Conhecendo o editor Micro

O micro é um editor de texto baseado em terminal que visa ser fácil de usar e intuitivo, ao mesmo tempo que tira proveito das capacidades dos terminais modernos. Ele vem como um binário estático único, incluído com baterias, sem dependências; você pode baixar e usar agora mesmo.

Como o próprio nome indica, o micro pretende ser uma espécie de sucessor do editor nano por ser fácil de instalar e usar. Para quem prefere trabalhar no terminal e precisam editar arquivos regurlarmente por SSH.

Instalação

$ sudo curl https://getmic.ro | bash

$ micro nome-arquivo

Referências

https://github.com/zyedidia/micro

Feito!

Conhecendo o utilitário Cheat.sh

O que é Cheat.sh ?

O cheat.sh é um utilitário que fornece acesso de referências orientadas pela comunidade e framentos para comandos UNIX / Linux e muitas linguagens de programação.

O uso mais comum é diretamente pelo terminal, mas pode usar com curl ou em um browser, também tem plugin que pode adicionar nos editores: Vim, VSCode, Sublime Text e IntelliJ Idea.

Instalação

Para instalar o Cheat.sh de forma global no sistema, segue os procedimentos.

$ sudo apt install rlwrap

$ curl https://cht.sh/:cht.sh | sudo tee /usr/local/bin/cht.sh

$ sudo chmod +x /usr/local/bin/cht.sh

Modo de utilizar

$ cht.sh nome-comando-ou-pacote

Referências

https://github.com/chubin/cheat.sh

Feito!

Instalando aplicativos Android no Linux

Nesse howto é apresentado a ferramenta Anbox que permite instalar aplicativos Android no Linux (qualquer distro).

O que é Anbox ?

Anbox é uma ferramenta gratuita e de código aberto que visa permitir que aplicativos para Android sejam executados em distribuições Linux.

Nesse howto é explicado a instalação do Anbox de duas formas, via Snap e via APT (em distros derivados do Debian). Escolhe uma que desejar instalar o Anbox e segue os procedimentos seguintes:

Instalação do Anbox

via Snap

$ sudo snap install anbox

via APT

$ sudo add-apt-repository -y ppa:morphis/anbox-support

$ sudo apt update

$ sudo apt install anbox-modules-dkms

Instalar aplicativos Android no Anbox

Para instalar um aplicativo Android no Linux com o Anbox, digite no terminal

$ adb install $HOME/diretorio-onde-salvou/aplicativo.apk

E para desinstalar um aplicativo Android ?

$ adb uninstall nome-aplicativo

Encontrar aplicativos Android (APK) de código aberto no F-Froid Conhecendo o F-Droid

Desinstalação do Anbox

via Snap

$ sudo snap remove anbox

via APT

$ sudo apt install ppa-purge
$ sudo ppa-purge ppa:morphis/anbox-support

Feito!

Conhecendo o F-Droid

O que é F-Droid?

F-Droid é um repositório de software para Android, servindo uma função semelhante à da Google Play Store. O repositório principal, hospedado pelo projeto, contém apenas aplicativos gratuitos e de código aberto.

Instale o aplicativo F-Droid, acessando o https://f-droid.org no seu smartphone e ao abrir o F-Droid, pesquise o aplicativo gratuito e de código aberto que deseja instalar.

É necessário conceder permissão para instalar aplicativos de terceiros (fora do Google Play Store) no seu smartphone.

As funcionalidades do F-Droid é semelhante ao serviço do Google Play Store.

Feito!

Conhecendo o Snort

O que é Snort ?

O Snort é uma sistema de prevenção a intrusões na rede (Intrusion Prevention System - IPS), open source, mantido e desenvolvido pela Cisco há mais de 5 anos. A ferramenta se destaca por sua capacidade de analisar tráfegos em tempo real e registar pacotes de protocolo TCP.

Por meio dessa versatilidade, o Snort consegue desempenhar o papel de três tipos de aplicações cruciais para monitorar um servidor. Assim, pode ser utilizado como Sniffer de pacotes (de modo similiar ao TCPDump e Wireshark), registrador de pacotes e um sistem avançado de prevenção à intrusão.

O que é um IDS ?

IDS é a sigla para Intrusion Detection System (Sistema de Detecção de Intrusão).O IDS faz o monitoramento, mapeamento, identificação e notificação de atividades suspeitas. Na analogia, o IDS executa as funções semelhantes a um sistema de vigilância, mas abstrato, devido ambos monitoram, contam com sensores e alertas e são controlados por uma equipe de pessoas que tomam as decisões cabíveis a cada evento.

Tipos de soluções IDS

Existem diversas soluções de IDS baseadas em host (Host Instrusion Detection System (HIDS) ou em redes. A primeira consiste no monitoramente e análise de informações extraídas de um host, atuando como um verificador de registros de logs, útil para atividades forenses (forensics).

Por outro lado, quando baseada em rede (Network Instrusion Detection System (NIDS), o foco é o tráfego e a transferência de pacotes. É nesse modo de funcionamento que o Snort se enquadra.

Convém ressaltar, que a implantação simultânea de ambos os modelos de IDS é possível. A fusão do HIDS com NIDS resulta o que chamamos Hybrid Instrusion Detection System, ou seja, um sistema híbrido de detecção de intrusão. Isso é aplicado na segurança de nuvens privadas.

IDS em modo passivo ou reativo

A maneira como a ferramenta age mediante suspeita ou instrusão é um detalhe definido em função do modo de utilização, o qual pode ser passivo ou reativo.

O modo passivo funciona da seguinte maneira: Ao identificar uma atividade maliciosa, o sistema emite notificações ao administrador que, então, exerce a tomada de decisão. Por padrão, o Snort utiliza do modo passivo.

O modo reativo se encarrega de detectar a instrusão, alertar o administrador e executar uma ação. Como as medidas tomadas pelo IDS são previamente configuradas, o modo reativo, que dispõe de ótimos recursos de prevenção, costuma ser o mais indicado.

Métodos de detecção

Por último e não menos importante, temos os parâmetros de detecção de ameaças. Quais são? São os padrões baseados em: anomalias, assinatura e comportamento.

A detecção por anomalias é um modo comum em aplicações IDS. Ela consiste em levantar o que há de habitual na rotina dos usuários da rede, resultando na montagem de um perfil comum. Surgindo eventos discrepantes, o sistema identifica a anomalia como potencial intrusão.

O método baseado em assinturas, por sua vez, toma como alvo atividades que se enquadram ao que o sistema, previamente configurado pelo SysAdmin, classifica como maliciosas. Logicamente, a sua efetividade requer conhecimento amplo das ameaças virtuais existentes.

A detecção baseada em comportamento identifica os ataques em razão do comportamento do usuário. Uma vantagem do méotodo é a sua flexibilidade estratégica, a qual permitie ao administrador definir uma série de pontos que indiquem uma potencial invasão à rede.

Principais funções do Snort

Qual é o método de detecção utilizado no Snort?

As ameaças são detectadas pelo Snort por meio de assinaturas e está é uma das funcionalidades chave da ferramenta. Ainda que possa ter os seus pontos fracos, como as demais, ela funciona muito bem no Snort de modo similar a um antivírus.

As assinaturas são criadas pela equipe da Cisco e, posteriormente, transmitidas aos ausuários por meio de atualizações. Sendo assim, há uma equipe super qualificada, formada por hackers éticos e especialistas em Segurança da Informação, trabalhando na identificação e no provisionamento de novas ameaças.

O uso de pré-processadores é também, uma caracterísiticas importante do Snort. Eles asseguram, por exemplo, a remontagem de pacotes fragmentados, a análise de desempenho e performance, a detecção de dados sigilosos, a normalização de tráfego em várias instâncias, entre outras tarefas cruciais.

Instalação do Snort

Após conhecer sobre as características do IDS e funcionalidades do Snort, chegou a hora de fazer a instalação do Snort e configurá-lo no seu servidor ou computador pessoal.

Testado nas distribuições Debian 10 e Ubuntu 18.04/20.04 LTS

$ sudo apt update

$ sudo apt install snort

No setup da instalação é perguntado a interface de rede e a rede, então informe conforme o seu cenário.

Antes a interface de rede era eth0, passou para enp2s0, mas isso pode variar, e no caso da rede deve informar juntamente com a máscara.

Teste da instalação e configuração do Snort

$ sudo snort -T -c /etc/snort/snort.conf -i enp2s0

A flag -T significa teste, enquanto a -c mostra ao Snort que o diretório leva ao snort.conf e o -i, indica a interface especificada.

Referências

[1] Manual Snort

[2] Snort Monitor de Redes

Feito!

Conhecendo o Wireshark

O que é Wireshark ?

O Wireshark é uma ferramenta  que analisa o tráfego de rede, e o organiza por protocolos. As funcionalidades do Wireshark são semelhantes com o tcpdump, mas possui uma interface gráfica, com mais informação e possibilidade da utilização de filtros.

Através dessa ferramenta é possível controlar o tráfego de uma rede e monitorar a entrada e saída de dados do computador, em diferentes protocolos, ou da rede à qual o computador está ligado.

Também é possível controlar o tráfego de um determinado dispositivo de rede em uma máquina que pode ter um ou mais desses dispositivos. Se você estiver a rede local, com micros ligados através de um hub ou switch, outro usuário pode usar o Wireshark para capturar todas as suas transmissões.

Instalação do Wireshark no Debian e Ubuntu

Ubuntu 18.04/20.04/Debian 10

Atualiza a lista de repositório

# apt update

Instala o Wireshark

# apt -y install wireshark

Na instalação será perguntado se deseja capturar pacotes com usuário não root, selecione "YES" para poder ter permissão com o usuário regular ao capturar pacotes no Wireshark.

Cria o grupo Wireshark

$ sudo groupadd wireshark

Adicionar o usuário regular no grupo wireshark

$ sudo usermod -a -G wireshark $USER

Alterar o grupo wireshark no diretório e setar permissão adequada

$ sudo chgrp wireshark /usr/bin/dumpcap
$ sudo chmod o-rx /usr/bin/dumpcap
$ sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
$ sudo chmod +x /usr/bin/dumpcap

Verificar

$ sudo getcap /usr/bin/dumpcap

Saída do comando anterior

/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

Feito!

Conhecendo o TCPDump

O que é TCPDump?

O tcpdump é uma ferramenta utilizada para monitorar os pacotes trafegados numa rede de computadores. Ela mostra os cabeçalhos dos pacotes que passam pela interface de rede.

Alguns exemplos de uso do tcpdump

PS: Adapte a interface de rede e o IP para o seu cenário.

Mostrar quais as ligações de um determinado endereço TCP/IP à porta 80 do seu servidor

# tcpdump -ni esp2s0 src IP and dst port 80

Mostrar as interfaces disponiveis

# tcpdump -D

Mostrar todo o tráfego sem resolver nomes

# tcpdump -n

Mostrar todo o tráfego UDP no adaptador esp2s0

# tcpdump -nAi esp2s0 udp

Mostrar todo o tráfego no host 192.168.2.3 e UDP sem resolver nomes

# tcpdump -n host 192.168.2.3 and udp

Mostrar todo o tráfego no host 192.168.2.3 que seja UDP e destino ou origem a porta 53

# tcpdump -n host 192.168.2.3 and udp and port 53

Mostrar todo o tráfego no host 192.168.2.3 que seja UDP qualquer porta menos a 53 mostra o cabeçalho da camada 2 (enlace)

# tcpdump -ne host 192.168.2.3 and udp and port ! 53

Mostrar todo o tráfego com origem ou destino na porta 80 ou apenas da porta 110

# tcpdump -n tcp and '(port 80or src port110)'

Mostrar os pacotes ICMP referente a qualquer host da rede 192.168.2.0/21 sem resolver nomes

# tcpdump -n icmp and net 192.168.2.0/21

Mostrar todo o tráfego referente ao MAC especificado em resolver nomes

# tcpdump -n ether host 00:ff:31:22:2d:11

Referências

Manual TCPDump

Feito!