o de hoje, confiar em quem conhecemos já é uma grande aventura, em quem nunca vimos então, é pedir demais.

Em networking (internet, ethernet, etc.), isso também acontece. Várias comunicações entre computadores se baseiam nesse princípio de “trusted hosts”, ou seja, “parceiros confiáveis”. Os computadores se comunicam sem a necessidade de uma constante verificação de autenticidade ente eles. Em certos sistemas, com a intenção de obter um melhor nível de segurança, o servidor de rede só libera a utilização de certos serviços a um número restrito e autenticado de usuários, que não são “estranhos” para ele. O método encontrado para furar este esquema é o de falsificar o remetente dos pacotes de dados que viajam na rede. Essa técnica é conhecida por spoofing.

Disfarce, é basicamente isto que o spoof faz. O ataque acontece quando o invasor fabrica um pacote contendo um falso endereço de origem, fazendo com que o host atacado acredite que a conexão está vindo de um outro local, geralmente se passando por um host que tem permissão para se conectar a outra máquina. Fica mais fácil com esse esquema:

Acesso confiável

Servidor 1 —————- Servidor2

O invasor irá dizer ao Servidor 2 que seu DNS/IP é o do Servidor 1, tornando possível a conexão;

“Por que eu não ouví meus pais?”

Vulnerabilidade

Esse método de ataque funciona porque os serviços de confiança das redes se baseiam apenas na autenticação de endereços. Como o IP pode ser facilmente mascarado, não há muito problema em aplicar essa técnica.

Todos os sistemas operacionais com TCP/IP podem ser vulneráveis a um spoofing. Mas MAC rodando A/UX e PCs rodando Linux podem estar vulneráveis sob certas circunstâncias: se estiverem utilizando o X-Window System, Serviços Remotos (R Services), ou algum tipo de NFS mal configurado.

A primeira etapa de um ataque por spoof é identificar duas máquinas de destino. Uma vez identificadas, o invasor tentará estabelecer uma conexão com o Servidor 2 de forma que ele acredite que ela vem do Servidor 1, quando na verdade vem de sua própria máquina, chamada de X. Isso é feito através da criação de um pacote falso (criado em X, mas com endereço do Servidor 1) solicitando conexão com o Servidor 2.

Depois de receber esse pacote, o Servidor 2 responderá com um pacote semelhante, que reconhece a solicitação e estabelece números de sequência. Essa é a parte mais trabalhosa do ataque, pois é preciso adivinhar o número de sequência que o servidor está esperando. Além disso, é preciso impedir que o pacote do Servidor 2 chegue até o Servidor 1.

Se isso acontecesse, o Servidor 1 negaria a conexão e o ataque falharia. Para isso, o invasor envia diversos pacotes a primeira vez para esgotar sua capacidade e impedir que ele responda a segunda vez. Uma vez que essa operação tenha chegado ao fim, a falsa conexão poderá acontecer.

A preparação do spoofing.

O spoofing só funciona se todas as máquinas participantes utilizem o FULL TCP/IP, esse ataque exige que os servidores rsh e rlogin e rexec estejam em execução no momento em que o IPSpoofing for realizado.

O Unix e suas variantes, como o Linux, oferecem estes serviços nativos no sistema operacional. Já o Windows não conta con nenhum destes serviços. Sendo assim, você deve utilizar o Linux em suas redes locais enquanto estiver experimentando o IPSpoofing.

Pode-se verificar se esses serviços estão disponíveis através de uma varredura de portas na máquina-alvo com os serviços:

512 – rexec

513 – rlogin

514 – rsh

Pode-se fazer esta varredura com o Nmap - http://nmap.org/

A sintaxe para utilização da varredura é

Nmap -O -p512-515 IP_DA_MAQUINA

Após o parâmetro -p, informe a porta a ser verificada. Já o parâmetro -O identifica o sistema operacional da máquina-alvo. Se for Windows, o IP não será usado neste método de ataque. Certamente não será possível realizar o spoofing através desta máquina. Um raro caso em que o Windows é mais seguro.

No caso de computadores que rodam Linux, ele identifica (com sucesso, na maioria das vezes) até mesmo a versão do kernel que está em operação. No entanto, um servidor bem configurado certamente irá identificar o IP de uma suposta invasão durante esse processo. Para evitar que isso aconteça, os hackers costumam usar os parâmetros -f durante o uso do nmap, de forma que o cabeçalho do endereço IP e os pacotes venham fragmentados, o que pode ser muito útil para que o hacker passe despercebido na hora de analisar um sistema.

Tipos de Ataque Spoofing

Os tipos de ataque que utilizam a técnica de spoofing mais conhecidos são:

• IP Spoofing
• ARP Spooging
• DNS Spoofing

- Arp Spoofing

Essa técnica é uma variação do ip spoofing, que se aproveita do mesmo tipo de vulnerabilidade, diferenciando apenas porque se faz na autenticação ARP, apesar de também ser address-based utiliza o endereço MAC (Media Access Control) ou o endereço físico do dispositivo, geralmente uma placa de rede.

- DNS Spoofing

Técnica muito simples, não requer grandes conhecimentos do TCP/IP. Consistem em alterar as tabelas de mapeamento de hostname-ipaddress dos servidores DNS, ou seja, seus registros do tipo host, de maneira que os servidores, ao serem perguntados pelos seus clientes sobre um hostname qualquer, informem o ip errado, ou seja, o do host que está aplicando o DNS spoofing.

Como a máquina alvo é derrubada

Isso pode ser feito através de várias maneiras, mas uma das mais utilizadas é o DoS (Denial of Service 0 Negação de Serviços). Este método consiste em sobrecarregar o computador alvo até que ele pare de responder. Por incrível que pareça esta é a parte mais complicada de todo o procedimento de spoofing. Uma vez que a máquina-alvo for retirada do ar fica fácil assumir seu enderço IP.

Uma das funções do DoS mais utilizadas é o smurf. Nesta técnica o invasor envia uma solicitação de ping em broadcast para a rede que será atacada.  Nesse caso o que vale mesmo é a largura de banda, que precisa ser maior do que a da máquina-alvo. Por esse motivo, dificilmente  um smurf parte de um único computador. Geralmente este procedimento necessita de um grupo de atacantes para concretizar a derrubada da máquina-alvo. Nem sempre um invasor dispõe de tanta ajuda assim para realizar um ataque. Para isto, utilizam-se de worms.

Mas o que são worms?

Os worms são pragas com código malicioso que se auto-propagam pela internet e adicionam entradas nos registros do Windows de usuários. Eles são transmitidos via e-mail, redes peer-to-peer, arquivos compartilhados infectados, messengers, etc. Tais oragas tiram proveito de backdoors e falhas de segurança em clientes de e-mail e sistemas operacionais para se multiplicarem pela internet.

Dentre as diversas formas de uso, no caso do smurf é utilizado da seguinte maneira: São espalhados pela internet, com instuções para dispararem comandos de ping em uma data e hora específica, realizando um ping em broadcast para a máquina-alvo, com o intuito de derrubá-la.

Outra técnica muito utilizada é o ataque pelo protocolo ICMP, que possui a vantagem em relação aos outros: não precisar de nenhum tipo de programação complexa. Através do Linux, em modo texto, é possível tirar uma máquina do ar com a linha de comando:

ping -t-l 1024 ENDEREÇO_IP

O ataque

A etapa mais difícil de ser realizada é a derrubada do alvo, uma vez que o IP da estação-alvo para de responder, é só rodar um programa que muda o endereço de sua requisição. Um exemplo desse tipo de software pe o Hijack.

Para utilizá-lo basta compilar o programa. É necessário que você tenha um compilador C (como o gcc, por exemplo) instalado em seu Linux. Confira agora como compilar:

gcc -o hijack hijack.c

Depois de fazer experiências de teste com o hijack, use o comando:

hijack host_confiável 23 endereço_alvo

Neste caso o host_confiável nada mais é do que o endereço que foi derrubado. Já o numero 23, que aparece logo em seguida, é a porta Telnet. Ela é necessária para que o IPSpoofing seja realizada com sucesso. Por fim o endereço-alvo é o IP do computador que será invadido.

Sendo assim, tudo o que o invasor precisa fazer é alterar as configurações deste comando para os dados referentes a máquina-alvo, e pronto: o spoofing está feito.

Como se proteger:

O procedimento de IP Spoofing é bastante complexo e pode causar muitos problemas aos administradores de sistema. Por isso é altamente recomendável que você proteja a sua rede antes que ocorra algum ataque.

Não existe uma solução definitiva que proteja esse tipo de ataque, pois o IP Spoofingé uma característica do TCP/IP. Tudo que ela faz é se utilizar dos recursos deste protocolo e enganar a máquina com a qual o invasor está realizando a troca de pacotes.

Podemos mencionar duas soluções que podem ser muito úteis para que isso não aconteça. A primeira delas é não utilizar os serviços rexec, rlogin e rsh, exceto se forem extremamente necessários.

Ssses serviços geralmente não são utilizados, pois facilitam invasões. Se esses serviços realmente forem necessários, implante uma política de segurança eficiente com o auxílio de uma ferramenta criada especificamente para esse propósito, as IDS (Intrusion Detection System – Sistema de Detecção de Intrusos). Você pode saber mais sobre estes sitemas no site www.snort.org

Links para utilitários de spoofing

http://insecure.org/sploits/ttcp.spoofing.problem.html

http://www.deter.com/unix/

http://all.net/

Referências

http://www.unixcities.com/dos-attack/index1.html

http://www.rnp.br/newsgen/0003/ddos.html

]]> http://ricardomartins.com.br/2009/12/10/sniffer-spoofing-ataques-monitorados/feed/ 2 http://ricardomartins.com.br/2009/09/30/microsoft-lanca-novo-anti-malware-gratuito/ http://ricardomartins.com.br/2009/09/30/microsoft-lanca-novo-anti-malware-gratuito/#comments Wed, 30 Sep 2009 10:34:45 +0000 Ricardo Martins http://ricardomartins.com.br/?p=1752 No dia 29 de Setembro a Microsoft comunicou o lançamento oficial do novo anti-malware para consumidores finais.  O Microsoft Security Essentials é uma solução gratuita de anti-malware disponível para clientes com Windows Original (XP, Vista e Windows 7). O produto protege sistemas contra várias ameaças como vírus, spywares, rootkits e trojans. A versão em português já está disponível, faça o download hoje mesmo em https://www.microsoft.com/security_essentials/

]]> http://ricardomartins.com.br/2009/09/30/microsoft-lanca-novo-anti-malware-gratuito/feed/ 0 http://ricardomartins.com.br/2009/09/09/novo-site-da-microsoft-oferece-informacoes-sobre-seguranca-online/ http://ricardomartins.com.br/2009/09/09/novo-site-da-microsoft-oferece-informacoes-sobre-seguranca-online/#comments Wed, 09 Sep 2009 12:34:29 +0000 Ricardo Martins http://ricardomartins.com.br/?p=1697 O novo site Microsoft Online Safety mantém os pais, professores e crianças em dia com as últimas novidades em segurança on-line e dicas.

Veja vídeos e interaja com os outras pessoas que estão preocupadas com a segurança online.

Obtenha conselhos sobre como proteger-se contra fraudes, como proteger os dados em seu PC e muito mais.

Se você encontrar um artigo útil, você pode facilmente compartilhar com outras pessoas no Facebook, Twitter, a rede do Windows Live e em outros lugares.

Como anunciado anteriormente, a Microsoft disponibilizou ontem para download o beta público do seu antivírus gratuito, o Microsoft Security Essentials Beta.

O Microsoft Security Essentials Beta oferece proteção contra uma grande variedade de ameaças, incluindo vírus, spywares e cavalos-de-Tróia.

O programa está disponível em inglês e português para os EUA, Brasil e Israel

Requisitos de Sistema para o Microsoft Security Essentials Beta:

* Sistema Operacional: Windows XP (com SP2 ou SP3; x86); Windows Vista (x86 e x64); Windows 7 (Beta ou Release Candidate; x86 e x64)
* Para o Windows XP, é necessário um computador com:
o Processador: 500 MHz ou mais rápido
o Memória: 256 MB de RAM ou mais

* Para o Windows Vista e Windows 7, é necessário um computador com:
o Processador: 1.0 GHz ou mais rápido
o Memória: 1 GB de RAM ou mais

* Vídeo: monitor com resolução de 800 x 600 ou superior
* Espaço livre em disco: 140 MB
* Acesso à internet é necessário para a instalação e download das definições mais recentes.
* Navegador:
o Windows Internet Explorer 6.0 ou superior
o Mozilla Firefox 2.0 ou superior

Você pode fazer o download em: http://www.microsoft.com/security_essentials/

Você pode encontrá-los aqui:

http://ricardomartins.com.br/2009/04/10/xo-pornografia-com-scrubit/

http://ricardomartins.com.br/2008/12/07/voce-conhece-o-opendns/

http://ricardomartins.com.br/2009/02/20/bloqueando-sites-na-unha/

http://ricardomartins.com.br/2009/03/19/bloqueando-sites-atraves-do-arquivo-hosts/

http://ricardomartins.com.br/2009/03/27/bloqueando-sites-atraves-do-arquivo-hosts-parte-3/

Hoje lendo meus feeds, encontrei um post do Catabits explicando como configurar o OpenDNS. Como tem uma explicação muito detalhada, achei interessante divulgar aqui.

Confiram no link:

http://www.catabits.com.br/blog/internet/protegendo-as-criancas-na-internet

O Windows possui uma ferramenta chamada Group Policy Editor, que permite que se façam alterações nas permições e políticas de segurança da máquina. Essa ferramenta permite ainda a criação de novos templates de segurança com um pouco de programação em que na sua maioria já se encontra pronta ou semi-pronta.

Primeiramente deve-se gerar um arquivo de template, que deve ser um arquivo do tipo Custom_Usb_ Policy_Teste.adm, feito no bloco de notas e salvo neste formato com texto em UNICODE. O código dentro do arquivo é o que segue:

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME “SYSTEM\CurrentControlSet\Services\USBSTOR”
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIREDVALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME “SYSTEM\CurrentControlSet\Services\Cdrom”
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIREDVALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME “SYSTEM\CurrentControlSet\Services\Flpydisk”
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIREDVALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME “SYSTEM\CurrentControlSet\Services\Sfloppy”
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIREDVALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY[strings]
category=”Custom Policy Settings”
categoryname=”Restrict Drives”
policynameusb=”Disable USB”
policynamecd=”Disable CD-ROM”
policynameflpy=”Disable Floppy”
policynamels120=”Disable High Capacity Floppy”
explaintextusb=”Disables the computers USB ports by disabling the usbstor.sys driver”
explaintextcd=”Disables the computers CD-ROM Drive by disabling the cdrom.sys driver”
explaintextflpy=”Disables the computers Floppy Drive by disabling the flpydisk.sys driver”
explaintextls120=”Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver”
labeltextusb=”Disable USB Ports”
labeltextcd=”Disable CD-ROM Drive”
labeltextflpy=”Disable Floppy Drive”
labeltextls120=”Disable High Capacity Floppy Drive”
Enabled=”Enabled”
Disabled=”Disabled”

Feito isso, deve-se ir em START, RUN e digitar o seguinte comando : gpedit.msc
Com isso a seguinte tela deverá aparecer:

Clicando com o botão direito do mouse em Administrative Templates, e posteriormente em Add/Remove Templates, abre-se uma nova janela:

Clicando em Add… e adicionando o arquivo criado anteriormente, a tela deve mudar para a seguinte:

Feito isso, clica-se em Close e o menu do Group Policy Editor deve ser igual a este:

Para que as opções apareçam corretamente deve-se clicar em View e desmarcar a opção que diz Only Show Policies That Can be Fully Managed. Com isso, agora fica muito mais fácil desativar e reativar o uso de pendrives, disquetes até mesmo o cd-rom. Basta entrar em cada uma das opções e fazer o seguinte :

Vale lembrar que este método, bloqueia acesso apenas a dispositivos de storage e sendo assim, dispositivos USB, como mouses, teclados e etc, funcionam normalente.

Obs.: Este turorial foi testado no Windows XP Professional. Acredito que no Windows 2000 também funcione. Apenas no Windows XP Home, ele não funciona pois o mesmo não fornece acesso ao gpedit.msc.

Este tutorial, foi feito baseando se nas informações obtidas em: http://www.petri.co.il/disable_usb_disks_with_gpo.htm

1. Bootar com o live-cd.
2. Descobrir em qual área do disco esta instalada a partição / (# cfdisk)
3. Criar um diretório – pode chamar de target (# mkdir /target)
4. Assumindo que a partição instalada no hd, esteja em hda1, monte a partição no diretório /target (# mount /dev/hda1 /target)
5. Acessar o diretório /target (# cd /target)
6. Alterar a partição / que está rodando do cd, para a partição raiz instalada no HD montada no /target (# chroot .)
7. Alterar a senha do root com o comando passwd (# passwd root)

Explicando o funcionamento:

Inicializaremos a máquina através da distribuição carregada à partir do cd. Nestes live-cd’s, o usuário disponibilizado é o usuário root.

Depois de montar a partição / do HD na pasta criada na ramdrive (/target), e tornar a mesma como partição / para o sistema que está rodando via cd (# chroot . ) , ganhamos acesso total ao sistema, pois estávamos rodando do cd como usuário root, e tornamos a partição raiz do HD, como a partição raiz do CD. Agora rodamos o comando passwd para trocar a senha do usuário root.

Obs.: Atentar para o (.) depois do comando chroot, pois ele indica para alterar a raiz para o diretório atual, e neste caso se faz necessário estar dentro do diretório desejado ( no nosso exemplo, o /target)

Introdução

Senhas são o ponto mais fraco em qualquer sistema de segurança. Isso acontece porque geralmente as senhas são definidas por seus usuários: pessoas que não tem idéia de como é fácil adivinhá-las e escolhem como senhas o nome da esposa/marido, o nome do cachorro, a data de casamento/nascimento, entre outros. Senhas que não usem caracteres especiais, números, letras maiúsculas e minúsculas, tenham uma quantidade grande de caracteres (com no mínimo 8 caracteres, por exemplo), correm o risco de serem quebradas por ataques de dicionário, também conhecidos como brute force.

Em ataques brute force, o atacante tenta adivinhar a senha por tentativa e erro testando várias combinações de usuários e senhas (disponíveis em listas que podem ser encontradas na Internet ou baseando suas tentativas em dados que conseguiu utilizando engenharia social ou por conhecer a vítima do ataque) para tentar logar em um determinado serviço no qual ele não tem autorização, obtendo um shell em um servidor por exemplo.

Efetuar este tipo de ataque é bem demorado e pode ser facilmente impedido por administradores que utilizem técnicas como limitar o número de tentativas erradas utilizando um determinado nome de usuário. Porém, existem várias ferramentas que fazem com que estes ataques sejam efetuados de modo mais eficiente.

THC Hydra
A que eu mais gosto, é o THC Hydra, desenvolvido pelo Van Hauser do THC.

O Hydra tem um desempenho muito bom (utiliza threads paralelas, dividindo as senhas e nomes de usuários entre estas threads diminuindo o tempo levado para ele conseguir adivinhar a senha) e consegue efetuar com sucesso ataques brute force nos protocolos TELNET, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco enable, LDAP2, Cisco AAA. Além disso, está em constante desenvolvimento e é completamente gratuito com o código-fonte 100% disponível. Ele ainda possui uma interface gráfica, o HydraGTK. Ela é completamente independente do software e não precisa ser compilada para que você consiga utilizá-lo. Porém, sem ela você só poderá utilizá-lo através da linha de comando.

Você pode utilizar o Hydra em qualquer Unix como Linux, *BSD, Solaris, etc; Mac Os/X; no Windows utilizando o Cygwin; em dispositivos móveis que utilizem processadores ARM e Linux e em dispositivos que utilizem o PalmOS.

Seguem os links para que você possa fazer o download:

• Para Unix: hydra-5.4-src.tar.gz
• Para Windows/Cygwin: hydra-5.4-win.zip
• Binário para o ARM: hydra-5.0-arm.tar.gz. Esta versão está um pouco desatualizada, mas em breve será disponibilizada uma nova versão.
• Binário para o Palm: hydra-4.6-palm.zip. A versão para o Palm é desenvolvida de forma independente das outras, portanto nem todos os protocolos são suportados e os updates não são muito frequentes.

Compilando e instalando

Dependendo do pacote que você escolher, será necessário que você compile o software. Algumas releases como a disponível para Windows/Cygwin e ARM já contém tudo compilado e pronto para o uso, com todos os módulos (no port para o ARM você não poderá usar o módulo para SAP R/3).

Se você escolheu o pacote para Unix, você precisará instalar todas as bibliotecas necessárias para compilar os módulos corretamente. O serviço não é tão difícil, já que ao executar o ./configure, já será mostrado um resumo dizendo as bibliotecas que faltam e onde encontrá-las. Seguem os passos necessários para compilar com sucesso o Hydra em qualquer *nix.

Faça o download do pacote hydra-5.4-src.tar.gz e descompacte:


tar xzvf hydra-5.4-src.tar.gz

Acesse o diretório que acabou de ser criado e:


cd hydra-5.4-src
./configure

Quando você executa o configure, algumas bibliotecas que são necessárias para alguns módulos como SSHv2 e PostgreSQL (libssh e libpq, respectivamente) são checadas e se não estiverem instaladas no sistema você deverá instalá-las na mão. A boa notícia é que o script já informa o site de onde você pode fazer o download e a maioria dessas bibliotecas já vem com instruções de como compilar. Vale a pena lembrar que, se você não quiser utilizar os módulos que precisam das bibliotecas, pode continuar a compilação normalmente: os outros protocolos irão funcionar sem problemas.

Depois que o ./configure terminar, só resta executar como root:


make && make install

Pronto! O Hydra já está instalado e pronto para ser usado!

Wordlists

Wordlists são, como o nome diz, listas gigantescas de palavras ou nomes de usuários que são utilizadas em ataques bruteforce. O Hydra não vem com nenhuma wordlist e não funciona sem uma, então você precisa dar um jeito nisso. Vou colocar alguns links com wordlists para você começar a brincar com o Hydra:

• http://www.outpost9.com/files/WordLists.html
• http://wordlist.sourceforge.net/
• http://www1.harenet.ne.jp/~waring/vocab/wordlists/vocfreq.html

Depois que você baixar as listas, junte todas em um único arquivo. No Hydra, você só pode especificar um único arquivo de wordlists para ser utilizado. Você pode usar o cat. Por exemplo:


cat substitua isso por todos os arquivos de wordlists que você tem >> wordlist2.txt

É útil também remover entradas duplicadas da sua wordlist, para não perder tempo tentando mais de uma vez uma senha que já não deu certo:


cat wordlist2.txt | sort | uniq > wordlistfinal.txt

Pronto, agora é só fazer o Hydra utilizar o arquivo wordlistfinal.txt como wordlist.

Utilizando o Hydra

O Hydra é bem fácil de ser utilizado. Você só precisa especificar o login (ou um arquivo com vários logins), a wordlist com senhas, o host e o protocolo. Se desejar pode fazer com que a saída do comando seja escrita em algum arquivo. Na linha a seguir, mostro o uso básico do Hydra:


hydra -l root -P ~/wordlistfinal.txt -o bruteforce.txt ftp.foo.bar ftp

A linha acima é bem simples. A opção -l diz que você quer fazer brute force em um usuário específico que você já sabe que existe (você poderia usar a opção -L para utilizar um arquivo com vários logins); a opção -P específica qual wordlist será usada para ler as senhas (você poderia usar -p se soubesse uma senha, mas não soubesse de qual usuário é); -o escreve a saída do comando no arquivo bruteforce.txt; ftp.foo.bar é o nome do host que iremos atacar e ftp é o protocolo que o Hydra deve usar.

Se você por algum motivo precisar interromper a sessão do Hydra, pode começar de onde parou utilizando a opção -R no mesmo diretório em que você interrompeu a execução anterior.

Outras opções úteis são:

• -s: Se o serviço estiver sendo executado em uma porta diferente, use esta opção para especificar a porta.
• -t: Indica a quantidade de conexões paralelas no servidor
• -M: Define uma lista de servidores a serem atacados

Como se proteger

Se proteger de ataques brute force não é tão difícil assim:

• Forçar utilização de senhas seguras nos seus servidores. Senhas com caracteres especiais, letras maiúsculas e minúsculas, números e um comprimento de pelo menos 8 caracteres.
• Determinar um número máximo de erros na tentativa de login.
• Sempre monitore os log’s procurando por tentativas de login que falharam muitas vezes.
• Onde puder, mude a porta padrão dos serviços sendo executados na sua máquina (por exemplo, se só você utilizar o SSH você pode mudar a porta dele de 22 para 45600, por exemplo. Isso diminui a incidência de ataques)
• Onde possível, especifique o IP de origem que pode estabelecer a conexão com determinados serviços

Como se vê, é bem simples melhorar a segurança de seus serviços. Isso é o mínimo necessário para não ter muita dor de cabeça com qualquer pessoa que saia usando o Hydra e seus similares por aí. Porém estas não são as únicas técnicas e também não excluem a necessidade de verificação contínua nos log’s e conexões estabelecidas no servidor procurando por atividades suspeitas.

Conclusão
O Hydra é talvez a melhor ferramenta para ataques de brute force: tem um ótimo desempenho, é multiplataforma e várias opções úteis, além disso está em desenvolvimento constante e novas versões são lançadas frequentemente (não há um ciclo de release definido).

Vale a pena aprender a utilizar a ferramenta (o que não é difícil) e utilizá-la em seus servidores para identificar pontos-fracos antes que alguém faça isso por você