 Jefferson,  13 de novembro de 2015,  RedesSempre que eu quero de uma forma rápida e simples definir que uma máquina não tenha acesso à internet eu defino para ela um IP fixo mas não coloco o gateway. Uma gambiarra que sempre funcionou muito bem desde o XP, até que mordeu meu traseiro agora no servidor que estou testando com o Windows 7.
O problema é que para o Windows lembrar o tipo que você escolheu para uma determinada rede (se “corporativa”, “doméstica” ou “pública”) ele se baseia justamente no endereço MAC do gateway. Sem IP, sem MAC. E assim ele chama a rede de “Rede não identificada” e automaticamente a considera pública. Isso faz muito sentido, mas me criou um problema porque eu instalei um FTP server nesse servidor e o acesso a ele foi bloqueado pelo firewall, mesmo de dentro de minha própria rede. O Windows nem me perguntou se eu queria dar acesso. Simplesmente não funcionava.
Como eu continuo não querendo dar a essa máquina acesso à internet, defini como gateway o endereço IP de outro dispositivo da minha rede que fica permanentemente ligado: o NVR. Automaticamente o Windows me perguntou o tipo da rede e isso pareceu resolver o problema.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 12 de novembro de 2015, ADSL, PorDentro, Wifi
- RAM: 2x Etrontech EM6AB160 (64MB cada) Datasheet
- Ikanos IKF6850
- Ikanos FXS60
- Marvell Link Street 88E6171 – Controle das 4 portas Lan Gigabit
- Marvell 88E1119R – Controle da porta WAN
- Coppergate CG3211QIR – Modem HPNA Datasheet
- Coppergate CG3213QIR – Interface com a linha telefônica analógica para o CG3211 Datasheet
- Atheros AR9227 – Interface Wi-Fi
- MP6211DN (2x) – Current-Limited Power Distribution Switches Datasheet – Provavelmente controle de energia nas portas USB;
- BF795 – Conversor DC-DC usado em meia dúzia de pontos da placa;
No fundo, apenas uma flash Macronix (MXIC) MX29GL256 (32MB) e um conversor DC-DC.
Detalhe do WiFi
Próximo ao Atheros AR9227 temos uma EEPROM 24C08. Não estou certo de por que a interface wireless precisa de sua própria EEPROM.
Como você pode ver o roteador tem duas antenas impressas ANT1 e ANT2 (parecem “F”s se destacando acima e à direita) e no caminho para elas existem dois conectores WJ4 e WJ5 (que parecem ser do tipo U.FL) que talvez permitam a conexão de antenas externas. Entretanto você pode ter que desativar as antenas internas para que isso funcione e o modo mais fácil de fazer isso seria removendo os resistores R235 e R234, mas isso ainda é teórico.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 12 de novembro de 2015, PorDentro, Wifi
Este aparelho usa quase os mesmos componentes do TP-LINK TL-WR720N V1 e a organização da placa também é muito parecida.
- SOC Atheros AR9331
- RAM Zentel A3S28D40FTP – 128Mb (16MB) Datasheet
- Conversor DC-DC na entrada: AZ34063 Datasheet
- Flash EON (cFeon) F16-100 – 16Mb (2MB) Serial Flash Memory
A fonte original é de 9Vx0.6A.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 12 de novembro de 2015, PorDentro, WifiA versão 2 deste aparelho tem uma antena externa.
 
Este roteador é bem difícil de abrir. Além dos quatro parafusos no fundo, seis travas precisam ser deslocadas. Espero que mostrando aqui onde elas estão a tarefa seja mais fácil. As quatro travas das extremidades são liberadas puxando a tampa branca para fora. As duas centrais empurrando para dentro.
Este aparelho usa quase os mesmos componentes do TP-LINK TL-WR340G v4.0 e a organização da placa também é muito parecida.
- SOC Atheros AR9331
- RAM Zentel A3S28D40FTP – 128Mb (16MB) Datasheet
- Conversor DC-DC na entrada: AZ34063 Datasheet
- Flash EON (cFeon) QH16-104 – 16Mb (2MB) Serial Flash Memory
Placa com inscrições 2050500234 Rev:1.0
Tem uma porta serial mas ainda não tentei usá-la.
A fonte original é de 9Vx0.6A. O conversor agüenta até perto de 30V na entrada mas o capacitor é de 16V, por isso com 12V você já está abusando.
 Detalhe da antena 
Os terminais 4 e 5, 7 e 8, estão em curto em cada um dos três conectores RJ45 e a ligação não é visível.Por isso não dá para usar esse aparelho no caminho de um PoE DIY.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 12 de novembro de 2015, PorDentro Este switch é alimentado por uma fonte de 5V e vem em pelo menos duas versões com o mesmo modelo. As fotos abaixo são de uma delas.
SOC: Realtek RTL8309SB
Os terminais 4,5,7 e 8 estão abertos. Dá para usar por exemplo em uma solução “PoE DIY”.
A segunda versão que conheço é praticamente idêntica mas a posição para chip de 8 pinos marcada U5, à direita do chip Realtek, está ocupada por um chip soquetado. Aparentemente uma memória EEPROM. Não sei que diferença isso faz. Eu tenho a placa dessa segunda versão e outro dia farei o upload da foto (eu só tiro fotos de peças em certos horários do dia).
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 11 de novembro de 2015, SegurançaEu não conheço muitos porque meus clientes empresariais são poucos, mas uma coisa é comum a todos: eles parecem viver num mundo onde recuperação “automágica” de dados parece algo garantido.
Cenário 1 – Serviço completo: eles já trazem os próprios vírus.
Lembram de quando um file infector me pegou desprevenido em outubro de 2008? Os responsáveis por isso, representando um desenvolvedor de Recife, tinham várias instaladores infectados no DVD que eles usavam para instalar o sistema comercial. Eu praticamente esfreguei na cara deles o vírus no DVD, mostrando com um editor hexadecimal o trecho onde o vírus havia se alojado nos executáveis e comparando com o mesmo executável baixado diretamente da fonte, mas mesmo assim estava difícil convencê-los. O vírus era novo na época e esse pessoal ainda está em um nível onde depende de anti-vírus para dizer a eles o que é seguro ou não. Literalmente não conseguem reconhecer um vírus nem com você apontando para ele .
Uma semana depois outro representante estava na mesma empresa com um pendrive lotado de malware.
O programador pode até saber algo, mas se cerca de drones incompetentes fazendo trabalho de campo.
Cenário 2 – Deixar tudo escancarado é norma.
Em teoria o mecanismo do gerenciador de banco de dados deveria agir como uma ponte vigiada, isolando os clientes dos dados e só deixando passar comandos autorizados. Porém todo programador que usa Firebird/Interbase e MySQL (provavelmente outros também) por alguma razão parece precisar que o banco de dados inteiro esteja num compartilhamento com permissões de escrita garantidos para toda a rede. Não é que o Firebird seja incapaz de fazer o isolamento porque, pelo contrário, o manual do Firebird fala explicitamente sobre esse problema e recomenda que a situação seja evitada. Tradução e ênfase são minhas:
Proteja os bancos de dados no nível do sistema de arquivos
Qualquer um que tenha acesso de leitura a um arquivo do banco de dados pode copiá-lo, instalá-lo em outro sistema sob seu próprio controle e extrair todos os dados dele, incluindo possível informação sigilosa. Qualquer um que tenha acesso de escrita a um arquivo do banco de dados pode corrompê-lo ou destruí-lo totalmente.
Como regra, apenas o processo servidor do Firebird deveria ter acesso aos arquivos do banco de dados. Usuários não precisam, e não deveriam ter, acesso aos arquivos – nem mesmo de leitura apenas. Eles consultam o banco de dados via servidor e o servidor se certifica de que os usuários tenham apenas o tipo de acesso permitido (se tiverem) a qualquer objeto no banco de dados.
Isso é ratificado na única página em português que encontrei do manual sobre o assunto. A ênfase é minha:
Isto significa que, para uma segurança razoável, toda instalação deve manter os arquivos do banco de dados adequadamente seguros. Na maioria dos casos, isto significa que o servidor Firebird deve rodar em um usuário específico no sistema operacional, e apenas esse usuário (e provavelmente o administrador/root) deve ter acesso direto aos arquivos do banco de dados. Estes arquivos não devem ficar em diretórios compartilhados na rede ou que sejam acessíveis por qualquer pessoa que não o pessoal autorizado.
Por que então escancarar “o sistema” parece norma? Não faço idéia. Mas com a crescente sofisticação dos ransomwares eu vou começar a cobrar desse pessoal que colabore com a segurança em vez de atrapalhar. Qualquer estação comprometida pode paralisar a empresa inteira desse jeito.
Cenário 3 – Deixar tudo REALMENTE escancarado também é comum.
No item anterior eu mencionei como os desenvolvedores e seus drones costumam escancarar todo o sistema comercial. Mas tem os que vão além. Já peguei situações em que toda a partição do sistema no servidor estava compartilhada com permissão escrita para Todos pela rede.
Deixa eu ir mais devagar para você assimilar a tragédia.
- Toda a partição de sistema;
- No servidor;
- Compartilhada com permissão de escrita;
- Para o grupo “Todos”.
Vá você, meu caro colega que vive de suporte, entender o que passa na cabeça do sujeito na hora de fazer algo assim. Tirando levar com você seu próprio vírus, não tem como ser muito mais desleixado que isso.
E quanto a vocês, o que veem por aí? É só aqui em Recife (ou no meu círculo de clientes) que é assim?
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 11 de novembro de 2015, malware, ransomwarePelo menos essa é a idéia que passa pela nossa cabeça ao ler a descrição do mais novo ransonware a ter como alvo usuários Windows. Os criadores dessa versão corrigiram o bug que permitia a recuperação das chaves na versão 3.0. A Bitdefender diz ter uma vacina específica para essa versão, mas não testei e não boto muita fé.
Hora de reativar o firewall com HIPS e perder o hábito de ter tantos HDDs online ao mesmo tempo. Vou reduzir a apenas um. E preparar para mim uma versão da mesma estratégia de backup que venho aplicando para meus clientes.
É uma pena que no modo “paranóico” o Comodo Firewall sempre trave a máquina inteira quando saio da hibernação. Paranóia é algo bem desejável nesse caso.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 11 de novembro de 2015, Não confundir o DSL-2730B com o DSL-2740e do qual já falei antes, são modems muito diferentes.
Este procedimento provavelmente funciona com qualquer modem que use o mesmo SOC da Broadcom.
Este post por enquanto é apenas um esboço. Estou sem tempo para fazer organizado e preciso colocar a informação no ar rápido para ajudar o máximo de pessoas. Eu vou explicar a coisa bem sucintamente e por enquanto espero que “se virem” (sigam todos os links e prestem atenção) para entender 
Problema: Que firmware usar?
O D-Link DSL-2730B tem vários firmwares para você escolher, mas o Opticom não tem nenhum firmware oficial publicado ainda (estou trabalhando nisso, mas é melhor esperar bem sentado). Apesar do D-Link ser praticamente idêntico ao Opticom minha única tentativa de usar um firmware D-Link nele travou o modem, então não recomendo brincar com isso se não for pela serial. Também fique atento ao fato de que com exceção do LED Power a ordem dos LEDs entre o D-Link e o Opticom é completamente diferente. Ainda que funcione você vai ter que reetiquetar o modem ou o diagnóstico vai ser um inferno. Existe um firmware da Comtrend que é compatível, mas também não inteiramente. Ele espera que o Opticom tenha um botão WPS (não tem) e fica em loop na serial por um longo tempo achando que esse botão inexistente está pressionado!
Parâmetros de comunicação: 115200,8,N,1
Pinout da porta:
- GND
- TX (saída)
- RX (Entrada)
- +3.3V
Para gravar o firmware via serial, o procedimento é baseado em tftp e basicamente o mesmo do DSL-2740e. Com as seguintes diferenças:
- Você tem apenas 1 segundo para dar ESC na serial depois de energizar o roteador. Seja rápido ou não entrará no prompt do CFE;
- Você não pode determinar o nome do arquivo de firmware. Tem que ser “bcm963xx_fs_kernel” (não tem extensão). Renomeie se necessário;
- O IP da sua máquina tem que ser 192.168.1.100;
No prompt da serial, dê o comando “f [ENTER]” (sim, apenas a letra f)
Se você fez tudo certo você verá no prompt algo assim:
CFE> f
Loading 192.168.1.100:bcm963xx_fs_kernel …
Finished loading 6567760 bytes
Flashing root file system and kernel at 0xb8010000: ………………………………………………………………………………………..
.
*** Image flash done *** !
Resetting board…
NVRAM
Eu nunca precisei fazer isso, mas segundo comentários lidos por aí, pode ser necessário apagar a NVRAM do modem (não especificamente estes) para sair de certos apuros.
Comando no CFE: “e n [ENTER]”
Depois disso o firmware pergunta por vários parâmetros. Esta lista, dada no início do LOG serial, lista todos esses parâmetros e mais algumas coisas:
Parâmetros para Opticom DsLink 485
Board IP address : 192.168.1.1:ffffff00
Host IP address : 192.168.1.100
Gateway IP address :
Run from flash/host (f/h) : f
Default host run file name : vmlinux
Default host flash file name : bcm963xx_fs_kernel
Boot delay (0-9 seconds) : 1
Board Id (0-7) : 96328avng
Number of MAC Addresses (1-32) : 11
Base MAC Address : 00:17:d0:xx:xx:xx (aqui aparece o LAN MAC do seu aparelho. Eu ofusquei o meu.)
PSI Size (1-64) KBytes : 24
Enable Backup PSI [0|1] : 0
System Log Size (0-256) KBytes : 0
Main Thread Number [0|1] : 0
aparentemente é possível rodar firmwares experimentais via TFTP (sem gravar na flash) ao mudar o valor de “Run from flash/host” para h.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 10 de novembro de 2015, webmasterworkEssa é fácil. Nem precisa ler o resto do meu texto: backup, backup, backup! De preferência de quantas gerações você puder!
O primeiro a notar o problema foi o amigo Saulo Benigno, que na manhã do dia 12 de outubro me mandou um email avisando que o site estava fora do ar. Eu havia atualizado o site horas antes por isso achei que fosse um glitch temporário da Hostgator e esperei. Mas como passaram-se horas e o problema persistiu, abri um ticket para o suporte e comecei a dar uma olhada. Como o indicador no cPanel estava dizendo que a Hostgator não faria mais backup automático do site porque eu havia excedido o limite de inodes (o número de arquivos), aproveitei para fazer uma arrumação. Foi aí que eu descobri que a coisa era séria!
Graças à ferramenta do cPanel que mostra um gráfico de uso do espaço em disco, eu localizei um diretório que tinha setenta e dois mil PDFs, nenhum deles colocado por mim. Todos com nomes suspeitíssimos. Olhando em outros diretórios comecei a achar arquivos txt com bravatas hacker do tipo “pwned” e “defaced by”, mais um punhado de arquivos que eu não havia colocado lá. A julgar pelos textos, eu tinha sido “hackeado” por uma cacetada de grupos de toda parte. Tinha russos, chineses, brasileiros…
Comecei a entrar em pânico. Não demorou para notar que o número de PDFs estava crescendo enquanto eu olhava. Eu estava sob ataque naquele momento! Desativei o site, enviei outro ticket para o suporte explicando o que eu havia achado e comecei a avaliar os danos.
Primeiro, não achei nenhum arquivo PHP obviamente infectado, nem indícios de comprometimento fora de Quick Talk. Depois comecei a notar um padrão estranho: nenhum arquivo depositado no site era do tipo executável. Só existiam arquivos TXT, PDF, ZIP (com vírus dentro), BMP, JPG… Alguns desses arquivos não eram válidos. Eram na verdade arquivos PHP com outra extensão que o invasor havia depositado ali na esperança de gatilhar uma vulnerabilidade. Mas como eles entraram?
Mais um pouco e percebi outro padrão: Os arquivos estranhos estavam limitados à pasta “uploads” da instalação wordpress de Quick Talk. Mas quem tinha permissão de upload além de mim?
Ahhhh… o mundo inteiro!
Eu percebi que os tipos de arquivo que estava encontrando batiam com a lista de arquivos “inócuos” que permiti aos leitores anexar em seus comentários. Algum dos plugins tinha uma vulnerabilidade que permitia que arquivos pudessem ser mandados para o meu site sem que nenhum comentário fosse produzido, daí eu não notei o problema.
Infelizmente tive que desabilitar esses plugins que instalei em 2012:
- Easy Comment Uploads <- provavelmente foi por este. Sequer pode ser encontrado hoje no repositório da WordPress;
- Comment Image Embedder <-Este caiu porque, pensando bem, também oferece risco.
O que deu trabalho mesmo foi apagar os 72 mil PDFs. Um gerenciador de arquivos do cPanel não conseguia lidar com tantos e travava. O outro não me permitia ordenar por tipo e eu corria o risco de apagar outros arquivos no meio. Sem conhecer outro jeito, tive que partir para a demorada e tediosa tarefa de apagar tudo por FTP. Isso levou horas!
No final o problema do site nada tinha a ver com o comprometimento. Foi pura coincidência a máquina que hospedava meu domínio estar com problemas (segundo o suporte) e por pura coincidência também eu estava olhando isso no momento em que colocavam os PDFs lá. Eram vários GB de arquivos. O meu site estava sendo usado simplesmente como hospedagem de malware e provavelmente estava sendo penalizado no ranking do Google por isso, embora a Google não tenha me enviado nenhum alerta pelas “ferramentas para webmasters”.
Voltando aos backups: Enquanto eu investigava pensei: “e se eu peguei outro worm como o que atacou o fórum anos atrás* e tiver que desinfectar centenas de arquivos PHP?” Fui procurar os meus backups e…
O último backup integral do site fora um ano atrás! Raios!
Eu tinha backup freqüente de bancos de dados, mas sem backup atualizado de arquivos combater um worm php ia realmente estragar minha semana!
Aprenda com meus erros! Você já fez backup do seu site esta semana? É Sturaro, estou olhando para você!
*Isso aconteceu em maio de 2009. Curiosamente não consigo encontrar nenhuma referência a essa invasão em parte alguma, nem procurando no Google nem nas minhas anotações. Na época diversos fóruns baseados em SMF foram invadidos devido a um 0-day e o exploit era baseado em fazer o upload de uma imagem corrompida como avatar. A partir daí um worm obfuscado adicionava a si mesmo em todos os arquivos php que encontrava na conta, o que incluía todo e qualquer domínio hospedado nela. O exploit foi informalmente chamado de “Krisbarteo” por mim porque era o nome de usuário usado na invasão.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 08 de novembro de 2015, Ransomware não é nenhuma novidade e vem sendo um problema há pelo menos duas décadas, mas o pessoal da seita do pingüim, protegido pelo seu market share irrisório, tem vivido em um mundo de fantasia em que só usuários Windows tem que se preocupar com isso. Isso começou a mudar e mesmo que você seja apenas um usuário de Windows é melhor ficar atento a essa nova leva de ransonware, porque ela pode afetar você também.
- Você tem um site ou blog?
- Sua empresa ou a de algum de seus clientes tem?
Então essa classe de ransomware pode provar ser um problema para você também. E as medidas de proteção são quase as mesmas:
- Faça backups offline freqüentes. Não confie nos backups automáticos do seu provedor, porque se você demorar a perceber o que aconteceu, o backup pode ser sobre-escrito pela versão criptografada;
- Faça backups de múltiplas gerações, pelo mesmo motivo acima. O wordpress, por exemplo, tem plugins como o wp-db-backup que podem ser configurados para enviar uma cópia do banco de dados todo dia para o seu email. Na minha conta gmail eu tenho hoje 1890 backups de bancos de dados dos meus blogs e posso voltar anos no tempo se necessário. Tendo espaço (ainda assim eu ainda tenho mais de 5GB livres), não há razão para você limitar a quantidade de backups guardados;
- Tenha em mente que o backup dos bancos de dados não inclui arquivos e vice-versa. Você provavelmente terá que elaborar múltiplas rotinas de backup para proteger todo o conteúdo do site;
- É bom rever também o problema do backup automático.
A propósito, sua empresa caiu na besteira de colocar todos os dados na tal da “nuvem” (eu odeio esse termo)? Que garantia você tem de que se a empresa que hospeda seus dados for atingida por um ransonware seus dados vão poder ser recuperados? No seu lugar eu cobraria deles um backup offline periódico guardado com você. De preferência um que você pudesse a qualquer tempo aplicar em uma máquina virtual linux e comprovar que funciona.
E outra: tem muito administrador de sistemas por aí que confunde RAID 1 (espelho) com backup. Sua empresa está **dida se depender de um desses.
ATENÇÃO:
O que eu chamo de “seita do pinguim” NÃO É O CONJUNTO DE USUÁRIOS LINUX!
É o sub-grupo barulhento e insuportável que trata o Linux como uma religião ou um time de futebol. Sub-grupo esse que nem o grande Linus Torvalds (admiro muito esse cara) suporta!
(Prefira clicar em "Responder" se estiver comentando um comentário)
|
|
Ótima dica, Jefferson, também sofro com esse problema do Win7, não é legal deixar como rede pública. só uma dúvida: se eu trabalhar com ip fixo, posso colocar como gateway o ip de algum pc da rede?
Acredito que sim. Por default nenhuma instalação do Windows funciona como gateway.