sexta-feira, 29 de maio de 2009

Hackeando o JBoss AS

O JBoss AS é o servidor de aplicações que utilizo em meu trabalho e nos cursos que ministro relativos a Java EE e JBoss. Por isto mesmo, quero que ele esteja sempre seguro e que as informações de segurança a respeito dele, sejam as mais divulgadas o possível. Quero compartilhar com vocês neste e nos próximos posts, um trabalho que venho desenvolvendo, relativo ao hardening do JBoss no meu ambiente de trabalho.

Nos diversos cursos de JBoss que ministrei, eu sempre demonstrei aos meus alunos que o JBoss, sem um ajuste mínimo de segurança, permite que qualquer um tenha acesso a suas funcionalidades administrativas. No fim do ano passado, eu escrevi ESTE ARTIGO, que atualizei hoje e que trata de aspectos básicos relativos a configuração de segurança de algumas aplicações administrativas do JBoss e de como implantar uma aplicação qualquer, num servidor que esteja sem estas configurações realizadas.

Em próximos posts irei falar sobre diversas outras configurações que são necessárias em ambientes de produção. Acompanhe-me e boa leitura!

6 comentários:

  1. Sensacional!! Se possível, por favor, envie-me email (roberbil@gmail.com) com os artigos. Grato, Fernando,

    ResponderExcluir
  2. Olá Fernando,

    Obrigado pelo comentário. Você pode assinar o feed deste meu blog por email! Daí você irá receber quaisquer atualizações que eu fizer nele. Clique no link "Por email!" na barra lateral direita do meu blog para fazer isto.

    PJ

    ResponderExcluir
  3. Muito bom pelo desserviço à comunidade JBoss por explicar passo a passo como ganhar algum servidor.

    Estou vendo os script kiddies começando a montar botnets em máquinas com grande potencial de processamento, e... JBoss!

    Por que você também não publica que no google dá para fazer uma query que lista um sem fim de JBoss com JMX-console aberto?

    Ou melhor ainda, põe aí um scriptzinho em perl que sai testando porta 8080, 8180 por aí na url /jmx-console e testando o par user/senha admin:admin, admin:root?

    Tenho certeza absoluta que vai acrescentar em muito a riqueza de informações para os SKs explorar esse erro crasso de design do JBoss.

    Ajude mais a afundar o nome do JBoss na lama.

    Sou a favor de estressar a segurança. Mas daí a mostrar o caminho das pedras, tem dó!

    Não dá pra acreditar que um cara que foi instrutor de turmas na Red Hat publicou um negócio tão nocivo.

    ResponderExcluir
  4. Johnny,

    Artigos sobre segurança sempre provocam este tipo de reação que você teve ou o que o Fernando teve. É incrível!

    Sendo assim, da mesma forma que eu respondi ao Fernando no primeiro comentário, sinto-me na obrigação de responder ao teu.

    Pois bem, eu te respondo lhe devolvendo algumas perguntas:

    1) Por que você acha que os script kiddies estão montando botnets em servidores com grande processamento e... com JBoss? É pelo fato de eu ter ensinado como fazer isto em um servidor aberto ou por causa do servidor estar aberto?

    2) Você leu meu artigo atentamente? Quando você me perguntou porque eu não publico que no google dá pra fazer uma query que lista um sem fim de JBoss com JMX-console aberto, você me provou o contrário. Releia o texto novamente e você verá que eu também já fiz isto, e coloquei dois links para este tipo de pesquisa.

    3) Em próximos posts, eu não vou ensinar colocar nenhum script perl. Acho que isto os script kiddies já sabem e é muito simples... Mas vou mostrar por exemplo, como acessar datasources configurados no JBoss por outras aplicações, desde que eles não estejam protegidos. Fique atento e depois me diga se o teu servidor também passa por este problema.

    4) Porque você acredita que o nome do JBoss esteja na lama? Você tem alguma coisa a dizer sobre isto? E porque você também não me diz quem é? Eu sou reponsável, juntamente com uma equipe, por algumas dezenas de instâncias JBoss. Várias em produção e que movimentam um volume de dinheiro incomum no Brasil. Eu gostaria de dizer ao meu chefe os motivos pelo qual você acha que o JBoss está na lama.

    5) Você me pareceu um pouco irritado com o post. Poderia me dizer o motivo? Meu tabalho, ao divulgar este artigo, foi mostrar os prejuízos que podem ser causados num JBoss aberto. E eu ainda nem começei direito... Ainda vou explorar como atacar/defender o JBoss de diversas outras formas.

    Fique atento a novos posts.

    ResponderExcluir
  5. É o tipo de comportamento que se espera de black hats.

    Não Red Hats.

    É o tipo de visão que eu chamo de "umbigocêntrica".

    Bom para seu empregador que o administrador que os mantém teve o cuidado de fechar os canais de ataque mais óbvios.

    Deve ser bom ter um volume incomum de dinheiro para ter um sistema antispam que filtre junk mail.
    Deve ser bom também ter dinheiro para ter um IDS que bloqueie ataques vindo de máquinas zumbis.

    É o tipo de comportamento de quem olha do seu prédio no Rio (com vidros blindados, evidentemente) com vista para a favela "Ah, azar o deles. Eu tenho quem e como me proteger". Sendo que você está passando munição para um belo dia, quando e se sua segurança afrouxar, cair vítima daquilo que se alimenta. Isso tem nome: Dealer.

    Mas como você mesmo afirma no teu avatar; life is pain, certo?

    Reitero:

    Não é o tipo de comportamento que se espera de quem é o administrador de uma instância que movimenta um volume de dinheiro incomum no Brasil.

    Black Hats != Red Hats.

    ResponderExcluir
  6. Prezado anônimo Johnny,

    Eu acredito que o meu comportamento não lhe diz respeito e que eu não tenho que lhe dar satisfações ou me comportar de uma forma Red Hat, Black Hat ou qualquer outra que seja. Quero que você saiba que a Red Hat não tem vínculo algum comigo e que eu não devo absolutamente nada a esta empresa que utilizou meus serviços como instrutor, no passado. Mas eu creio que você esteja bem mais preocupado em defender esta corporação e criticar o meu comportamento do que discutir tecnicamente qualquer qualquer aspecto relativo a segurança no JBoss. Desta forma, julgo que seria mais conveniente que você assumisse o seu relacionamento com esta empresa de uma forma mais sincera ao postar comentários em meu blog. E, sendo assim, se você desejar continuar discutindo coisas técnicas comigo, sinta-se a vontade. Terei imenso prazer em lhe responder. Mas sinceramente, eu gosto de saber quem são meus leitores, principalmente quando eles publicam críticas a meu respeito. E para mim, alguém que utiliza um profile privado para fazer qualquer crítica que seja em qualquer blog, é um fraco sem caráter.

    ResponderExcluir