LGPD: O que você precisa saber para entender a Lei Geral de Proteção de Dados

 

O crescente uso de dispositivos inteligentes e IoT tem elevado exponencialmente a produção de dados no mundo.

Tratar essa montanha de dados é um prato cheio para as empresas obterem insights de negócio e avaliar o comportamento dos consumidores. Mas não para por aí, até mesmo os governos têm lançado mão dos bits para direcionar suas estratégias de estado.

Casos recentes protagonizados pelo ex-funcionário da NSA Edward Snowden e pela empresa Cambridge Analytica são demonstrações que excessos são cometidos.

Diante disso, vários países têm criado ou adequado sua legislação para dar mais privacidade e segurança aos dados de seus cidadãos.

Nesta corrida a União Europeia saiu na frente e emplacou em maio de 2018 a GDPR (General Data Protection Regulation) que serviu de inspiração para a nossa LGPD (Lei Geral de Proteção de Dados). 

O que é a LGPD - Lei nº 13.709?

É a Lei que regulamenta as atividades de tratamento de dados pessoais dos Brasileiros desde a coleta, passando pelo processamento e armazenamento até a sua destruição. Foi sancionada em agosto de 2018 e passou a vigorar em agosto de 2020.

O objetivo da LGPD é proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Na prática a LGPD responsabiliza as organizações pela ingerência ou uso abusivo de dados pessoais, afinal nossas informações dizem muito sobre nós e não queremos vê-las expostas ou sendo usadas sem nosso consentimento.

Vale ressaltar que ela se aplica ao universo online e offline. Isso significa que um hospital por exemplo, pode ser responsabilizado se deixar vazar laudos ou exames armazenados em arquivo físico ou digital da mesma forma.

O que são dados pessoais?

A lei caracteriza como pessoal qualquer dado que identifica ou que possa identificar uma pessoa.

 Dados Pessoais

---

• Nome
• Apelido
• Cookie (Navegadores)
• Telefone
• Endereço
• E-mail pessoal
• IP (Internet Protocol)

Parece simples, mas não é!

Imagine entrar no metrô e ser surpreendido por uma porta que usa tecnologia de reconhecimento facial para detectar emoções, faixa etária e gênero ao vermos um anúncio?

Não é um episódio de Black Mirror, esta tecnologia foi implementada na linha 4-amarela do metrô de São Paulo. O mais grave é que estes dados foram coletados sem ao menos o passageiro perceber.

Do mesmo modo, ao pedir comida por um app fornecemos sem qualquer preocupação o endereço da nossa casa, coordenadas de geolocalização em tempo real, e-mail, hábitos alimentares e tantas outras informações que possibilitam a empresa inferir a partir de cruzamentos, dados sensíveis como vinculações religiosas, estado de saúde, etc.

Neste sentido a LGPD pode ser um marco da mudança na forma como nos relacionamos com a informação. É fundamental lembrar que nossos dados somos nós no espelho. 

Dados Sensíveis

---

• Dados Biométricos e Genéticos
• Estado de Saúde
• Posicionamento Político
• Orientação Sexual
• Filiação Sindical
• Convicções Religiosas
• Origem Racial e Étnica

Por estarem associados à nossa vida social e profissional, apresentam maior risco se expostos.

 

Quem são os atores envolvidos na LGPD?

A lei caracteriza as responsabilidades de quatro atores diferentes: o titular, o controlador, o operador e o encarregado.

 Titular

---

Pessoa física ao qual os dados ser referem.

Controlador

---

Instituição (pública ou privada) ou pessoa física que decide como os dados serão tratados.

---

 Operador

---

Quem trata, manipula os dados.

 Encarregado

---

Auditor independente, indicado pelo controlador que estabelece ponto de contato entre o titular, controlador e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) cuja função será fiscalizar e regular a LGPD.

Quando tratar dados pessoais?

Os dados só podem ser tratados se houver uma finalidade específica definida na LGPD ou após consentimento do titular. Desta forma, as organizações devem informar claramente nos termos de uso e/ou política de privacidade o que será coletado e qual o objetivo do tratamento.

A permissão se dá:

 Mediante a consentimento do titular

---

Em sites é muito comum o uso de popups e caixas de seleção (checkbox ou opt-in) para solicitação de consentimento e aceitação da política de privacidade.

Para cumprir obrigações legais

---

Quando você compra um produto, por exemplo a empresa pode ser obrigada a capturar seu CPF para emitir nota fiscal em atendimento a legislação vigente

 Para pesquisas

---

Os órgãos de pesquisa estão liberados para tratar dados desde que garantido o sigilo do titular.

 Para desenvolvimento de políticas públicas

---

A administração pública poderá tratar dados para fins de execução de políticas públicas previstas em leis.

 Para cumprir contratos

---

Quando na contratação de um serviço pelo titular, um prestador terceirizado precisar tratar os dados.

 Para exercer direitos

---

Quando uma pessoa está demandando alguma ação judicial, administrativa, entre outras.

 Para proteção da vida

---

Profissionais da saúde em situações de risco e atendimento de emergência podem lançar mão dos dados pessoais do paciente.

 Por legítimo interesse

---

Para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. (há bastante discussão a respeito desse tópico).

 Para proteção de crédito

---

Na contratação de financiamentos, empréstimo ou compras a prazo o controlador poderá fazer consultas, armazenar e analisar dados pessoais do titular sem sua autorização.

Quais os direitos do Titular?

A qualquer momento o titular pode:

Solicitar confirmação se os seus dados estão sendo tratados.

Acessa-los de forma irrestrita.

Retificar ou corrigir dados incompletos ou desatualizados.

Pedir exclusão ou anonimização dos dados.

Solicitar portabilidade de um controlador para outro.

Revogar consentimento

Se opor a tratamento que não esteja em conformidade com a lei, que afetem seus interesses ou que visem definir personalidade, perfil de consumo, crédito, entre outros.

Receber explicação de critérios e procedimentos usados em tomada de decisão baseadas em tratamento automatizado.

Receber informação se seus dados foram compartilhados com entidades públicas e privadas.

Quais as penalidades?

Não cumprir a LGPD é um péssimo negócio. As empresas que não se preocuparem com a privacidade e a segurança dos dados, podem ser penalizadas em até 2% do faturamento do seu último exercício fiscal (limitado a R$ 50 milhões).

Os prejuízos vão além do financeiro. Ser visto como como uma empresa que expõem ou usa os dados dos clientes de forma abusiva pode arranhar de forma irreversível a imagem da marca.

O que fazer para se adequar a LGPD?

Não basta criar uma política de privacidade para o site. É fundamental colocar em curso um programa em privacidade de dados pessoais que envolva todas as áreas da empresa.

Trabalhar aspectos culturais é muito importante, pois de nada adianta adotar ferramentas tecnológicas robustas para proteção da rede, banco de dados ... se alguém pode imprimir arquivos repletos de dados pessoais e deixa-lo cair em mãos erradas.

Um bom começo é designar uma equipe multidisciplinar liderada por um gestor de projetos que entenda o negócio e possa conduzir a equipe em uma jornada de compliance definindo com clareza objetivos, metas, incentivos e KPI’s.

Saiba que este projeto não se faz sem investimento. Atualização tecnológica, treinamentos para transformação cultural e assessoria jurídica devem ser inseridos na planilha de custos. 

 

Fonte: Redes de Tecnologia

 

 

 

 

Admin nunca mais: senhas fáceis em roteadores são proibidas pela Anatel

Equipamentos não poderão ter senhas em branco, fracas ou idênticas a todos os outros. 

A Agência Nacional de Telecomunicações – Anatel publicou na última semana um ato proibindo o uso de senhas fáceis em roteadores de internet para aumentar a segurança dos equipamentos de internet no Brasil. Na prática, isso significa que os novos roteadores de WiFi e demais produtos de conexão à internet terão de ser mais seguros – passando longe da combinação comum de usuário e senha "admin".

Os equipamentos não poderão ter senhas em branco, fracas ou idênticas a todos os outros. Segundo a agência, o ato tem como principal objetivo "estabelecer um conjunto de requisitos de segurança cibernética para equipamentos para telecomunicações visando minimizar ou corrigir vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações". 

Para aumentar ainda mais a segurança, a Anatel prevê que os produtos devem forçar a troca da senha padrão logo na primeira utilização, avisando o usuário de qualquer alteração implementada durante atualizações. Além disso, os equipamentos precisam ter mecanismos automatizados e seguros para atualizações de software, informar ao usuário sobre as alterações implementadas nos updates e preservar as configurações pré-existentes após o procedimento de instalação. 

Outro ponto importante levantado pelo novo ato da Anatel é que, a partir de agora, foram estabelecidos critérios para a certificação e homologação de equipamentos que devem atender aos requisitos de segurança, que devem ser desenvolvidos usando o conceito de "security by design" – ou seja, um produto que desde o começo foi projetado para ser seguro e imune a invasões criminosas.

Fonte: Exame

O que é um "Zero-Day"

Zero-Day (ou 0-Day… ou ainda “Dia Zero”) é pura e simplesmente a estratégia por trás de grande parte dos mais bem elaborados ataques a sistemas computacionais da atualidade !!!
Sua definição é simples… os cenários de uso e o comportamento de quem os descobre (ou produz) é que potencializam os estragos de sua utilização e o tornam uma ameaça constante e perigosa.
Zero-Day é tão somente uma falha de segurança não explorada e não documentada, ou seja, um vetor de ataque (ferramenta e/ou método de exploração) contra a qual não existe correção conhecida (patches, service packs, hotfixies, recomendações técnicas) uma vez que o próprio desenvolvedor da solução ou quaisquer soluções de detecção e/ou correção de vulnerabilidades – a priori – não conhecem, ainda, a falha.
É algo como um vírus para o qual nenhuma empresa de anti-vírus tem vacina, ou uma falha explorável em um serviço de acesso remoto que, caso explorada, não vai ser reportada por nenhum sistema de detecção de intrusões uma vez que sua “assinatura” (identificação da vulnerabilidade) não é, ainda, conhecida.
Pois bem, se até agora você ainda não associou o termo Zero-Day às manchetes recentes vamos elencar somente algumas grandes “catástrofes” dos últimos tempos que usaram (ou cujas falhas por trás podem ter sido utilizadas):

HeartBleed
A vulnerabilidade na mais utilizada implementação do protocolo SSL (o OpenSSL) existiu por mais de 2 anos (isso mesmo!!! 2 ANOS) e, até ter sido divulgada e corrigida – no início de 2014 – pode ser considerada um Zero-Day disponível para todos os que dela tiveram conhecimento prévio.

ShellShock (BashDoor)
Divulgada em setembro/2014 essa gravíssima falha no Bash – interpretador de comandos (shell) mais utilizado em sistemas Unix/Linux – afetou (na verdade ainda afeta todos os sistemas que não a corrigiram) milhões de equipamentos em todo o mundo.

---

Em outros cenários o uso do Zero-Day tem sido ainda mais preocupante, como o uso na CyberWar (guerra cibernética entre países). Um dos primeiros ataques de grandes proporções (e consequências) envolvendo países, o StuxNet – onde um vírus/worm foi produzido para encontrar e comprometer equipamentos de controle de usinas atômicas do Irã – utilizou pelo menos 4 (quatro) Zero-Days !!! que exploravam falhas ainda não reportadas em sistemas Microsoft Windows para comprometer sistemas e realizar operações internas – nesse caso em específico acesso ao sistema de controle das usinas israelenses baseados no software Scada da Siemens.
Depois disso, utilizando a mesma estratégia, vieram outros ataques do tipo como o Duqu e o Flame… variam os interesses, os países envolvidos, os alvos, as estratégias, mas por trás de tudo, fazendo “o serviço pesado” está (ou estão) um ou mais Zero-Days .

---

Uma polêmica recente é o uso – por empresas que fazem pentests (testes de intrusão autorizados) – de exploits (softwares de exploração de vulnerabilidades) baseados em zero-day. O argumento é o de que caso o pentest tradicional não consiga comprometer o sistema do cliente, o pentester utiliza zero-days desenvolvidos (ou adquiridos) especialmente para essas situações.
Essa estratégia é contestável uma vez que os clientes que contratam pentests querem saber se seus sistemas estão vulneráveis a ataques “tradicionais” e, quando uma empresa de pentest não consegue por vias normais comprometer o sistema-alvo e utiliza-se de zero-days para isso, apesar de deixar uma “boa impressão” (já que mostrou que tem expertise para comprometer o sistema do cliente) a técnica utilizada, em si, comprometeria praticamente qualquer sistema, descaracterizando a essência da prática de pentests.
Polêmicas à parte, o fato é que com a utilização cada vez maior de Zero-Days nas mais diversas atividades relacionadas à busca de comprometimento de sistemas a coisa está virando literalmente “um mercado” atraindo desenvolvedores de exploits baseados em Zero-Days, e até o comportamento de pessoas conhecidas como “caçadores de vulnerabilidades” – que, em sua maioria, ao descobrir falhas procuravam os desenvolvedores dos códigos para reportá-las recebendo por vezes apenas os créditos da descoberta ou no máximo uma gratificação de empresas afetadas – vem mudando, uma vez que é mais lucrativo (embora de ética contestável) descobrir e vender (ou usar !?) por milhares de dólares a empresas, governos ou quaisquer interessados em utilizá-los em ataques.
Esse artigo não é conclusivo… a polêmica existe e está longe de terminar! O fato é que o Zero-Day chegou pra ficar (já existia, mas ficou mais evidente e lucrativo) o que termina por aquecer ainda mais o mercado de Segurança da Informação.

Fonte: Segurança de Redes

O que é um computador Zumbi e como se proteger

Computador zumbi é um termo empregado para classificar computadores utilizados para envio de spam e ataque a sites e servidores (ataque DDoS, por exemplo), sem que o dono do computador saiba de tal atividade.

Um hacker secretamente se infiltra num computador da vítima e usa-o para conduzir atividades ilegais. O usuário geralmente nem sabe que sua máquina foi invadida - afinal, ainda é possível usá-la, embora ela deva ficar consideravelmente mais lenta. À medida que seu computador começa ou a enviar quantidades massivas de spam ou a atacar sites, ele se torna alvo de qualquer investigação envolvendo as atividades suspeitas do seu computador.

Apesar do provedor de internet poder cancelar a conta de internet da vítima, seja por ordem judicial ou não, o hacker nem liga para a perda de um de seus zumbis, porque ele tem mais. Às vezes, ele tem muitos mais - uma investigação descobriu que um único computador de um hacker controlava uma rede de mais de 1,5 milhão de computadores.

Então como se proteger?

Aqui vai algumas dicas para se proteger dos ataques a seu computador:
1)Coloque senhas seguras em sua rede wireless - O invasor pode usar sua rede para enviar ataques DDoS;
2)Não abra links suspeitos - Dica clássica de só abrir links confiáveis;
3)Utilize bons antivírus e antispywares -  antivírus como o Kaspersky, o NOD32, o Avira, o Avast e o Comodo são ótimos antivírus. Malwarebyts, SUPERAntiSpyware e HitmanPro são ótimos antispywares.


Fontes: http://tiraduvidas.tecmundo.com.br/56409
http://informatica.hsw.uol.com.br/computador-zumbi.htm

Radius

Introdução

A administração e gestão de uma infraestrutura de rede nos dias atuais é algo complexo que envolve diversos mecanismos de funcionamento, protocolos e tipos de servidores, que visam aumentar a segurança interna e externa de uma rede de computadores.

De forma a se aumentar a segurança em um sistema de rede privado ou empresarial, foram implementados ao longo dos tempos várias soluções para o efeito, umas proprietárias e outras de código aberto (GPL), estas últimas permitindo uma maior flexibilidade no que se refere a configuração da pilha de protocolos TCP/IP, assim como toda a adaptação necessária aos próprios mecanismo de autenticação, sejam eles provenientes de redes LAN ou WAN.  

O RADIUS não sendo um protocolo propriétario de um fabricante específico é amplamente implementado hoje em dia em sistemas de redes de computadores, como exemplo tempos os roteadores, “gateways”, pontos de acesso em redes sem fio e servidores das mais váriadas marcas, Microsoft, Linux, Unix, CISCO, etc...

Este artigo aborda os aspectos preponderantes e objectivos de uma implementação em servidores Windows Server 2003/2008, configurações gerais a se ter e os principais conceitos detalhados para o bom funcionamento de um sistema baseado neste tipo de autenticação que é centralizado e seguro, assim como a adequação de recursos à gestão do modelo de autenticação RADIUS utilizando diferentes meios de acesso à rede.

1. RADIUS

Remote Authentication Dial-In User Service (RADIUS) é um sistema centralizado de autenticação para clientes. É frequentemente implementado para garantir um nível adicional de segurança em uma rede de computadores. Para se garantir uma autenticação de um cliente remoto em um Controlador de Domínio (AD), no próprio servidor de acesso remoto (RRAS) ou por último em um servidor RADIUS, é possível desta foma aumentar consideravelmente uma protecção contra intrusos ou usuários maliciosos dentro de uma rede por forma de one-way authentication, onde o usuário precisa pelo menos de saber um “username” e uma “passwrod”  para se poder autenticar no sistema. Não basta fazer parte do sistema, o usuário preciso de saber as credenciais e estar de acordo com as políticas internas da empresa para poder fazer parte dela.

1.1.1 MECANISMO

O mecanismo RADIUS serve para dar acesso remoto a usuários originais de ligações de Dial-Up, ligações por Virtual Private Network (VPN), Wireless Clients (Usuários de redes sem fio) ou por serviços de terminais.

Figura 1.1 – Gráfico com os vários tipos de cliente de acesso remoto
Extraído de e-Microsoft (Elements of a Network Access Infrastruture, 2009)

1.1.2 OBJETIVOS

RADIUS é conhecido como um servidor de AAA, os três A  significam autenticação, autorização ou controlo de acesso e contabilidade, também referenciado como auditoria. Ele tem a função principal de permitir  acesso a clientes remotos e separar os acessos internos dos externos.

Desta forma é possível centralizar toda a informação referente a autenticações, controlar quem tem determinadas permissões de acesso e quem está restringido, ficando por exemplo impedido de acessar à rede em um determinado horário ou dias da semana e criar estatística de acesso e de auditoria para futuros planejamentos da empresa, como expansões assim como tipos de comportamento por parte dos usuários. 

Figura 1.2 – Gráfico mostrando a importância do conceito AAA para o acesso remoto a um servidor RRAS que é controlado por um Controlador de domínio (AD).

Extraído de e-Microsoft (Concepts to Autenticated and Authorized, 2009)

1.1.3  PROTOCOLO E PORTAS TCP/IP

O protocolo RADIUS é conhecido como um padrão IETF (Internet Engineering Task Force), em geral um IETF é um padrão de Internet com especificações estáveis e bem compreendidas, tecnicamente competentes, com múltiplas implementações independentes e interoperáveis com substancial experiência operacional, que conta com o apoio do público no geral, e é reconhecidamente útil em algumas ou todas as partes da Internet.

Quanto às portas TCP/IP a Internet Assigned Numbers Authority (IANA) reserva as portas UDP 1812 para o serviço de autenticação do cliente no servidor de RADIUS e a porta UDP 1813 para o serviço de contabilidade. No entanto diversos servidores optam pela porta UDP 1645 para o serviço de autenticação e a porta UDP 1646 para o serviço de contabilidade por padrão.

Aqui um aspecto importante na implementação de portas TCP/IP é que um servidor cliente RADIUS tem que utilizar as mesma portas de um servidor RADIUS que recebe os pedidos, que no fabricante Microsoft é conhecido como Internet Authentication Service (IAS).

 2. AAA

Autenticação o primeiro A do triplo AAA, é uma forma da qual uma pessoa, usuário da rede ou não utiliza para provar a sua identidade em um sistema RADIUS.

Frequentemente este tipo de autenticação envolve somente o usuário ter conhecimento de um nome de usuário e uma senha para ter acesso sem restrição ao sistema. Outros processos de autenticação mais complexos, envolvendo outros factores de autenticação e de protecção de credenciais são implementados em ordem de promover uma protecção mais elevada à rede e protecção em relação ao “logon” de um usuário.

A intenção é sempre de provar que o usuário é realmente quem diz ser e justificar por meio de autenticação esse mesmo facto ao sistema que solicita esses dados, como por exemplo o mecanismo de RADIUS server.

2. 1. 1 DEFINIÇÃO DE FUNCIONAMENTO

Quando um mecanismo de RADIUS é implementado é importante entender os termos normalmente usados durante a sua implementação, o termo RADIUS Client por vezes gera confusão, pois pode-se pensar que é o cliente a tentar aceder à rede ou seja o usuário final estando incorrecto, este termo é usado para representar na infraestrutura de rede o servidor de acesso remoto (RRAS) e não o cliente final.

Para se definir o cliente ou usuário final dá-se o nome de remote access client (cliente de acesso remoto), sendo assim o servidor de acesso remoto passa a ser o cliente do servidor RADIUS que tem por nome IAS server nas implementações em servidores Microsoft.

 O usuário comunica diretamente com o RADIUS client e este comunica diretamente com o RADIUS server, conhecido como IAS server em implementações Microsoft, deste modo aumenta-se o nível de segurança, até porque as comunicações entre RADIUS server e RADIUS client podem ser encriptadas com hash MD5 aumentando ainda mais a integridade dos dados trafegados na rede.

Figura 1.3 – Gráfico mostrando os diferentes Players de uma ligação RADIUS
Extraído de e-Microsoft (Centralize Network Access Authentication, 2009)

 

CONCLUSÃO OU CONSIDERAÇÕES FINAIS

RADIUS é um mecanismo confiável que já deu provas de ser extremamente seguro e estável, o que na prespectiva de segurança de redes de computadores têm uma grande aceitação, precisamente por ser um padrão IETF onde se pode implementar em diferentes vendedores e sistemas, no mercado de TI.

O sistema também ganha grandes adeptos nas redes cooperativas sem fio, chamadas de Wireless Local Area Networn (WLAN), pois como estas redes de meios não guiados foram originalmente desenvolvidas para trafegar dados e não para garantir a segurança dos mesmos, revê aqui uma oportunidade bastante confiável para assegurar a autenticação em uma rede desta natureza.

Outro dos benefícios de se utilizar o protocolo RADIUS em vez de proprietários como o Terminal Access Controller Acess-Control System (TACACS+) utilizado pela CISCO é que é possível instalar diversos equipamentos de rede como servidores e roteadores sem a necessidade de um outro protocolo de rede, promovendo a comunicação entre ambas as partes envolvidas, desde o cliente até ao servidor RADIUS final, com isto, sem ser necessário a utilização de mais nenhum software adicional ou outro mecanismo de comunicação, pelo motivo de que originalmente os sistemas operacionais WINDOWS têm suporte a este protocolo, assim como os sistemas LINUX.

Contudo faz importância salientar que uma das diferenças mais significativas entre ambos, é que o protocolo RADIUS  não consegue separar os processos de Autenticação e Autorização dentro de uma arquitectura AAA, sendo mais adequado para permaner ativo nos equipamentos de rede, durante todo o tempo de conexão do usuário.

Já o TACACS+ separa os processos de Autenticação e Autorização e foi otimizado para controle de comandos de configuração e monitorização utilizando a porta confiável TCP 49 em vez das UDP já descritas no artigo.

Fonte: Projeto de Redes

Diferença entre Worms, Vírus e Cavalo-de-Troia

As principais vulnerabilidade para estações de trabalho de usuário final são worms, vírus e ataques de cavalo-de-Troia.

Um worm executa código e instala cópias na memória do computador infectado, o que pode, por sua vez, infectar outros hosts.

Vírus é um software malicioso anexado a outro programa com a finalidade de executar uma determinada função indesejável em uma estação de trabalho.

Um cavalo-de-Troia é diferente de um worm ou vírus apenas porque todo o aplicativo foi escrito para ser semelhante a alguma coisa, quando, na verdade, é uma ferramenta de ataque.

Worms

A anatomia de um ataque de worm é a seguinte:

• A vulnerabilidade de habilitação – um worm se instala, explorando vulnerabilidades conhecidas em sistemas, como usuários finais ingênuos que abrem anexos de executáveis não verificados em emails.
• Mecanismo de propagação – depois de obter acesso a um host, um worm se copia para esse host e, em seguida, escolhe novos destinos.
• Payload – depois que um host é infectado por um worm, o atacante tem acesso ao host, normalmente como um usuário privilegiado. Os atacantes poderiam utilizar uma exploração local para escalonar seu nível de privilégio até administrador.

Normalmente, worms são programas autossuficientes que atacam um sistema e tentam explorar uma vulnerabilidade específica no destino. Assim que houver a exploração bem-sucedida da vulnerabilidade, o worm copia seu programa do host de ataque para o sistema recém-explorado para começar tudo novamente. Em janeiro de 2007, um worm infectou a conhecida comunidade MySpace. Usuários confiáveis habilitaram a propagação do worm, que começou a se replicar nos sites dos usuários com a desfiguração "w0rm.EricAndrew".

A atenuação de ataques de worm exige diligência por parte da equipe administradora do sistema e de rede. A coordenação entre as equipes de administração do sistema, de engenharia da rede e das operações de segurança é essencial na resposta efetiva a um incidente de worm. Estas são as etapas recomendadas para a atenuação de ataques de worm:

• Contenção – contenha a difusão do worm na rede e dentro dela. Isole as partes não infectadas da rede.
• Inoculação – comece aplicando patches a todos os sistemas e, se possível, verificando se há sistemas vulneráveis.
• Quarentena – monitore todas as máquina infectadas dentro da rede. Desconecte, remova ou bloqueie máquinas infectadas na rede.
• Tratamento – Limpe e aplique um patch a todos os sistemas infectados. Alguns worms podem exigir reinstalações completas para limpar o sistema.

Vírus e cavalos-de-Troia

Vírus é um software malicioso anexado a outro programa para executar uma determinada função indesejável em uma estação de trabalho. Um exemplo é um programa anexado ao command.com (o interpretador principal de sistemas Windows) e exclui determinados arquivos, além de infectar todas as outras versões de command.com que conseguir localizar.

Um cavalo-de-Troia é diferente apenas porque todo o aplicativo foi escrito para ser semelhante a alguma coisa, quando, na verdade, é uma ferramenta de ataque. Um exemplo de um cavalo-de-Troia é um aplicativo que executa um simples jogo em uma estação de trabalho. Enquanto o usuário está ocupado com o jogo, o cavalo-de-Troia envia uma cópia para todos os endereços na agenda de endereços do usuário. Os outros usuários recebem o jogo e o executam, o que difunde o cavalo-de-Troia para os endereços em todas as agendas de endereços.

Um vírus normalmente exige um mecanismo de entrega – um vetor – como um arquivo zip ou algum outro arquivo executável anexado a um email, para transportar o código do vírus de um sistema para outro. O principal elemento que distingue um worm de um vírus de computador é essa interação humana necessária à facilitação da difusão de um vírus.

Esses tipos de aplicativos podem ser contidos por meio do uso efetivo de software antivírus no nível do usuário e, possivelmente, no nível da rede. Um software antivírus pode detectar a maioria dos vírus e muitos aplicativos de cavalo-de-Troia, além de impedir sua difusão na rede. Manter-se atualizado em relação aos desenvolvimento mais recentes quanto a esses tipos de ataques também pode levar a uma postura mais efetiva relacionada a esses ataques. Na medida em que novos vírus ou aplicativos de cavalo-de-Troia são liberados, as empresas precisam se manter atualizadas quanto às versões mais atuais do software antivírus.

Sub7, ou subseven, é um cavalo-de-Troia comum que instala um programa backdoor em sistemas de usuários. Ele é conhecido tanto por ataques não estruturados quanto estruturados. Por ser uma ameaça não estruturada, atacantes inexperientes podem utilizar o programa de forma que os cursores do mouse desapareçam. Como uma ameaça estruturada, os crackers podem utilizá-lo para instalar keystroke loggers (programas que registram todas as teclas pressionadas pelo usuário) para capturar informações confidenciais.

Fonte:  NO MUNDO DAS REDES

Protegendo o seu Sinal Wireless

Provavelmente o seu sinal wireless tem uma abrangência suficiente para conectar todos os dispositivos habilitados para a Web em sua casa, mas você sabe quem realmente está usando? Se você mora em uma casa no meio do nada, você é provavelmente o único a usar o roteador sem fio. Se você mora em uma área urbana, um prédio de apartamentos ou em qualquer casa com uma rua em frente, as pessoas poderiam estar roubando o seu sinal wireless.

Quem Rouba Sinal Wireless?
Alguns ladrões de wireless são simplesmente oportunistas. Seu vizinho possui um notebook e encontra sua rede sem fio desprotegida. Ele começa a enviar e-mail e visitar seus sites favoritos. Por que pagar por sua própria conexão quando ele tem o seu de graça? Se você vive perto de um café ou restaurante, as pessoas poderiam usar seu sinal wireless, pensando que é gratuito.

Usuários como este geralmente não representam uma ameaça aos seus dados, mas alguns deles poderiam deixá-lo com malware e vírus em sua rede. Se o seu provedor de Internet cobra pelo seu uso mensal de dados, você vai acabar pagando por tudo o exeder o seu limite de banda da internet.
O segundo tipo de ladrão sem fio é muito mais malicioso. Esta é a pessoa que procura ativamente as redes sem fio desprotegidas, em seguida, usa-los para carregar vírus, download de conteúdo ilegal ou roubar suas informações pessoais. Se os vizinhos são formigas em um piquenique, essas pessoas são as vespas, e você é alérgico. Uma vez que alguém tem acesso à sua rede sem fio, eles têm acesso a todos os computadores nele. Um hacker motivado pode descobrir rapidamente suas senhas e começar a roubar informações pessoais que podem ser usados para roubo de identidade.

Protegendo o seu Wireless e sua Rede
A primeira regra para se lembrar é que o sinal sem fio não termina na sua porta. Dependendo do tipo de roteador que você tem, o seu sinal sem fio pode estar disponível até 300 metros de distância de sua casa. Se você mora em um apartamento ou condomínio, suponha que todos no prédio tem acesso à sua rede. Manter usuários não autorizados fora necessidades a ser sua primeira prioridade.

Felizmente, o roteador sem fio foi construído com recursos de segurança para manter os usuários perigosas distância. Esses recursos só funcionam se você usá-los corretamente, então siga essas dicas sempre que instalar um novo roteador, e vê-los fora de uma instalação existente:

• Altere as configurações padrão. Cada roteador tem senhas de fábrica-estabelecidos como parte das configurações de segurança padrão. Adivinhem? Hackers conhecem essas senhas padrão. O primeiro passo para a segurança da rede sem fio deve estar a mudar as senhas.
• Altere o SSID do router. Um SSID ou Service Set Identifier, é o nome dado a uma rede. É como o nome de sua cidade natal, uma referência comum que todos os dispositivos de uma rede utilizam para saber onde eles estão. A maioria dos roteadores tem um nome de rede padrão definido na fábrica. Mudá-lo quando você alterar as senhas padrão; hackers veem nomes SSID predefinido como um sinal de falta de segurança de rede.
• Desligue SSID Broadcasting. Algumas redes podem relatar a disponibilidade do seu wireless em poucos segundos. Isso é ótimo para as empresas e as bibliotecas que oferecem redes sem fio, porque ele alerta o computador para a presença da rede. Em casa, você não precisa dele. Você sabe que a rede está lá. Difundir o SSID é dizendo a todos nas proximidades que ele está lá, e você não quer que todo mundo sabendo disso.
• Use filtragem de endereços MAC. Esta é uma opção de segurança que muitos usuários domésticos ignoram, porque essa implementação é demorada, mas é também uma das medidas de segurança mais fortes disponíveis. Cada dispositivo eletrônico tem um único endereço MAC, que funciona como uma impressão digital pessoal. Quando a filtragem é ativada, você fornecer os endereços MAC para os computadores, impressoras, sistemas de jogos de vídeo, etc., que podem se conectar à sua rede. Todos os outros dispositivos serão bloqueados. Pense nisso como uma lista VIP para uma festa privada.
• Use endereços de IP estáticos. Por padrão, roteadores sem fio são definidas para usar endereços IP dinâmicos, ou DHCP. Isso torna mais fácil para os dispositivos para se conectar à sua rede quando você ativá-los, mas também permite que qualquer pessoa possa descobrir a sua gama DHCP para entrar em sua rede. É melhor atribuir um endereço IP estático para cada dispositivo que você deseja se conectar. Trabalhando em conjunto com a filtragem de endereços MAC, isso vai manter os usuários não autorizados fora de sua rede.
• Ative criptografia. WAP e WEP são as duas formas mais comuns de criptografia usados em roteadores domésticos. Essas ferramentas embaralham os dados que viajam através da rede, permitindo que ele seja lido apenas por dispositivos que possuam a chave de criptografia. Lembre-se que cada vez que você usar a sua rede sem fio, os dados são enviados como um sinal de rádio. Um hacker com as ferramentas certas pode interceptar o sinal e roubar suas informações pessoais, sem nunca fazer logon em sua rede. Criptografia impede que seus dados possam ser lidos, mesmo se alguém está interceptando seus sinais.
• Monitore sua rede. Os roteadores sem fio pode ser configurado para alertá-lo cada vez que um dispositivo tenta se conectar à sua rede. Ative este recurso e mantenha ele ativo, de modo que você vai saber se os usuários não autorizados estão tentando entrar.

Adaptado de: Life123

Shellshock: falha de segurança grave no Bash

Foi descoberta uma perigosa falha de segurança grave no Bash.
O Bash é o shell padrão em muitos sistemas operacionais baseados em Unix, o que inclui distribuições Linux e o OS X. Red Hat, CentOS, Ubuntu e Debian já ganharam correções de segurança. Para descobrir se uma máquina é afetada, basta rodar o seguinte comando no terminal:
env x='() { :;}; echo vulnerável' bash -c "echo teste"
Se a palavra “vulnerável” aparecer, isso significa que a máquina está… vulnerável. Caso contrário, o Bash retornará uma mensagem de erro.

 

Como pode-se perceber na imagem acima, o computador está vulnerável. 

 

Como pode-se perceber na imagem acima o computador não está vulnerável.

Quando explorada, a falha permite que um código malicioso seja executado assim que o shell é aberto, o que deixa a máquina exposta a uma série de ataques. E inúmeros softwares interagem com o shell de diferentes maneiras — ele é frequentemente usado pelo Apache para gerar páginas dinâmicas, por exemplo, e a brecha também pode ser explorada por meio do OpenSSH, como informa o Ars Technica.
Pesquisadores dizem que a falha deve continuar “por anos”. As principais distribuições Linux já corrigiram o problema, e a Apple deve soltar uma atualização de segurança para o OS X, mas há inúmeros outros dispositivos que usam sistemas operacionais baseados em Unix e o Bash — como eletrônicos portáteis, câmeras conectadas à internet e muitas, muitas outras coisas (talvez até o seu roteador). Não é como se somente os administradores de sistemas tivessem que se preocupar com isso.

Extraído de tecnoblog

Backtrack - Tutorial de Teste de Invasão

Backtrack é considerado por muitos como a melhor distribuição de testes de invasão.

Requerimentos
Se não tiver uma máquina física para instalar o Backtrack você pode utilizar um programa de virtualização de SO, como o Virtual Box.

Passo 1: Coleta de Informações
O primeiro passo é a coleta de informações, reunir toda a informação da web sobre o vítima.
Você pode pegar o site e torná-lo site offline no seu computador para que você possa acessar localmente e identificar o site. HTTrack é uma ferramenta que pode copiar um site página por página e iremos utilizá-lo neste tutorial. Com HTTrack você pode fazer uma cópia offline do website da vítima.
Instalando HTTrack é fácil. Abra seu terminal e instalá-lo por tipo:
apt-get install httrack

Abra seu HTTrack usando o terminal e digite o nome do projeto, base part (um caminho onde você deseja salvar a cópia offline do site), e URL (site que você deseja copiar). Aguarde um momento, e você obterá cópia offline do site.

Agora vamos recolher outra informação. O Harvester é um script Python que permite coletar endereços de e-mail ou subdomínios que relacionados para o site da vítima e vamos usá-lo neste tutorial. Este script  vai usar o Google e Bing quando procurar por  e-mails, hosts ou subdomínio do website da vítima.

cd / pentest / enumeração / theharvester

. / theHarvester.py-d victimwebsite.com-l 10-b google.com

Passo 2: Escaneamento

Escaneamento de porta e as vulnerabilidades dos sistmas é o próximo passo desse tutorial. O escaneamento é muito importante porque a porta é um local onde se comunicam os softwares e hardware nas redes, por ela podemos verificar o  tráfego de dados.
 
Portas Comuns e Serviços
 Porta de Serviço20 FTP de transferência de dados21 FTP controle22 SSH23 Telnet25 SMTP (e-mail)53 DNS80 HTTP443 HTTPS

Ping
 Ping é uma ferramenta de rede usado para testar a acessibilidade de um host em um Protocolo de Internet (IP) e para medir o tempo de ida e volta para as mensagens enviadas para um computador de destino. (Wikipedia)
As portas podem ser TCP ou UDP e há 65,536 (0-65,535) portas em cada computador. O objetivo dos portos de digitalização é saber a porta "aberta". Assim, podemos saber quais os serviços utilizados no servidor.

Nmpa
Nmap é a ferramenta de verificação de porta muito popular e vamos utilizar neste tutorial. Ela é uma ferramenta muito importante para a segurança da rede.  
A maneira simple de utilizá-la é: nmap-p-IP 

Vulnerabilidades do escaneamento
O objetivo dessa etapa é procurar vulnerabilidades no sistema para que possamos atacá-lo com o exploit adequado. Precisamos de ferramenta para fazer a varredura em busca de vulnerabilidades nos sistemas. Uma ótma ferramente á o Nessus, é ele que vamos utilizar nesse tutorial.

Passo 3: Exploração 
Você pode usar  os programas Metasploit ou Medusa, iremos utilizar o Medusa.
Medusa é uma ferramenta de brute force que tenta obter acesso a serviços remotos (FTP, HTTP, MySQL, Telnet, VNC, formulário Web, e muito mais). Antes de utilizá-la precisamos de algumas coisas necessárias. Precisamos alvo IP, lista de nome de usuário e um dicionário/lista de senhas.Backtrack inclui uma lista de palavras que você pode usar para força bruta. Podemos encontrá-lo em / pentest / passwords / wordlists /A fim de usar Medusa para ataque de força bruta, você pode abrir terminal e digite o seguinte comando:medusa-h target_ip-u username-P path_to_password_dictionary-M service_to_attack 

Dessa forma  a ferramenta/programa testará todas as senhas que estão na lista de senhas até encontrar uma compatível com o login do site da vítima. 

Traduzido e adaptado de http://back-track-linux.blogspot.com.br/2012/11/backtrack-penetration-testing-tutorial.html em 17/01/2013 

RAID

RAID é a sigla para Redundant Array of Independent Disks. Sua definição em português seria "Matriz Redundante de Discos Independentes".

É uma tecnologia que "une" vários HDs formando assim uma única unidade lógica, é um conjunto de HDs que funcionam como se fossem um só, dependendo do nível ele cria espelhamento de todos os dados, etc..

Tornando dessa maneira o armazenamento de dados mais seguros, tanto contra falhas de software como falhas físicas, entre outros benefícios.

O RAID trabalha em vários niveis. No arquivo abaixo pode-se visualizar uma apresentação que tive à uns 2 anos atrás no curso que fazia de graduação, nessa apresentação há detalhes sobre os níveis.
CLIQUE AQUI PARA BAIXAR A APRESENTAÇÃO

Criptografia com GnuPG

O GNU Privacy Guard (GnuPG ou GPG) é uma alternativa de software livre para a suíte de criptografia PGP, liberado sob a licença GNU General Public License. Ele é parte do projeto GNU da Free Software Foundation e recebe a maior parte do seu financiamento do governo alemão. O GnuPG é completamente compatível com o padrão IETF para o OpenPGP.

1)Instalação do GPG
Primeiramente é necessário instalar o GPG (www.info.abril.com.br/download/5293.shtml). Faça a instalação no local-padrão de seu PC (por exemplo: C:\Arquivos de programas\GNU\GnuPG). Não é preciso alterar nenhuma opção durante a instalação. Reinicie o PC e rode o aplicativo WinPT, no menu do GPG.

2) Criação das chaves

Agora devemos criar as chaves pública e privada do GPG, para criptografar e assinar as mensagens. Para isso, selecione Generate a GnuPG Key Pair. Pressione OK. Tecle, então, seu nome e o e-mail que será usado com a chave, clicando em OK depois disso. A seguir, digite a senha da chave. É importante que ela seja longa (no mínimo oito caracteres) e difícil de quebrar. Pressione OK, tecle a senha novamente e clique em OK.

3)Backup


É importante manter um backup das chaves do GPG. Se elas forem perdidas, não será mais possível desembaralhar os e-mails já enviados ou recebidos. O processo de criação das chaves permite fazer isso agora, pressionando o botão Sim. Escolha um drive onde ficam outros backups — ou um pen drive para permitir o uso das chaves em qualquer lugar — e clique em Salvar. Depois disso, será mostrada a tela principal do gerenciador de chaves do GPG, com o item recém-criado. Clique no botão X para minimizar o gerenciador para a área de notificação.

4) Extensão FireGPG

O próximo passo é instalar a extensão FireGPG no navegador Firefox. Para isso, acesse www.info.abril.com.br/download/4844.shtml e, ao chegar à página do produto, clique no botão de download. Será mostrada uma mensagem do Firefox indicando que a instalação da extensão foi bloqueada. Pressione, na barra que surgiu, o botão Editar Opções. Na janela que aparece, pressione Permitir. Clique no botão de download do programa novamente. Espere alguns segundos e pressione o botão Instalar Agora. Depois, reinicie o Firefox.

5) Configuração

Com o Firefox aberto, clique com o botão direito do mouse em qualquer local numa página da web e escolha FireGPG > Opções. Na janela que aparece, passe à seção GPG, marque o item Especificar Manualmente a Localização do GnuPG e pressione o botão Configurar a Localização do GnuPG. Localize a pasta onde o GPG foi instalado, clique no arquivo gpg.exe e pressione Abrir. Clique no botão OK para confirmar as mudanças.

6) Teste de funcionamento

Abra o Gmail no Firefox. Ao criar uma nova mensagem, verifique se os botões de acesso rápido ao FireGPG são mostrados. Eles permitem assinar e criptografar a mensagem, com envio automático ou não. Escreva algo no corpo da mensagem e clique no botão Cifrar. Note que o texto fica embaralhado.

7) Outros serviços

O FireGPG também funciona para desembaralhar dados em outros serviços de webmail. Para fazer essa operação, basta selecionar todo o texto criptografado, incluindo os cabeçalhos (ou seja, com as linhas Begin GPG Message e End GPG Message), clicar com o botão direito na página e acessar FireGPG > Decifrar. Será mostrada uma janela com o texto desembaralhado.

Adaptado de: http://info.abril.com.br/dicas/internet/email/proteja-as-mensagens-do-gmail-contra-crackers-e-arapongas.shtml

Samba com LDAP

1 - Instalando Samba com LDAP

• O objetivo deste artigo é explicar o processo de instalação do servidor Samba atuando como PDC e utilizando o OpenLdap como backend (banco de dados).

2 - Contexto da instalação:

Este é o contexto utilizado neste documento.

• Debian 5.0 - Lenny
• Linguagem: pt_br
• Endereço do servidor remoto: 10.1.0.17
• Principais pacotes a serem instalados:
  • slapd
  • ldap-utils
  • phpldapadmin
  • samba
  • smbldap-tools
  • libnss-ldap

3 - Configurar o debconf

A instalação inicial do debconf é necessária para que as mesmas perguntas destes documento sejam feitas quando a instalação for realizada.

# dpkg-reconfigure debconf

Escolher prioridade de perguntas "baixa".

4 - Servidor LDAP

Instalação do pacote do servidor LDAP:

# aptitude install slapd ldap-utils

• Omitir a configuração do servidor LDAP? Não
• Nome do domínio DNS: debian-go.org
• Nome da organização: debian-go
• Senha do admin: segredo
• "Backend" de base de dados a ser usado: BDB
• Você deseja que sua base de dados seja removida quando o slapd for expurgado? Não
• Mover base de dados antiga? Sim
• Permitir Protocolo LDAP v2? Não

Confira se as configurações respondidas via debconf estão de acordo com o arquivo de configuração:

# vi /etc/ldap/slapd.conf

Reinicialize o servidor:

# /etc/init.d/slapd restart

Verifique os dados iniciais disponíveis no servidor LDAP através do comando slapcat:

# slapcat
dn: dc=debian-go,dc=org
objectClass: top
objectClass: dcObject
objectClass: organization
o: debian-go
dc: debian-go
structuralObjectClass: organization
entryUUID: ab548b92-0361-102d-9ca7-a5cb93af3e92
creatorsName:
modifiersName:
createTimestamp: 20080821001304Z
modifyTimestamp: 20080821001304Z
entryCSN: 20080821001304Z#000000#00#000000

dn: cn=admin,dc=debian-go,dc=org
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e2NyeXB0fUU1UXFQZ09zZFQ0YmM=
structuralObjectClass: organizationalRole
entryUUID: ab555aea-0361-102d-9ca8-a5cb93af3e92
creatorsName:
modifiersName:
createTimestamp: 20080821001304Z
modifyTimestamp: 20080821001304Z
entryCSN: 20080821001304Z#000001#00#000000

5 - Frontend PHPLdapadmin

O Phpldapadmin é um frontend que permite gerenciar o servidor LDAP através de uma interface Web.

6 - Instalação do PHPldapadmin

# aptitude install phpldapadmin apache2

• tipo de autenticação: session
• servidores web com quais será configurado automaticamente: apache2 (pelo menos)
• reiniciar o servidor web: sim

7 - Conferindo a instalação do phpldapadmin

Utilizando um navegador web, aponte para o endereço:

http://10.1.0.17/phpldapadmin

E efetue o logon utilizando o usuário:

cn=admin,cn=debian-go,cn=org

Utilize a senha fornecida na instalação do servidor LDAP: "segredo".

8 - Instalação do servidor SAMBA

# aptitude install samba

• Domínio: debian-go.org
• Usar senhas criptografadas? Sim
• Modificar smb.conf para usar configurações WINS fornecidas via DHCP? Não
• Como você deseja que o Samba seja executado? daemons
• Gerar a base de dados para senhas /var/lib/samba/samba.tdb? Não

9 - Configurando o LDAP para dar suporte ao Samba

# aptitude install samba-doc

# cd /usr/share/doc/samba-doc/examples/LDAP/
# cp samba.schema.gz /etc/ldap/schema/
# cd /etc/ldap/schema

# gunzip samba.schema.gz

# vi /etc/ldap/slapd.conf

...

include         /etc/ldap/schema/samba.schema
...

access to attrs=userPassword,shadowLastChange,sambaNTPassword,
sambaLMPassword by dn="cn=admin,dc=debian-go,dc=org" write

As últimas linhas fazem com que o LDAP tenha suporte ao schema dos objetos LDAP do Samba e o usuário admin ter acesso a escrita aos atributos userPassword, shadowLastChange, sambaNTPassword e sambaLMPassword.

/etc/init.d/slapd restart

10 - Configurando o Samba

# vi /etc/samba/smb.conf
security = user
domain logons = yes
# passdb backend = tdbsam
# invalid users = root

...

# nao utilizar as restrições impostas pelo PAM

obey pam restrictions = no


# Na linha abaixo especifique o IP do servidor Slapd
passdb backend = ldapsam:ldap://127.0.0.1
ldap passwd sync = yes
ldap delete dn = Yes
# Especifique o seu domínio
ldap admin dn = cn=admin,dc=debian-go,dc=org
ldap suffix = dc=debian-go,dc=org
ldap machine suffix = ou=Computadores
ldap user suffix = ou=Usuarios
ldap group suffix = ou=Grupos
ldap idmap suffix = ou=Idmap
# Novamente o IP do servidor Slapd
idmap backend = ldap:ldap://127.0.0.1
idmap uid = 10000-20000
idmap gid = 10000-20000
#Nas linhas abaixo é necessário especificar corretamente a
#path dos utilitários para gerenciamento de usuários e grupos
#para samba+ldap estes utilitários são do pacote smbldap-tools
add user script = /usr/sbin/smbldap-useradd -m "%u"
delete user script = /usr/sbin/smbldap-userdel "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u"
"%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x
"%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g"
"%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"

11 - Geração da senha de acesso do samba ao LDAP

   # rm /var/lib/samba/secrets.tdb
# smbpasswd -w segredo
# net getlocalsid

SID for domain LAB11 is: S-1-5-21-739826692-572011436-1394361479

O primeiro comando remove o arquivo secrets.tdb, que contém informações de senha. A remoção deste é necessária para um nova instalação do Samba integrado ao LDAP. O segundo comando insere a senha do usuário admin do ldap no arquivo /var/lib/samba/secrets.tdb. O último comando fornece um identificador para a rede Windows, este será necessário para o próximo passo.

12 - Configuração do smbldap-tools

# aptitude install smbldap-tools
# vi /etc/smbldap-tools/smbldap_bind.conf

slaveDN="cn=admin,dc=debian-go,dc=org"
slavePw="segredo"
masterDN="cn=admin,dc=debian-go,dc=org"
masterPw="segredo"


# vi /etc/smbldap-tools/smbldap.conf

# Esta primeira linha você deve especificar o SID da rede,
#para isso use o comando: net getlocalsid
SID="S-1-5-21-739826692-572011436-1394361479"
# Especifique o workgroup do samba
sambaDomain="debian-go.org"
# Ip do servidor Slapd
slaveLDAP="127.0.0.1"
slavePort="389"
# Ip do servidor Slapd
masterLDAP="127.0.0.1"
masterPort="389"
ldapTLS="0"
verify=""
cafile=""
clientcert=""
clientkey=""
suffix="dc=debian-go,dc=org"
usersdn="ou=Usuarios,${suffix}"
computersdn="ou=Computadores,${suffix}"
groupsdn="ou=Grupos,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
scope="sub"
hash_encrypt="SSHA"
crypt_salt_format=""
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
defaultMaxPasswordAge="45"
userSmbHome="\lab17\%U"
userProfile="\lab17\%U"
userHomeDrive="H:"
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"

13 - Popular o LDAP

#smbldap-populate

Este comando acima irá popular a base de dados ldap com objetos necessários para a administração do smbldap-tools. Verifique no phpldapadmin os objetos ldap criados, especialmente note os grupos e usuários criados.

14 - Instalação do libnss-ldap

#  aptitude install libnss-ldap

• Identificador Uniforme de Recursos do servidor LDAP: ldap://127.0.0.1
• Nome distitnto da base de pesquisa: dc=debian-go,dc=org
• Versão LDAP a usar: 3
• A base de dados LDAP requer login: Sim
• Privlegios especiais LDAP para o root? Sim
• Permitir a leitura/escrita no ficheiro de configuração apenas para o dono? Não
• Conta LDAP para o root: cn=admin,dc=debian-go,dc=org
• Password da conta root do LDAP: segredo
• Utilizador sem privilegios da base de dados: cn=admin,dc=debian-go,dc=org
• Password da conta para fazer login na base de dados: segredo

15 - Configuração do libnss

# vi /etc/nsswitch.conf
#passwd:         compat
passwd:          files ldap
#group:          compat
group:          files ldap

16 - Inclusão de usuário para testes

# vi /etc/nextuid.ldif
dn: cn=NextFreeUnixId,dc=debian-go,dc=org
objectClass: inetOrgPerson
objectClass: sambaUnixIdPool
uidNumber: 10000
gidNumber: 10000
cn: NextFreeUnixId
sn: NextFreeUnixId
# ldapadd -x -D cn=admin,dc=debian-go,dc=org -W -f nextuid.ldif
# smbldap-useradd teste

# smbldap-usershow teste
# smbldap-passwd teste

# smbpasswd -a teste
# smbldap-usershow teste

# mkdir /home/teste

Note a diferença entre os dois comandos smbldap-usershow acima.

17 - Inclusão do usuário root

# smbldap-useradd root

# smbldap-usershow root
# smbldap-passwd root


# smbpasswd -a root

# smbldap-usershow root

18 - Teste com cliente Windows

• Entrar no Windows como administrador
• Mouse botão-direito no Meu Computador
• Aba "Nome do computador"
• Clicar em mudar
• Botão renomear o computador
• Selecionar a opção domínio;
• Alterar o domínio desejado (debian-go.org)

19 - Referências:

• 1. Openldap instalation on Debian - http://www.debian-administration.org/articles/585
• 2. Jarbas Júnior - Instalando LDAP + Samba - http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSamba
• 3. Geovanny Junio da Silva - http://www.vivaolinux.com.br/artigo/Configuracao-simples-Samba-+-LDAP
• 4. Debian for dummies - http://www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp://www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howto