URLScan

URLScan é uma ferramenta de segurança da Microsoft que restringe com base em regras requests HTTP – muito provavelmente mal-intencionados – de serem executados. As regras incluem filtrar requests com variáveis com caracteres “estranhos”, com um conteúdo muito grande (na tentativa de um buffer overflow por exemplo), cabeçalhos anômalos, etc. Uma boa ferramenta.

Um pequeno problema é que a configuração padrão do URLScan bloqueia os requests que contenham pontos em seu endereço (exceto pelo nome do arquivo). E pontos no endereço é algo comum quando se utiliza a metodologia Fusebox; por exemplo, index.cfm?fuseaction=produto.home. Desse modo, aplicações utilizando Fusebox em um IIS com o URLScan podem não funcionar corretamente.

Para contornar esse problema, edite o arquivo {windows}system32inetsrvurlscanUrlScan.ini, e desligue a verificação de pontos:


AllowDotsInPath=1


Download: Windows XP SP2

Eu não deveria estar postando isso aqui, mas parece que a informação (e o link) já se tornaram públicos e a Microsoft autorizou (se você é cliente da MS como eu e recebeu uma informação diferente me corrija se estiver errado). Amanhã isso já não será novidade.

A Microsoft liberou o download do SP2 do Windows XP (apenas para Inglês e Alemão – por enquanto) para fabricantes de PC e “IT professionals” e “developers”. Se você é um deles, tem conexão de banda larga à internet, usa um Windows XP original e não aguenta mais esperar a disponibilização oficial (como eu), já poderá baixá-lo aqui (são 266Mb na versão network installation).

Windows XP Service Pack 2 Network Installation Package for IT Professionals and Developers


WinXP SP2: saiu ou não saiu?

A velocidade da Internet as vezes produz tais paradoxos:

Microsoft lança Service Pack 2 para Windows XP
Notícia publicada hoje as 17h57 no portal de Informática do Terra.

SP 2 do Windows XP pode sair só em outubro
Notícia publicada hoje as 09h30 no portal de Informática do UOL.

Só nos resta ir até o site da Microsoft para tentar descobrir qual das duas notícias é a verdadeira… (por enquanto) 😉

[UPDATE] e a resposta veio algumas horas depois:

SP2 do Windows XP sai sim, para fabricantes de PCs


Nossos japoneses são mais criativos que os japoneses dos outros

Brasileiro vence desafio hacker do SANS Institute


Patch para IIS 4.0

Se você ainda tem alguma máquina NT 4.0 rodando o IIS 4.0 (muita gente ainda tem) é bom dar uma olhada pois faz muito tempo que o produto não recebe um pacth de atualização como este.


HotBrick

Aqui a Amigos da Terra temos um sério problema de conectividade. Nossa sede fica numa casa de dois andares numa rua badalada (ao lado temos a F/Nazca, CasaBlanca e outras produtoras de TV metidas), sem falar nas clínicas de cirurgia plástica e consultórios de medicina esportiva onde os milionários do futebol aparecem para botar parafusos no joelho e tomar pílulas mágicas… Mas apesar de toda a badalação, não encontramos na rua um mísero cabo de fibra óptica. Como que para piorar, a casa não tem visada para nenhuma antena de microondas (não confundir com o acesso furréca do tipo provido por DirectNet, IP2, AJato e afins) e o famoso (e antigo) “par metálico” em esquemas LP, frame-relay estão caindo em desuso, e em alguns casos oferecem um custo/benefício pior ou idêntico aos sistemas ADSL/Cable disponíveis.

Conclusão: temos que usar os sistemas de banda larga “amadores” disponíveis aqui: Speedy e Vírtua (os únicos que atendem a nossa região em SP). Mesmo assinando os planos “empresariais” (que na verdade são embustes pois a tecnologia e o pseudo-atendimento são os mesmos) temos paralisações e problemas frequentes. Para tentar minimizar eventuais outages adquirimos dois planos de carriers/infras diferentes: um ADSL Speedy Empresarial de 600Kbps e um Cable Vírtua Empresarial de 600Kbps. Ok, ok, tudo bem, se um caminhão acertar o nosso poste a gente fica sem conexão de qualquer maneira, mas só pelo fato de não nos tornarmos dependentes de uma conexão/tecnologia já dá um grande alívio e nos dá um uptime aceitável: 99% das quedas de conexão são de natureza técnica na central telefônica/cabo e não no meio do caminho ou na ponta (aqui).

Como fazer com que estas duas conexões trabalhem simultâneamente e assumam a tarefa de uma e de outra caso uma destas falhe? Simples: usando um roteador com load-balancing, fault-tolerance, etc. Mas qual? Bem, durante dois anos usamos um produto da Symantec chamado Symantec Firewall/VPN Appliance 200R (detalhe: a Symantec usa ColdFusion em quase todo seu site), mas ele queimou duas vezes por problemas na rede do Vírtua, que praticamente não tem proteção contra surtos elétricos: o cabo coaxial é ótimo condutor de picos de corrente e tensão, queimando tudo o que vê pela frente.

Depois das duas queimadas e da elevação de preço astronômica do produto da Symantec no mercado (o appliance custa hoje cerca de 5 mil reais, quando nos EUA pode-se comprá-lo por cerca de 500 dolares), resolvemos partir para um novo produto/solução. Procuramos soluções em Linux mas apesar de serem viáveis, existia a necessidade da aquisição de uma máquina dedicada a isso (seriam cerca de 2 mil reais numa configuração modesta), mais o serviço de uma consultoria, visto que eu não conheço o ambiente Linux da maneira como gostaria a ponto de confiar meus conhecimentos em uma máquina de produção e de “frente” como um firewall/dhcp server/vpn/load-balancer/tudo-em-um como precisávamos.

Eis que procurando uma solução dou de frente com um post do Forta (pois é, as vezes a gente encontra soluções onde menos espera) sobre um novo player do mercado de appliances chamado HotBrick. No post Ben Forta desaconselha o uso do produto pois ele teve dificuldades para configurá-lo na sua rede e com sua operadora de banda larga.

Como diria o Fabio Terracini num e-mail: Minhas conclusões: (1) O Alex não acredita no Ben Forta: O Forta recomendou não utilizar os produtos dessa empresa e o Alex utilizou; (2) O Alex é melhor que o Ben Forta: O Alex conseguiu fazer funcionar, o Forta não. (3) O Alex possue um sentimento, mesmo que negativo (ao contrariar) em relação ao Ben Forta. (4) O Alex está com fome: já está pensando na pizza de sábado. (5) Não falei nenhuma novidade na frase anterior.

Bem da verdade eu sou bastante teimoso e resolvi encarar o dito cujo. Eis que depois de duas semanas de uptime, alguns tweeks de DNS (problemas com relay de DNS entre a rede Speedy e Virtua), alguns resmungos pela documentação ruim (original em inglês) estamos com o dito cujo em perfeito funcionamento e satisfazendo amplamente as nossas expectativas. Um detalhe: a conexão faisquenta do vírtua está amparada por um filtro de linha ethernet (algo que recomendo a todos que usam este sistema e tem appliances ou placas de rede caras na ponta). Em resumo: um belo produto e bastante completo em termos de recursos. Recomendo.

Uma fotinho do mesmo modelo usado pelo forta (600/2) no rack do nosso escritório:

hotbrick.jpg


Escolinha hacker

Depois das revistas e dos livros “universidades”, agora temos a “escolinha de hackers“.


Macacos me mordam: a dupla dinâmica (IE e IIS) ataca novamente!?

Ninguém estava entendendo nada muito bem. Primeiro notaram algo estranho, depois perceberam a ação viral, agora (quase três dias depois) começam a botar ordem na casa e entender o funcionamento do bicho e soltar informações mais detalhadas.

Se você administra servidores Windows 2000 com o IIS 5.0 e não deu uma olhada nos patches de correção disponíveis nos últimos meses (sei de gente que vê isso apenas duas vezes ao ano…) ou se usa qualquer versão do Windows com IE, com um anti-vírus furréca ou então seu Windows desatualizado (hei, aquele globinho azul que aparece no system tray é importante viu?!) devia ficar bastante preocupado:

Tudo sobre Scob e seu ataque a servidores da Internet

Não é brincadeira, muita gente grande está com seus sysadmins sem dormir desde sábado. É bom saber que eu não sou um destes… 🙂

Para usuários domésticos recomendo a leitura: http://www.microsoft.com/brasil/security/download_ject.mspx e http://securityresponse.symantec.com/avcenter/venc/data/download.ject.html se você já está infectado e quer tentar limpar o vírus sem reinstalar a máquina toda (como sugere o artigo traduzido no InfoGuerra), tente este technote e estas dicas aqui.


Coisas da vida

Desde o dia 19 tem um panaca tentando invadir duas máquinas daqui da Amigos da Terra, onde eu trabalho.

Fuçando um pouco, já descobri que esta pessoa não sabe fazer “coisa feia” na Internet… Deixou vários rastros (enquando escrevo-lhes, o sujeito está lá, tentando…) O tracert do IP da máquina leva a um lugar que me faz crer que a tentativa de invasão tenha algo a ver com isso aqui e também essa outra coisa aqui. Será inveja? Raiva? Sei lá, só sei que o cara não tem a menor competência para fazer qualquer mal, visto que já se passou uma semana e nada. Gastou banda e tempo à tôa. Os inúmeros logs (mais de 200MB) de tentativas inválidas de logon em contas como “sa”, “administrator”, “admin”, “hubner”, “alexhubner” e outras é de dar risada, haja incompetência!

Se eu fosse ele voltava ao trabalho… antes que eu comece a me incomodar com o volume de logs gerados (e o trabalho de deletá-los).


O Hpg, quem diria, hackeado…

Um belo exemplo de que usando “software livre” você não está absolutamente seguro (como alguns fanáticos gostam de alardear):

Site do hpG é pichado

Eu já tive belas experiências hackeando listas de discussão no velho (e famoso) Grupos.com.br. Mudar o ownership de listas requer apenas que você dê uma olhada no source dos HTMLs(!!)… Engraçado que isso ainda era possível até dois meses atrás (hoje não sei como está).