Meu primeiro plugin para o Nessus

Depois de alguns contratempos e um par de mensagens na lista plugins-writers, consegui colocar para funcionar o meu primeiro plugin para o Nessus!

Fazia algum tempo que não utilizava esse excelente scanner de vulnerabilidades. Resolvi instalar a versão mais atual (3.0.6), e daí a começar a brincar com a Nessus Attack Scripting Language - NASL - foi um pulo. A linguagem é parecida com Ce já possui uma série de bibliotecas e funções prontas para uso, e com ótimo suporte à expressões regulares.

Criei um script que checa se o servidor apache2 está fornecendo mais informações do que deveria. Por exemplo, a instalação padrão no etch forneceria as seguintes informações:

#lynx -dump -head http://alvo.com.br | grep Server
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch7

Dessa forma já saberíamos qual a versão do apache, qual o S.O, e a versão do php instalada. Isso diminui drasticamente o número de exploits que um possível invasor teria que testar.

Um servidor bem configurado deveria exibir pouquíssimas informações:

lynx -dump -head http://alvo.com.br | grep Server
Server: Apache

Seria um gnu/linux? Um BSD? Windows? E qual versão? Teria php habilitado?

Nessus plugin

Você pode baixar o plugin aqui. Basta adicioná-lo na pasta de plugins do nessus (/opt/nessus/lib/nessus/plugins/), e iniciar o nessusd com a opção -t, para que ele reescaneie a pasta (nessusd -t -D).

Pretendo criar alguns plugins para checar minha rede interna, mas vou publicando-os aqui a medida que estiverem disponíveis, até porque os mesmos são licenciados sobre GPL.  :)

Compartilhe!

Quinta, 27 de Dezembro de 2007 | Em Segurança, Software Livre | Seja o primeiro a comentar

Novos videos da campanha antispam do CGI.BR

Recebi um email do Cert.br informando sobre dois novos vídeos educacionais da campanha antispam do Comitê Gestor da Internet no Brasil (cgi.br). Os dois primeiros vídeos, que já havíamos mencionado aqui, trataram sobre o funcionamento da internet e os riscos aos quais os computadores estão submetidos. Com um pouco mais que seis minutos cada, tais vídeos abordam, com uma linguagem fácil e animações divertidas, os principais problemas que um usuário padrão encontra em sua vida online.

Spam A defesa

O terceiro vídeo chama-se Spam e mostra desde a origem desta palavra até os tipos mais atuais de lixo virtual, como spim (Spam via instant messenger) e até mesmo spit (spam via telefonia ip).

Já o quarto vídeo, A Defesa, mostra a importância da proteção na internet, com o uso de firewall pessoais, antivirus e sistemas antispam. Também alerta ao usuário sobre a questão da atualização dos programas: de nada adianta um antivirus se ele está desatualizado. É até pior, pois dá uma falsa sensação de segurança. Além disso, dá algumas dicas sobre privacidade na internet e melhores práticas de navegação.

 

Os vídeos estão disponíveis no formato wmv e mov, mas infelizmente em nenhum formato livre. Além disso, são três resoluções diferentes para download: 320×240, 480×360 e 640×480.

Já enviei um email ao grupo de trabalho antispam do CGI.br sugerindo que eles também liberem tais vídeos em ogg theora. Aproveite e também faça esta sugestão.

Compartilhe!

Quarta, 5 de Dezembro de 2007 | Em Segurança | Seja o primeiro a comentar

Lançada nova versão da Debian Policy

De acordo com a mensagem publicada por Russ Allbery na lista debian-devel-announce, está disponível uma nova atualização da Debian Policy.

A Debian Policy descreve os procedimentos necessários para o trabalho no Debian, incluindo a estrutura e o conteúdo do repositório, design e procedimentos técnicos que cada pacote deve  satisfazer para ser incluído na distribuição.

Compartilhe!

Segunda, 3 de Dezembro de 2007 | Em Debian | Seja o primeiro a comentar

Cowsay: por que esse povo gosta tanto de vaca?

Finalizando essa seqüência de posts estranhos sobre bovinos e Software Livre, encontrei mais um programa que faz apologia as vaqunhas. Falar em vaca lembrei até do famoso Cult of the dead Cow.

Pois bem, existe um programa chamado cowsay. Escrito em perl por Tony Monroe, que provavelmente é mais um fã dos ruminantes, este aplicativo faz coisas com ascii-art.

Coisas legais:

ederm@jennifer:~$ cowsay -f tux Adoro esse blog!

 __________________
< Adoro esse blog! >
------------------
   \
    \
        .--.
       |o_o |
       |:_/ |
      //   \ \
     (|     | )
    /'\_   _/`\
    \___)=(___/(era pra ser um pinguim)

E coisas bem estranhas:

ederm@jennifer:~$ cowsay -f sodomized Ande tonha!
_____________
< Ande tonha! >
-------------
     \                _
      \              (_)
        \   ^__^       / \
         \  (oo)\_____/_\ \
            (__)\       ) /
                ||----w ((
                ||     ||>>(que tipo de mente insana criaria isso???)

Entre as opções disponíveis estão:

apt, beavis.zen, bong, bud-frogs, bunny, cheese, cower, daemon, default, dragon, dragon-and-cow, elephant, elephant-in-snake, eyes, flaming-sheep, ghostbusters, head-in, hellokitty, kiss, kitty, koala, kosh, luke-koala, mech-and-cow, meow, milk, moofasa, moose, mutilated, ren, satanic, sheep, skeleton, small, sodomized, sodomized-sheep, stegosaurus, stimpy, supermilker, surgery, telebears, three-eyes, turkey, turtle, tux, udder, vader, vader-koala, www.

Nossa equipe, após longa busca no google/orkut/maps/beco da poeira/ conseguiu uma foto do autor, quando tinha 3 anos:

Por favor, vaquinha não!!!!

Vaquinha não! Vocês irão me pagar por terem feito isso comigo!

Façam um bem a humanidade. Não coloquem seus filhos em situações ridículas. Eles irão crescer e se vingar.

Além disso, se você conseguir encontrar alguma utilidade para esse programa (ou até mesmo para esse post), deixe seu comentário!

Compartilhe!

Domingo, 2 de Dezembro de 2007 | Em Aplicativos, Debian, Software Livre | Seja o primeiro a comentar

Ovo da páscoa no aptitude

No post passado vimos o ovo da páscoa no apt. Embora o aptitude diga que não tem poderes de Super Vaca, ele esconde sim um bovino em suas entranhas.

Mas você precisa insistir para descobrir:

m0204:/home/ederm# aptitude moo
Não existem Ovos de Páscoa neste programa.
m0204:/home/ederm# aptitude moo -v
Realmente não existem Ovos de Páscoa neste programa.

m0204:/home/ederm# aptitude moo -vv
Eu já não lhe disse que não existem Ovos de Páscoa neste programa ?

m0204:/home/ederm# aptitude moo -vvv
Pare com isso !

m0204:/home/ederm# aptitude moo -vvvv
Ok, ok, se eu lhe der um Ovo de Páscoa você irá embora?

m0204:/home/ederm# aptitude moo -vvvvv
Tudo bem, você ganhou.
                               /----\
                       -------/      \
                      /               \
                     /                |
   -----------------/                  --------\
   ----------------------------------------------

m0204:/home/ederm# aptitude moo -vvvvvv
O que é isso? Isso é um elefante sendo comido por uma cobra, é claro.

Hehehehehe

Fico intrigado de ser mais um ovo da páscoa com vacas. Será o criador do apt indiano?

Compartilhe!

Sabado, 1 de Dezembro de 2007 | Em Aplicativos, Debian, Software Livre | 2 Comentários

apt-get moo

m0204:/home/ederm# apt-get moo

         (__)
         (oo)
   /------\/
  / |    ||
 *  /\---/\
    ~~   ~~
...."Have you mooed today?"...

Pra eu não me esquecer dos ovos da páscoa contidos no Debian. :)

Só não entendo essa tara por vacas, mas tudo bem.

Compartilhe!

Sexta, 30 de Novembro de 2007 | Em Aplicativos, Debian, Software Livre | 2 Comentários

Prefeitura de Fortaleza lança Plano Diretor de Geoprocessamento, sob Creative Commons

Dando prosseguimento com suas iniciativas na área de Software Livre, a Prefeitura de Fortaleza acaba de lançar seu Plano Diretor de Geoprocessamento (PDGeo). Financiado pelo PNAFM, o projeto demorou mais saiu do papel.

O PDGeo busca identificar as demandas relacionadas ao Geoprocessamento no âmbito da Prefeitura Municipal de Fortaleza, tendo como principal enfoque um projeto corporativo que possibilitasse a integração de todas as bases de dados municipais através de um Banco de Dados Geográfico.

Havíamos comentado em nosso relato sobre o evento de conclusão do PDTI que toda a documentação de projetos seria divulgada sobre uma licença Creative Commons. Fico feliz que a Prefeitura tenha cumprido sua promessa: o PDGeo está disponível para download, através da licença Atribuição-Uso Não-Comercial-Compartilhamento pela mesma Licença 2.5.
Segundo a equipe que trabalhou no projeto, trata-se de um trabalho inédito, já que os demais PDGeos disponíveis se limitam às aplicações proprietárias e ignoram completamente os padrões abertos.

Baixe uma cópia do documento clicando aqui.

Compartilhe!

Quinta, 22 de Novembro de 2007 | Em Software Livre | Seja o primeiro a comentar

Como foi o Blogcamp Fortaleza

Ufa. Depois do fim de semana do blogcamp, a correria foi grande. Trabalhos na faculdade, viagem no feriado, projetos e mais projetos no trabalho. Felizmente sobrevivi. :)

Complementando o post inicial sobre o evento, estive presente durante todo o segundo dia, onde rolou muita coisa interessante.

Blogcamp-CE

o Incansável Ian Black tocou a tarefa de mediação da desconferência, e falou bastante das suas experiências com marketing viral, publicidade e monetização em blogs.

Tivemos também a presença de pessoas de outros Estados, como Cássio Neres, da Pax TI, e Sampson Moreira, do divertidíssimo inovavox. O Sampson é um cratense erradicado no Recife. Daí você tira o sotaque, também presente no blog.

Estiveram por lá:

O Gilberto, do uêba, juntamente com essa galerinha, foi um dos grandes responsáveis pelo evento.

Fica registrado o meu grande abraço a toda essa galera que fez com que valesse a pena passar um Domingo ensolarado dentro de um laboratório de informática.

Mais posts sobre o evento:

Compartilhe!

Quarta, 21 de Novembro de 2007 | Em Comunidade, Eventos | 2 Comentários

Um blog de brinquedo

Não lembro mais nem como foi que cheguei lá. Esse cyber-espaço tem dessas coisas, graças a maravilha do hyperlink.

O fato é que encontrei um blog de brinquedo. Ou um blog que fala sobre brinquedos. Enfim. Alguns dos que já apareceram por lá:

Kit quadribol
Kit de quadribol do Harry Potter - para quem gosta de esportes radicais

Alien feito de lego
Um Alien feito de LEGO - se você é criativo e paciente

Michael Myers
boneco do Michael Myers -dê um toque a sua mesa de trabalho

Mascara do jigsaw
mascara do jigsaw - Jogos Mortais. Para você imitar o seu serial killer predileto

E tantas outras coisas interessantes. Esse vai para a minha lista de feeds. :)

Compartilhe!

Sabado, 17 de Novembro de 2007 | Em Varios | Seja o primeiro a comentar

CCS Sandbox

Sempre que preciso mexer nos temas dos blogs ( blog.edermarques.net e administrando.net) é um Deus nos acuda. Se não fosse uma alma caridosa chamada Virgínia, eu estaria perdido.

Me peça para programar em Assembler, cozinhar um ovo no espeto, criar um plano de marketing ou mesmo criar um drink com três cores diferentes que eu desenrolo. Agora falou em arte gráfica e webdesign, é o caos.

Pense no sorriso quando, ao atualizar meus feeds, vi que o aurélio havia lançado um aplicativo onde você pode futricar até encontrar a formatação ideal, e que te gera o código resultante?

Trata-se do CSS Sandbox, que já faz sucesso na rede. Eu e meus amigos designers (que serão menos importunados por mim a partir de agora, hehehe) agradecemos. :)

Compartilhe!

Sexta, 16 de Novembro de 2007 | Em Aplicativos | 1 Comentário

« Previous Entries
Next Entries »
Fechar
Envie por e-mail