Adorei este vídeo... Espero que gostem...
Beijinhos... Fefa
segunda-feira, 6 de junho de 2011
AMIZADE
Não é receber, é dar.
Não é magoar, é incentivar.
Não é descrer, é crer.
Não é criticar, é apoiar.
Não é ofender, é compreender.
Não é humilhar, é defender.
Não é julgar, é aceitar.
Amizade..
É simplesmente AMAR.
Desejo está mensagem as minhas queridas amigas... Que estiveram lado a lado desde início... Vocês são pessoas muito especias...
Adoro muito vocês meninas... Grande beijo... Meu e da Lali... =*
domingo, 5 de junho de 2011
quarta-feira, 16 de março de 2011
Meu Primeiro Cruzeiro Marítimo
Olá Pessoas!!!!! Saudades de vocês!!!
Marinheira de Primeira Viagem...rsrs
Acredito que fiz a escolha certa, tanto pelo passeio um tanto diferente dos comuns, quanto ao número de dias para uma primeira viagem de navio. Bom, uma coisa eu digo de coração: 80% das pessoas passam mal com o balançar do navio...rsrs...não vou mentir, eu também me senti um pouco mal, massss não tão mal...deu para agüentar de boa!! Minha amiga, tadinha, que quase surtou, acreditam que na primeira noite ela queria descer do navio e voltar para casa?? Aiaiai...essa passou mal mesmo, até devolver tudo o que comeu, tomar um dramin e dormir. Nossa primeira noite não foi muito agradável..rsrs...pelo menos ainda deu para curtir um bailão sertanejo...elaia....eu dancei e me diverti muito!!
Deixe-me começar do começo a minha aventura...o texto acima foi só uma prévia...
Como chegar ao Porto de Santos (Concais):
Melhor opção para os pobres como eu chegarem ao Porto de Santos (porque quem pode ‘$’ vai de carro, rs): Pegar um ônibus para Santos no Terminal Jabaquara e no Terminal de Santos pegar um táxi até o Porto de Concais.
Horário para chegar:
Por favor cheguem o mais cedo que puderem...senão vão enfrentar a filinha básica que eu peguei com mais de mil pessoas na minha frente!! Afff.....
Malas:
Antes de se dirigir a filinha básica passe pelo galpão das malas. Lá você deixa sua mala com os responsáveis para que eles a levem até a sua cabine. Sua mala será etiquetada e você receberá um ticket com o mesmo número de etiqueta. Fique só com sua bagagem de mão.
Check-in:
Depois de mais ou menos 3 horas de fila, enfim chega a minha vez de fazer o check-in...ufaaaaa.....vocês não imaginam a alegria deste momento...kkkk......
De posse do seu voucher e seu “RG super novo” juntamente com as pessoas que ficarão na mesma cabine que você, apresente-os a atendente e ela te dará um cartão magnético que em hipótese alguma poderá perder, pois este cartão te dá acesso a tudo no navio inclusive a sua cabine.
Obs: caso não tenha cartão de crédito internacional e tenha vontade de comprar algo no navio, antes de chegar a sua vez no check-in troque seus reais por dólares na casa de câmbio do porto...tudo o que você comprar no navio é pago em dólares!! Ah, o cartão de crédito deve ser registrado no momento do check-in.
Chegando no navio...uhuuuu....:
Após o check-in mais uma filinha...afff....não tem mais fim essas filas....uhggg.....agora vamos passar por um detector de metais...você e sua bagagem de mão...ufa ainda bem que não pediram para eu abrir a bolsa...rsrs....
Depois disso somos encaminhadas para um ônibus que nos leva ao tão esperado Navio!!!
Gente...como é grande este barquinho...rsrs...imensooooo!! São 12 andares e 4 elevadores para 1.800 pessoas...Daí você fica imaginando como pode um Navio tão grande e pesado flutuar no mar...rsrs...
Entrando no Navio....
Quando você finalmente entra no navio, passa seu cartãozinho magnético pela recepção, você é encaminhado a sua cabine, onde suas malas já estão à sua espera na porta. Então você troca sua roupinha, larga tudo na cabine e saí para comer e conhecer o navio...ah não esqueça de levar seu cartão..senão não entra na cabine...rsrs....
Na cabine você irá encontrar, seu diário de bordo(entregue todos os dias com os horários de tudo o que acontece no navio), suas toalhas, etc. E por falar em cabine...humm...a minha achei "show de bola"!! Bem ampla e confortável!! Amei!! No banheiro da cabine tem até secador de cabelo, mas detalhe, é mais lerdo que os do tempo da minha avózinha, rsrs....
Ah esqueci de um detalhe...antes de podermos explorar o navio, fomos avisadas pelo nosso camareiro Cláudio (rapaz muito simpático e muito prestativo) que deveríamos participar do exercício de salvamento...e lá fomos nós para o Cassino onde foi realizado o exercício...o exercício consiste em ensinar a usar o colete salva vidas...graças à Deus não foi preciso usá-lo...rsrs...esse laranja não combinava nada com minhas roupas...kkk
Explorando o Navio...
Uma coisa bem errada que eu e minhas amigas fizemos foi de entrar no navio de estômago vazio...acho que isso que desencadeou o mal estar na Fefe...com a correria e a ansiedade de entrar logo no navio, não almoçamos, entramos só com o café da manhã...
Depois do exercício de salvamento fomos procurar um restaurante...nossa que fomeeeee....tava quase desmaiando...até que encontramos um self-service hiper legal no deck 11 que foi o nosso principal point de refeições durante a viagem inteira...O Restaurante Caravelle que é o mais chique do navio é muito chato...não pode um monte de coisas, muita frescura para o meu gosto, não pode ir de bermuda, regata e chinelo (foi só o que eu levei, rsrs)....imagina ter que trocar de roupa toda vez que der fome, muita perca de tempo!! Ih tempo é o que não tínhamos a perder...rsrs....
Assim que terminamos de almoçar/jantar o navio começou a navegar....daí fomos explorar o que o navio tinha a oferecer...o local mais próximo de onde estávamos eram as piscinas...tava uma garoaaa...mas nem isso me impediu de apreciar a bela vista do mar...ih o navio navegando....tava um ventooo...até então minha amiga não tinha sentido nada ainda...rs....nem eu....kkkk....
Ficamos um tempo lá fora...agora é melhor entrar...ou não? Acho que não foi uma boa idéia...hummm......kkkkk....
Ih dentro do Navio...
Não tem como nem porque ficar entediado a bordo de um navio. Existem muitos locais e atrações para todos os gostos. Desde biblioteca, para aqueles que não deixam a "nerdisse" nem durante os passeios, até um grande e enorme Teatro.
Biblioteca
Teatro
Nessa hora nossos estômagos já estavam entrando em colapso...o mar tava bravoooo gente vocês não tem noção..estão vendo que a foto tá meia torta? Eu tô...parece até que tá balançando di novo...kkkkk.....A minha Amiga já estava a ponto de surtar...ai Deus...melhor sair daqui...rs....o melhor a fazer neste caso é balançar junto com o barquinho...então vamos sacudir o esqueleto no...
...Bailão Sertanejo - Plaza Café - deck 8
Ahhh, agora sim tô bem melhor....André e Tiago...ooo duplinha boa sô..rsrs...além de cantarem muito bem, são bem animados. Colocaram todo mundo pra dançar, ops quero dizer, quase todos pois minha amigas são bem tímidas, não quiseram me acompanhar, dancei sozinha!! snif, snif...
Depois que acabou o show, daí que minha amiga começou a quase surtar...queria descer do navio, voltar pra casa, etc
Nessa hora encontramos um Portuga muito simpático, acho que fazia parte da tripulação do navio, que nos ajudou com nossa Amiga...começou a falar várias coisas pra ela se tranquilizar, fez a gente rir bastante, adoreiii ele!! Mas mesmo assim, ela continuou mal, saímos um pouco para fora do navio respirar um pouco da brisa do mar, nem assim melhorou...então a levamos para a cabine para tomar outro dramin e dormir...como eu tinha tomado dramin e tava hiper cansada, acabei dormindo também...foi a melhor coisa, porque no outro dia acordei novinha em folha...rs...
No dia seguinte....em Angra dos Reis...
...Acordei e dei de cara com uma vista maravilhosa da minha janelinha...mesmo estando nublado é lindo, lindo...Será que estou sonhando??
Barquinho parado é hora de tomar aquele café da manhã...hummm que delícia gente...bão demais!!! Imaginem a cena...você tomando seu café da manhã olhando para esta paisagem...muito chique né?!
Terminado o café, pausa para fazer digestão, pois para chegar a ilha, temos que pegar outro barquinho e de estômago cheio não rola, melhor esperar um pouquinho para evitar acidentes...rs....
Ih na ilha de Angra dos Reis....mas especificamente ilha de Jaguanum...
Uhuuuuu......terra firmeeeee.....kkkk.
Nossa como é bom pisar na areia...rsrs...
Bom, essa ilha é bem pequena, deu para andar nela toda sem muito esforço. Ficamos lá até dar fome, daí voltamos para o navio para poder almoçar. Poderíamos até voltar para a praia depois do almoço pois os translados navio/praia iriam até as 18hs, mas tinha tanta coisa para se fazer no navio que preferimos ficar por lá. Ah, deixa eu contar...essa região de Angra é habitada por milhares de golfinhos, precisam ver que lindinhos!!
De volta ao navio....
Minha amiga um pouco melhor mas não 100% ficava com aquela cara de enjôo quase todo o tempo, daí um dos garçons nos aconselhou a comer Maçã. Genteeee.....nunca comi tanta maçã na minha vida.....kkkkk......não é que melhora o enjôo mesmo!!! Então era, maçã no café da manhã, maçã no almoço, no jantar e de madrugada também...rsrs....Teve um dia que o nosso camareiro nos deixou uma bandeja com maçãs na nossa cabine, quando chegamos da balada lá estavam elas, daí dá-lhe maçã di novo....kkkkk....Ah, água com gelo também é ótima!!
A tardezinha fomos ao show de pagode na piscina e logo que acabou o show teve um concurso intitulado de "Pernas Sexy" para homens é claro...kkkk....engraçado demais!!! Tinha até um Senhor muito simpático que também entrou na brincadeira dos meninos e adivinhem...ele ganhou o concurso!! rsrs....Como era parecido com o nosso ex-presidente, ganhou o apelido de "Lula"...rsrs....
Depois de rir muito com o pessoal na piscina fui para o café descansar um pouco e tomar um capuccino, que delícia!!! Me senti uma rainha sendo servida a todo instante, só não engordei porque dancei muitooo....rsrs....
Passeamos um pouco pelas lojinhas, só olhando né, porque não levei dólar para poder gastar, hunf...ah, no próximo eu levo...agora já sei como é...ih tô passando tudinho para vocês não ficarem perdidas como eu!!!
Ih o navio começou a navegar....xiiii....melhor voltar para a cabine antes que ele pegue velocidade e a gente não consiga tomar banho direito...é gente, o que me falaram sobre o banho é verdade: tomem banho com o navio parado viu!!! Hahaha...até parece que dá tempo!! Bom, já que andou a gente toma banho sentada né...ha descobri pra quê serve a cadeirinha no chuveiro...rsrs....
Anoitece no Cruzeiro das Loucas...kkkkk
Gente é muita diversão num cruzeiro, digo e repito: Vale muito a pena essa viagem!!!
Limpinhas e cheirosinhas é hora de curtir a night!! Ah vocês devem estar se perguntando..mas ih o jantar?? Humm...jantamos antes do navio navegar...por volta das 17:30...depois disso...só MAÇÃ.....kkkkkk.....
Bom, vamos ver o que temos para hoje....deixa eu pegar meu diário de bordo...olha...show Sertanejo em alto mar no Teatro Broadway - deck 8....hummm...lá mesmo que eu vou....
Foi show mesmo...lindo...lindo....com dançarinos e uma produção pra lá de especial...Ameiiii!!! Terminado o show por volta das 23hs...aaaahhhh ainda tá cedo....a noite é uma criança...mais uma festinha então? Bora lá...
Festa Tropical-deck 11-piscina...hum.....
Que festa bacana...decoração perfeita, com frutas ornamentais e tudo...divino...só teve um probleminha...bem na hora que o show começou, desabou uma chuva e todos tivemos que sair correndo de lá...ahhh.....mas isso não é problema...o pessoal é organizado e já tinham previsto a chuva. Mandaram todos irem para a Raimbow disco no deck 8 o point das baladinhas....ih lá fomos nós...ao som de muito axé, entrei no meio dos dançarinos e dancei madrugada a fora...já que minhas amigas não dançam, fiz de conta que fazia parte do balé deles e imitei todos os passos das danças...kkkk....muito divertido....o mais engraçado era quando o navio pegava uma onda maior...todo mundo ia de um lado para outro parecendo bêbados.....rsrs....ah tô nem aí de pagar mico, ninguém me conhece mesmo!! Quero mais é Viver!! Como diz a música: Viverrrr e não ter a vergonha de Ser Feliz!!!!
Chegada a Búzios....
Que sonho...gente este lugar é lindoooo!!!! Um mar de cor azul, azul...bem diferente das praias de Santos!!! Fiquei maravilhada!!
Pena que o tempo foi tão curto para aproveitar tudo isso...
Logo que descemos do barquinho, demos de cara com a rua das pedras...cheia de lojinhas...e adivinhem?!! Como boas paulistanas doidas por shopping, acabamos que passamos o tempo todo olhando todas essas lojas...rsrs.....
Búzios...prometo voltar só para visitar suas lindas praias...dessa vez não deu!!! snif, snif....Também quem mandou o navio estacionar bem no point de compras de Búzios....ahhh....rsrs...
Voltando ao navio...
Último dia no navio...temos que aproveitar né....ihh como é Carnaval...nada melhor que um Sambinha na beira da piscina, com um visual de fundo maravilhosoooo....
Ah e ainda teve uma brincadeira do Qual é a música? para divertir a galera...O pessoal do 'Staff' está de Parabéns...Renan e Iel são engraçados por demais!!
E depois descansar um pouquinho para a última noitada...rsrs....quero outra vida não!!! hahaha....
Como a noite é uma criança, deixa eu ver o que temos para hoje...humm....vamos para mais um espetáculo no teatro Broadway "A música na Sétima Arte!", um musical com os maiores sucessos do cinema...muito lindo...amei....
Ih para fechar a noite com chave de ouro...Festa Dancing Days no Salão Rendez - deck 7. Super dançante e divertido!!
Como vocês perceberam, só não se diverte em um navio quem não quer, opções tem de monte...
Acabou-ou, Acabouuuuuu.....ahhhhhh......
Ih como dizem: o que é bom dura pouco...acabou minha aventura...
Na noite anterior fomos avisadas que teríamos que deixar nossas malas para fora da cabine até as 3 da madrugada. Ficando apenas com nossa bagagem de mão.
Obs: essa fotinho aí do lado eu tirei da janela da minha cabine para vocês terem uma noção da velocidade do navio...
Ah detalhe super-hiper-importante: não esqueçam de deixar uma troca de roupa para desembarcar do navio, porque desembarcar de pijaminha não rola né...rsrs....
Devemos deixar a cabine as 8 da manhã, para que os camareiros possam arrumar para os próximos passageiros, e nos encaminhar para o salão da turma rosa, no nosso caso, para o teatro Broadway. Mas antes de irmos para lá, podemos tomar nosso último café da manhã no navio...aii aqueles croissants vou sentir falta deles.., bão demais!!
Bom, o navio atrasou sua chegada ao Porto de Santos, são só 16 horas de Búzios a Santos, portanto o horário de desembarque não foi cumprido conforme combinado, o que seria as 11:30 da manhã ocorreu as 13:30 da tarde....então como demorou fomos tomar mais um café da manhã...rsrs....
E assim termina minha aventura no Zenith....com gostinho de quero mais...ano que vem quem sabe....Soberano aí vou eu...Salvador me aguarde!! uhuuu.....
Ih aí galera, consegui convencer vocês a fazerem uma viagem de navio? :)
segunda-feira, 21 de fevereiro de 2011
Honeypot - Nepenthes
Como dito no post anterior esse é a minha parte do TCC que não foi para frente... por motivos que não explicarei... Mas que na minha opnião tá até que legal....
Os ** não fazem parte do TCC, que literalmente eu copiei e colei, são os meus comentários para o post....
Os ** não fazem parte do TCC, que literalmente eu copiei e colei, são os meus comentários para o post....
Honeypots
A tradução literal de Honeypots é “pote de mel”. São equipamentos dispostos em uma rede utilizados para atrair a atenção de alguém ou algo e com isso poder estudar como se deu o processo de acesso à máquina.
** Adorei essas figuras do site honeynet.org, acho que ilustra bem o que é uma honeypot... **
** O chapéuzinho preto (Black Hat) é o hacker do mal que foi atraído pelo servidor Honeypot... Ele efetuará todos os seus ataques nesse ambiente simulado...**
** Já nessa figura, a máquina do atacante está enviando as requisições de mensagens de ataque a honeypot que envia as respostas do servidor do Black Hat. Os clientes de honeypot enviam as informações coletadas para o servidor do White Hat, que é um hacker do bem, para a análise do ataque.**
Existem dois tipos de Honeypots: os de alta interatividade e os de baixa interatividade.
Alta interatividade
Honeypots de alta interatividade são computadores reais que possuem sistemas operacionais, serviços e aplicações. Podendo ser servidores de FTP, Web, SSH, entre outros.
Por serem máquinas reais, estas possuem mais riscos ao serem instaladas, pois podem ser utilizadas para atacar outras máquinas da rede em que está instalada ou até mesmo como máquinas zumbis.
Porém este tipo de honeypot é o que permite um maior estudo sobre como os ataques são realizados.
Baixa interatividade
Honeypots de baixa interatividade são computadores que simulam sistemas operacionais, serviços e aplicações.
É o tipo de honeypot mais seguro, pois por simular serviços não é possível realizar determinadas atividades que não esteja programada para simular. Essa é somente programada para responder as atividades dos invasores para que esses não possam descobrir que está invadindo um componente preparado para o seu ataque.
Nepenthes
Nepenthes é uma honeypot de baixa interatividade que emula as vulnerabilidades para a coleta de informações sobre potenciais ataques. Esse se utiliza de uma base de conhecimento sobre as falhas para interagir com os worms, efetuando o download de arquivos necessários e enviando ao invasor algumas informações para que este não perceba que está em uma honeypot.
Através da honeypot é possível compreender como é a propagação dos vírus, conhecer novos ataques para as antigas vulnerabilidades e descobrir tentativas de ataques feitas através de exploits verificando os logs gerados na honeypot.
Quando executado as capturas contra uma máquina real adquire-se novas informações sobre a tentativa de ataque e é possível desenvolver um meio do Nepenthes interagir com o novo vírus.
Devido à enorme quantidade de formas de propagação dos malwares, o Nepenthes possui diversos módulos:
- Resolvedor de DNS
- Emulador de vulnerabilidades
- Controlador de download
- Controlador de envio
- Acionador de eventos
- Manipulador de código shell
Histórico
Em meados de 2005, o Nepenthes começou a ser desenvolvido por Paul Dächer e Markus Kötter (Nepenthes development Team) e já em 2006, as equipes do Mwcollect e do Nepenthes anunciaram o fim da coexistência independente das duas ferramentas, fundindo as equipes.
O Mwcollect foi interrompido após a conclusão da versão 3.0.4. Onde o mwcollect.org se tornou uma comunidade para a coleta de dados sobre os malwares e o Nepenthes se tornou o software oficial utilizado para coleta de informações sobre os malwares, sendo parte do mwcollect.org. O Mwcollect Aliance utiliza o Nepenthes como sensores e estes estão espalhados pelo mundo todo coletando estatísticas sobre os ataques.
A Mwcollect auxilia na base de códigos usado para a coleta de amostras. O daemon mwcollectd foi interrompido e o Nepenthes foi publicado sob a licença GPL, em um repositório SVN público e um Trac para navegar pelas fontes.
O roteiro utilizado para a fusão dos projetos utilizados:
- Liberação de mwcollectd v3.0.4;
- Fusão das páginas do projeto, a instalação de novas mwcollect.org;
- Comunicação da Aliança entre os dois grupos.
Vantagens
- Software livre controlado pelo licenciamento GLP;
- Software conhecido e utilizado por diversas empresas e organizações como a CERT.BR;
- Honeypot de baixa interatividade, é vantajoso devido a emulação de máquinas reais, não permitindo a propagação dos vírus;
- Estrutura modular, devido a essa característica é possível acrescentar novos módulos para novas vulnerabilidades e pode ser customizável;
- Suporte em diversas plataformas:
o Linux
§ Debian
§ SuSE
§ Fedora 4
§ Fedora Core 6
o Mac OSX
o BSD
§ Free BSD
§ Open BSD
§ Net BSD
o Cygwin/Windows
Desvantagens
- Não programado para interpretar o novo protocolo de endereçamento IPv6;
- Devido a paralisação da atualização, somente é possível a coleta de vírus antigos.
Portas utilizadas
As portas utilizadas pelo Nepethes para a captura são as mais comumente utilizadas pelos vírus para o ataque.
Porta 21
Uso: Porta utilizada pelo protocolo FTP (File Transfer Protocol)
Vulnerabilidades: Basicamente as vulnerabilidades da porta 21 consistem em realizar um Buffer overflow na requisição de respostas ao FTP, podendo assim derrubar o serviço, consistindo no ataque de DoS (Deny of Service) e em alguns casos permitindo a execução de comandos arbitrários.
Registro na CVE | Descrição |
CVE-1999-82 | O comando do CWD ~root no ftpd permite o acesso da raiz |
CVE-1999-349 | Buffer overflow no serviço FTP do IIS com o comando de lista (ls) permite aos invasores executarem o ataque de DoS e em alguns casos a execução de comandos arbitrários. |
CVE-1999-1544 | Buffer overflow no servidor de FTP do Microsoft IIS 3.0 e 4.0permite que invasores locais e, às vezes remotos causem uma negação de serviço através de um NLST longa (ls) de comando. |
CVE-2002-73 | O serviço de FTP no Internet Information Server (IIS) 4.0, 5.0 e 5.1 permite que invasores que estabeleceram uma sessão FTP para causar uma negação de serviço através de uma solicitação de status especialmente criado contendo caracteres em massa. |
CVE-2003-853 | Um estouro no ls no fileutils ou pacotes coreutils pode permitir que usuários locais para causem uma DoS ou execute código arbitrário através de um valor grande-w, que poderiam ser explorados remotamente através de aplicações que usam ls, tal como o wu-ftpd. |
Além de ser utilizado pelo Nepenthes para a transmissão de logs capturados.
Porta 25
Uso: Porta utilizada pelo protocolo SMTP (Simple Mail Transfer)
Vulnerabilidade: Devido ao não tratamento do cabeçalho MIME, a má implementação da biblioteca SSL (Secure Sockets Layer) permite que invasores realizem solicitações ou comandos arbitrários para provocar o Buffer overflow causando o DoS.
Registro na CVE | Descrição |
CVE-2000-1006 | O não tratamento do cabeçalho MIME no Microsoft Exchange Server 5.5 de um conjunto caracteres em branco permite que invasores remotos causem um DoS através do commando charset = “”. |
CVE-2003-714 | O Internet Mail Service no Exchange Server 5.5 e Exchange 2000 permite que invasores remotos causem um DoS (esgotamento da memória), enviando diretamente solicitações ao SMTP que provoquem Buffer overflow . |
CVE-2003-719 | Na implementação da biblioteca SSL, permite que invasores efetuem comandos arbitrários nos pacotes de handshake do PCT (Private Communications Transportes). |
CVE-2004-120 | A biblioteca da Microsoft SSL, usado no Windows 2000, Windows XP e Windows Server 2003, permite que invasores remotos causem DoS através de mensagens malformadas no SSL. |
Utilizado pelo Nepenthes para a transmissão de logs capturados e envio de informações.
Porta 42
Uso: Porta utilizada pelo protocolo WINS (Windows Internet Naming Service )
Vulnerabilidade: O serviço WINS na Microsoft, o não tratamento correto dos pacotes e a não validação de nomes de computadores, permitem que invasores possam executar códigos arbitrários ou causar o DoS.
Registro na CVE | Descrição |
CVE-2003-0825 | O WINS para o Microsoft Windows Server 2003, Windows NT e Windows Server 2000 não valida corretamente o comprimento de alguns pacotes, permitindo que cause o DoS ou a execução de código arbitrário, em alguns casos. |
CVE-2004-0567 | O WINS no Windows NT Server 4.0 SP 6a, NT Terminal Server 4.0 SP 6, Windows 2000 Server SP3 e SP4 e Windows Server 2003 não valida adequadamente o valor do nome do computador no pacote WINS, permitindo a execução de códigos arbitrários ou DoS, resultando em um Buffer overflow das solicitações. |
CVE-2004-1080 | O serviço do WINS (Wins.exe) no Microsoft Windows NT Server 4.0, Windows Server 2000 e Windows Server 2003 permite um invasor escrever em posições arbitrárias da memória e executar código malicioso no sistema comprometido. Esse ataque é conhecido como "Association Context Vulnerability." |
Porta 80
Uso: Porta utilizada pelo protocolo HTTP (Hypertext Transfer Protocol)
Vulnerabilidades: Devido ao Buffer overflow ou a má implementação de algum componente, torna possível a execução de códigos arbitrários.
Registro na CVE | Descrição |
CVE-2003-0109 | Buffer overflow no ntdll.dll no Microsoft Windows NT 4.0, Windows NT 4.0 Terminal Server Edition, Windows 2000 e Windows XP permite que invasores remotos executem código arbitrário. |
CVE-2003-0533 | Utilizado pelo vírus sasser, consiste em fazer um Buffer overflow na pilha do AD (Active Directory) através de códigos arbitrários via pacote é possível ativar a função do DsRolerUpgradeDownlevelServer que gera um extenso log do LSASS (Local Security Authority Subsystem Service), o DCPROMO.LOG. |
CVE-2003-0719 | Durante a implementação da biblioteca SSL, permite-se que invasores efetuem comandos arbitrários nos pacotes de handshake do PCT (Private Communications Transportes). |
CVE-2003-0806 | Buffer overflow no processo de logon do Windows (Winlogon) no Microsoft Windows NT 4.0 SP6a, 2000 SP2 com SP4 e Windows XP SP1, quando um membro de um domínio permite que invasores remotos executem código arbitrário. |
CVE-2003-0818 | Overflow na biblioteca Microsoft ASN.1 (MSASN1.DLL), como LSASS.EXE, Crypt32.dll, e outros executáveis e bibliotecas do Microsoft Windows NT 4.0, 2000 e XP, permitem que invasores remotos executem códigos arbitrários através da codificação ASN.1 BER com campos muito compridos que fazem com que os dados heap sejam substituídos arbitrariamente ou as sequências de bits sejam modificadas. |
CVE-2003-0822 | Buffer overflow na funcionalidade de depuração em fp30reg.dll do Microsoft FrontPage Server Extensions (FPSE) 2000 e 2002 permite que invasores remotos executem código arbitrário através de solicitações particionadas. |
CVE-2003-0906 | Invasores executam códigos arbitrários através de imagens WMF (Windows Metafile) e EMF (Enhanced Metafile) malformados. |
CVE-2003-0907 | O suporte no Microsoft Windows XP SP1 não valida corretamente as URLs HCP, o que permite que invasores remotos executem um código arbitrário através de aspas de uma URL hcp://, as quais não estão projetadas para fazer o tratamento da lista de argumentos no HelpCtr.exe. |
CVE-2003-0908 | O Gerenciador de utilitários no Microsoft Windows 2000 executa winhlp32.exe com privilégios de sistema, o que permite ao usuário local executar códigos arbitrários através do ataque "Shatter" usando uma mensagem do Windows que acessa o contexto do botão de ajuda. |
CVE-2003-0909 | Windows XP permite que os usuários locais executem programas arbitrários, criando uma tarefa a um nível elevado de privilégio por meio da ferramenta de linha de comando eventtriggers.exe ou o serviço Agendador de Tarefas, ou "gerenciamento de vulnerabilidades do Windows". |
CVE-2003-0910 | A função NtSetLdtEntries na interface de programação para o LDT (Local Descriptor Table) no Windows NT 4.0 e Windows 2000 permite que invasores locais acessem à memória do kernel e executem códigos arbitrários. |
CVE-2004-0118 | O componente para a VDM (Virtual DOS Machine) subsistema no Windows NT 4.0 e Windows 2000 não valida corretamente as estruturas do sistema, permitindo que usuários locais acessem à memória do kernel e executem códigos arbitrários. |
CVE-2004-0119 | A interface negociadora do SSP (Security Software Provider) no Windows 2000, Windows XP e Windows Server 2003, permite que invasores remotos causem um DoS ou executem códigos arbitrários através de um pedido elaborado NegTokenInit SPNEGO durante a autenticação do protocolo de seleção . |
CVE-2004-0120 | A biblioteca Microsoft SSL (Secure Sockets Layer), usada no Windows 2000, Windows XP e Windows Server 2003 permite que invasores remotos causem uma negação de serviço através de mensagens malformadas SSL. |
CVE-2004-0123 | Dupla vulnerabilidade na biblioteca ASN.1 utilizada na Windows NT 4.0, Windows 2000, Windows XP e Windows Server 2003, permite que invasores remotos causem uma negação de serviço e, possivelmente, executar código arbitrário. |
CVE-2003-0109 | Buffer overflow no ntdll.dll no Microsoft Windows NT 4.0, Windows NT 4.0 Terminal Server Edition, Windows 2000 e Windows XP permite que invasores remotos possam executar códigos arbitrários. |
Porta 110
Uso: Porta utilizada pelo protocolo POP3 (Post Office Protocol - Version 3)
Utilizado pelo Nepenthes para a transmissão de logs capturados e envio de informações.
Porta 135
Uso: Porta utilizada pelo protocolo EPMAP (End Point Mapper)/Microsoft RPC Locator Service (Microsoft RPC Serviço de localização)
Registro na CVE | Descrição |
CVE-2003-0528 | Buffer overflow baseado em pilha DCOM (Distributed Component Object Model), interface do Serviço RPCSS, permite que invasores remotos executem códigos arbitrários através de uma solicitação de RPC malformada com um parâmetro de nome de arquivo longo. |
CVE-2003-0605 | A interface RPC DCOM no Windows 2000 SP3 e SP4 permite que invasores remotos causem um DoS, e os invasores locais utilizem o DoS para seqüestrar o tunelamento do epmapper para a obtenção de privilégios, através de determinadas mensagens para a interface RemoteGetClassObject que causem a reinicialização do ponteiro para ser passar para a função PerformScmStage. |
CVE-2003-0715 | Buffer overflow baseado em pilha DCOM (Distributed Component Object Model) interface do Serviço RPCSS permite que invasores remotos executem código arbitrário através de um pacote de solicitação de ativação objeto malformado ao DCOM DCERPC com campos de comprimento modificado. |
CVE-2003-0807 | Buffer overflow no DCOM Internet Services e RPC over HTTP Proxy permite que invasores remotos causem uma negação de serviço através de um pedido criado. |
CVE-2003-0813 | Uma condição na funcionalidade do Windows RPC DCOM instalada com o patch MS03-039 permite que invasores remotos causem um DoS, fazendo com que dois threads parem de processar na mesma solicitação RPC, fazendo com que o processo em execução use a memória mesmo após a liberação da memória. |
CVE-2004-0116 | Uma função de ativação no RPCSS com DCOM permite que invasores remotos causem um DoS por consumo de memória, através de uma solicitação de ativação de um campo de tamanho maior que o esperado. |
Porta 139
Uso: Porta utilizada pelo protocolo NETBIOS-SSN (NETBIOS Session Service)
No Nephentes somente é utilizado para responder as solicitações do NetBios.
Porta 143
Uso: Porta utilizada pelo protocolo IMAP (Internet Message Access Protocol)
Utilizado pelo Nepenthes para a transmissão de logs capturados e envio de informações.
Porta 220
Uso: Porta utilizada pelo protocolo IMAP3 (Interactive Mail Access Protocol v3)
Utilizado pelo Nepenthes para a transmissão de logs capturados e envio de informações.
Porta 443
Uso: Porta utilizada pelo protocolo HTTPS (HTTP em TLS/SSL)
Registro na CVE | Descrição |
CVE-2003-719 | Durante a implementação da biblioteca SSL, permite-se que invasores efetuem comandos arbitrários nos pacotes de handshake do PCT (Private Communications Transportes). |
CVE-2004-120 | A biblioteca da Microsoft SSL, usado no Windows 2000, Windows XP e Windows Server 2003, permite que invasores remotos causem DoS através de mensagens malformadas no SSL. |
Porta 445
Uso: Porta utilizada pelo microsoft-ds
Registro na CVE | Descrição |
CVE-2003-0818 | Overflow na biblioteca Microsoft ASN.1 (MSASN1.DLL), como LSASS.EXE, Crypt32.dll, e outros executáveis e bibliotecas do Microsoft Windows NT 4.0, 2000 e XP, permitem que invasores remotos executem códigos arbitrários através da codificação ASN.1 BER com campos muito compridos que fazem com que os dados heap sejam substituído arbitrariamente ou as sequências de bits sejam modificadas. |
Porta 465
Uso: Porta utilizada pelo IGMP em UDP para SSM
Registro na CVE | Descrição |
CVE-2003-719 | Durante a implementação da biblioteca SSL, permite-se que invasores efetuem comandos arbitrários nos pacotes de handshake do PCT (Private Communications Transportes). |
CVE-2004-120 | A biblioteca da Microsoft SSL, usado no Windows 2000, Windows XP e Windows Server 2003, permite que invasores remotos causem DoS através de mensagens malformadas no SSL. |
Porta 993
Uso: Porta utilizada pelo protocolo IMAP4 em TLS/SSL
Registro na CVE | Descrição |
CVE-2003-719 | Na implementação da biblioteca SSL, permite que invasores efetuem comandos arbitrários nos pacotes de handshake do PCT (Private Communications Transportes). |
CVE-2004-120 | A biblioteca da Microsoft SSL, usado no Windows 2000, Windows XP e Windows Server 2003, permite que invasores remotos causem DoS através de mensagens malformadas no SSL. |
Utilizado pelo Nepenthes para a transmissão de logs capturados e envio de informações.
Porta 995
Uso: Porta utilizada pelo POP3 em TLS/SSL
Registro na CVE | Descrição |
CVE-2003-719 | Durante a implementação da biblioteca SSL, permite-se que invasores efetuem comandos arbitrários nos pacotes de handshake do PCT (Private Communications Transportes). |
CVE-2004-120 | A biblioteca da Microsoft SSL, usado no Windows 2000, Windows XP e Windows Server 2003, permite que invasores remotos causem DoS através de mensagens malformadas no SSL. |
Utilizado pelo Nepenthes para a transmissão de logs capturados e envio de informações.
Porta 1023
Uso: Porta reservada no IANA
Vulnerabilidade: Porta utilizada pelo Sasserftpd é um vírus que se espalha pela rede, sendo inócuo para o computador, consumindo apenas a largura da banda da rede, causando lentidão na mesma.
Porta 1025
Uso: Porta utilizada pelo Blackjack
Registro na CVE | Descrição |
CVE-2003-0528 | Buffer overflow baseado em pilha DCOM (Distributed Component Object Model) interface do Serviço RPCSS permite que invasores remotos executem código arbitrário através de uma solicitação de RPC malformada com um parâmetro de nome de arquivo longo. |
CVE-2003-0605 | A interface RPC DCOM no Windows 2000 SP3 e SP4 permite que invasores remotos causem um DoS, e os invasores locais utilizem o DoS para sequestrar o tunelamento do epmapper para a obtenção de privilégios, através de determinadas mensagens para a interface RemoteGetClassObject que causem a reinicialização do ponteiro para ser passar para a função PerformScmStage. |
CVE-2003-0715 | Buffer overflow baseado em pilha DCOM (Distributed Component Object Model), interface do Serviço RPCSS permite que invasores remotos executem código arbitrário através de um pacote de solicitação de ativação objeto malformado ao DCOM DCERPC com campos de comprimento modificado. |
CVE-2003-0807 | Buffer overflow no DCOM Internet Services e RPC no HTTP Proxy permite que invasores remotos causem uma negação de serviço através de um pedido criado. |
CVE-2003-0813 | Uma condição na funcionalidade do Windows RPC DCOM instalada com o patch MS03-039 permite que invasores remotos causem um DoS, fazendo com que dois threads parem de processar na mesma solicitação RPC, fazendo com que o processo em execução use a memória mesmo após a liberação da mesma. |
CVE-2004-0116 | Uma função de ativação no RPCSS com DCOM permite que invasores remotos causem um DoS por consumo de memória, através de uma solicitação de ativação de um campo de tamanho maior que o esperado. |
Porta 1434
Uso: Porta utilizada pelo Ms-sql-m
Registro na CVE | Descrição |
CVE-2002-0649 | Múltiplos Buffer overflow s no serviço de resolução para o Microsoft SQL Server 2000 e Microsoft Desktop Engine 2000 (MSDE) permitem que invasores remotos causem uma DoS ou executem códigos arbitrários através de pacotes UDP para a porta 1434 em que o byte 0x04 que faz com que o thread SQL Monitor gere um nome longo para a chave de registro, ou o byte 0x08 com uma longa seqüência causa corrupção de pilha, como explorada pelo worm Slammer / Sapphire. |
CVE-2002-0650 | O mecanismo de keep-alive do Microsoft SQL Server 2000 permite que invasores remotos causem um DoS por consumo de largura de banda, através de um pacote do tipo "ping" para a porta UDP 1434, com um endereço IP falsificado de um outro sistema do SQL Server, fazendo com que os dois servidores troquem pacotes em um loop infinito. |
Porta 2103
Uso: Porta utilizada pelo Zephyr-clt
Registro na CVE | Descrição |
CVE-2005-0059 | Buffer overflow no componente de enfileiramento de mensagens do Microsoft Windows 2000 e Windows XP SP1 permite que invasores remotos executem códigos arbitrários através de uma mensagem criada. |
Porta 2105
Uso: Porta utilizada pelo minipay
Registro na CVE | Descrição |
CVE-2005-0059 | Buffer overflow no componente de enfileiramento de mensagens do Microsoft Windows 2000 e Windows XP SP1 permite que invasores remotos executem códigos arbitrários através de uma mensagem criada. |
Porta 2107
Uso: Porta utilizada pelo Bintec-admin
Registro na CVE | Descrição |
CVE-2005-0059 | Buffer overflow no componente de enfileiramento de mensagens do Microsoft Windows 2000 e Windows XP SP1 permite que invasores remotos executem códigos arbitrários através de uma mensagem criada. |
Porta 2745
Uso: Porta utilizada pelo Urbisnet
Vulnerabilidade: o vírus Bagle, é um worm de envio em massa que se espalha principalmente por e-mail, apesar de que em algumas variantes este também possa se espalharem por meio de redes peer-to-peer. O worm atua como um backdoor, permitindo que invasor acesse o computador que foi infectado. O backdoor pode ser usado para distribuir outros softwares maliciosos. Algumas variantes do Win32/Bagle pode infectar arquivos executáveis.
Porta 3127
Uso: Porta utilizada pelo Ctx-bridge
Vulnerabilidade: Utlizada pelo MyDoom, é um worms de envio em massa que se espalha principalmente por e-mail, apesar de algumas variantes também se espalharem por meio de redes peer-to-peer. O worm atua como um backdoor, permitindo ao invasor que acesse o computador infectado. O backdoor pode ser usado para distribuir outros softwares maliciosos. Algumas variantes do vírus Win32/Mydoom causam ataques de DoS contra sites específicos.
Porta 3140
Uso: Porta utilizada pelo Ariliamulti
Vulnerabilidade: Utlizada pelo Optix, esse worm é do tipo backdoor, ou seja, abre as portas da máquina, permitindo o acesso dos invasores remotamente. Através da porta aberta pode-se realizar:
Furto ou alteração de senhas ou arquivos de senha;
Instalação de software no host;
Instalação de software para registro de teclas;
Configuração de regras de firewall;
Roubos de números de cartão de crédito, informações bancárias, dados pessoais,...;
Exclusão ou modificação de arquivos;
Envio de material inadequado ou mesmo o uso da conta de e-mail da vitima indevidamente;
Modificação dos direitos de acesso a contas de usuários ou arquivos;
Exclusão de arquivos log.
Porta 3372
Uso: Porta utilizada pelo Tip2
Registro na CVE | Descrição |
CVE-2002-224 | O MSDTC (Microsoft Distributed Transaction Coordinator Service) do Microsoft Windows 2000, Microsoft IIS 5.0 e SQL Server 6.5 através do SQL Server 2000 permite que invasores remotos causem um DoS através da inserção de dados malformados. |
CVE-2005-1979 | O MSDTC permite que usuários remotos provoquem um DoS através de um comando inesperado durante a solicitação de reconexão, que não é tratado corretamente pela funcionalidade TIP (Transaction Internet Protocol ). |
CVE-2005-1980 | O MSDTC permite que usuários remotos provoquem um DoS através da elaboração de uma mensagem TIP, fazendo com que o DTC conecte-se repetidamente a um IP e a uma porta. Após as conexões ocorre o erro "Distributed Vulnerability TIP." |
CVE-2005-2119 | A função MIDL_user_allocate do proxy do MSDTC (Msdtcprx.dll) aloca uma página de 4K de memória, independentemente do tamanho necessário, permitindo que invasores substituam as posições de memória usando um valor de tamanho incorreto que é fornecido para a função NdrAllocate, gravando dados de gerenciamento de memória fora do buffer alocado. |
Porta 5000
Uso: Porta utilizada pelo Commplex-main
Registro na CVE | Descrição |
CVE-2001-0876 | Buffer overflow no Universal Plug and Play (UPnP) no Windows 98, 98SE, ME, XP permite que invasores remotos executem códigos arbitrários através de uma diretiva NOTIFY com uma URL longa. |
CVE-2001-0877 | O UPnP no Windows 98, 98SE, ME, XP e permite que invasores remotos provoquem um DoS através de uma propagação de uma informação falsa para que o cliente se conecte a um serviço de outra máquina para gerar uma grande quantidade de tráfego, ou através de um anúncio SSDP falso para endereços de broadcast ou multicast, causando em todos os clientes a solicitação UPnP para envio de tráfego para um sistema alvo. |
Porta 5554
Uso: Porta utilizada pelo sgi-esphttp
Vulnerabilidade: Porta utilizada pelo virus Sasser (W32.Sasser.A e seus variantes) exploram uma falha de segurança LSASS. O Sasser explora computadores com software não atualizados e esses computadores permanecem no risco de infecção até que a atualização seja instalada.
Este se espalha através de varreduras por IPs, infectando as máquinas vulneráveis. É inócuo para o computador, consumindo apenas a largura da banda da rede, causando lentidão na mesma.
Porta 6129
Porta para a administração do DAMEWARE
Vulnerabilidade: Trojan se utiliza da porta com o exploit para o Dameware.
Porta 10000
Uso: Porta utilizada pelo protocolo NDMP (Network Data Management Protocol)
Registro na CVE | Descrição |
CVE-2005-773 | Buffer overflow no VERITAS Backup Exec Remote Agent 9.0 ao 10.0 for Windows, e do 9.0.4019 e 9.1.307 para NetWare permitindo que invasores remotos executem códigos arbitrários através de um pedido CONNECT_CLIENT_AUTH no método de autenticação 3 (credenciais do Windows) e uma senha longa. |
Porta 17300
Não possui registro no IANA
Vulnerabilidade: Utilizado pelo vírus Kuang2, que é um backdoor que permite o invasor o acesso total a máquina. Esse vírus possui o modulo cliente que permite o controle total da máquina, desde apagar, realizar downloads e uploads de arquivos até a instalação do plugin do vírus que permite o roubo de senhas.
Porta 27347
Não possui registro no IANA
Vulnerabilidade: Assim como o vírus kuang2, o subseven ou sub7 é um backdoor que permite que o invasor tenha controle da porta. Este vírus permite que o invasor altere as configurações da porta utilizada, colocando senha para o acesso, notificação de quando o usuário estiver conetado.
Core do Nepenthes
Os componentes do core do Nepenthes são:
· Config File
· SocketManager
· ShellcodeManager
· SubmitManager
· EventManager
· LuaInterface
· ModuleManager
· DNSManager
· GeoLocationManager
Módulos do Nepenthes
download handler
** Troquei o nome do módulo para o original, que no trab tinha traduzido ele... Esse trecho é basicamente a documentação do site Carnivore que é o site oficial do Nepenthes**
Este módulo é o responsável por realizar o download dos arquivos, quando solicitado pelo invasor.
Nome do módulo | Protocolo suportado |
donwload_csend | csend |
donwload_curl | http/ftp |
donwload_tftp | tftp |
donwload_nepenthes | próprio do Nepenthes |
donwload_ftp | ftp |
donwload_http | http |
donwload_rcp | rcp |
donwload_link | linkbot |
donwload_receive | creceive |
submit handler
Esse módulo é responsável pelas respostas ao invasor.
· submit_file - grava os arquivos no disco local
· submit_norman - envia arquivos para “normans online sandbox”
· submit_nepenthes - envia arquivos para outras outras “caixas” rodando nepenthes
· submit_postgree - envia códigos binários para um servidor de dados postgresql
· submit_xmlrpc - envia arquivos para um servidor xmlrpc
· submit_gotek - envia arquivos para um servidor gotek
Shellcode handler
Módulo responsável pela analise dos códigos maliciosos enviados pelo invasor, podendo assim determinar como o honeypot deverá proceder.
· sch_generic_createprocess
· sch_generic_url
· sch_generic_xor
· sch_generic_linkxor
· sch_generic_stuttgart
· sch_generic_link_trans
· sch_generic_link_bind_trans
· sch_namespace
· sch_engine_unicode
Emulação do shell
Esse módulo possui suporte a todos os comandos do Windows NT, o nome do módulo é shellemu-winnt.
GeoLocationHandler
Esse módulo permite identificar a origem do IP.
· geolocation_hostip - permite localizar o IP desejado, através da latitude e longitude, utilizando o parâmetro &position=true no final da URL. Esse módulo se utiliza da URL http://www.hostip.info;
· geolocation_geoip - resolve um endereço IP para a localização usando o http://maxmind.com GeoIP services;
Resolvedor de DNS
Permite a resolução dos endereços IPs.
· dnsresolve_adns - resolve IPs usando o libadns
· dnsresolve_uns - resolve IPs usando o libudns
Bjs,
Assinar:
Postagens (Atom)