http://blog.gdssecurity.com/labs/2015/12/23/introducing-evilabigail.html
segunda-feira, 28 de dezembro de 2015
quinta-feira, 17 de dezembro de 2015
quinta-feira, 26 de novembro de 2015
terça-feira, 24 de novembro de 2015
Programador escreve scripts para automatizar seu trabalho (e enviar SMS para sua esposa e fazer café)
Já dizia a velha máxima: "se alguma coisa - qualquer coisa - requer mais do que 90 segundos de seu tempo, escreva um script para automatizar isso."
Um hacker no Azerbaijão levou isso muito a sério.
O cara escreveu um script que envia uma mensagem de texto como "vou ficar até tarde no trabalho" para sua esposa e procura automaticamente desculpas em uma lista predefinida.
Ele escreveu outro script, que fazia uma varredura em sua caixa de entrada buscando por e-mails de um cliente que ele não gostava que continha palavras como "ajuda", "problemas" e "desculpe" e automaticamente voltava o banco de dados do cliente para o último backup e, em seguida, enviava uma resposta: "Não se preocupe amigo, já resolvi o problema. Tenha cuidado da próxima vez."
Com outro script, ele automaticamente disparava uma desculpa por e-mail como "não me sinto bem, vou trabalhar de casa" caso ele não fizesse login no trabalho após às 8:45.
E o melhor? Ele escreveu um script que esperava 17 segundos, em seguida, enviava ordens para a máquina de café preparar um latte. O script fazia a máquina esperar mais 24 segundos antes de derramar o café com leite em um copo, o tempo exato que leva da mesa do cara até a máquina de café. E seus colegas de trabalho nem sabiam que a máquina de café estava na rede!
Os scripts estão aqui.
Que a Força esteja com vocês.
Um hacker no Azerbaijão levou isso muito a sério.
O cara escreveu um script que envia uma mensagem de texto como "vou ficar até tarde no trabalho" para sua esposa e procura automaticamente desculpas em uma lista predefinida.
Ele escreveu outro script, que fazia uma varredura em sua caixa de entrada buscando por e-mails de um cliente que ele não gostava que continha palavras como "ajuda", "problemas" e "desculpe" e automaticamente voltava o banco de dados do cliente para o último backup e, em seguida, enviava uma resposta: "Não se preocupe amigo, já resolvi o problema. Tenha cuidado da próxima vez."
Com outro script, ele automaticamente disparava uma desculpa por e-mail como "não me sinto bem, vou trabalhar de casa" caso ele não fizesse login no trabalho após às 8:45.
E o melhor? Ele escreveu um script que esperava 17 segundos, em seguida, enviava ordens para a máquina de café preparar um latte. O script fazia a máquina esperar mais 24 segundos antes de derramar o café com leite em um copo, o tempo exato que leva da mesa do cara até a máquina de café. E seus colegas de trabalho nem sabiam que a máquina de café estava na rede!
Os scripts estão aqui.
Que a Força esteja com vocês.
quarta-feira, 11 de novembro de 2015
Robots, Robots Everywhere!
Robô tradutor
http://www.wired.com/2014/12/skype-used-ai-build-amazing-new-language-translator/
Robô prevê decisões da Suprema Corte americana
http://www.vox.com/2014/8/4/5967147/how-a-computer-model-got-to-predict-70-of-supreme-court-decisions
Robô publica notícias
http://www.bbc.com/news/technology-26614051
Robô-secretária
https://claralabs.com/
Robô caminhoneiro e brasileiro
http://olhardigital.uol.com.br/video/sem-as-maos-conheca-o-caminhao-brasileiro-100-autonomo/50370
Robô segurança de campus universitário
http://exame.abril.com.br/tecnologia/noticias/microsoft-coloca-robos-para-vigiar-seu-campus-na-california
Robô vendedor de loja japonesa
http://olhardigital.uol.com.br/noticia/loja-no-japao-usa-robo-humanoide-como-atendente/48090
Robô marinheiro
http://olhardigital.uol.com.br/noticia/marinha-dos-eua-colocara-robos-humanoides-em-seus-navios/46672
Outros robôs:
http://www.techtudo.com.br/listas/noticia/2015/02/lista-reune-funcoes-inusitadas-desempenhadas-por-robos-confira.html
Saudades do Ed...
segunda-feira, 19 de outubro de 2015
quarta-feira, 14 de outubro de 2015
Convite: Roadsec Curitiba 2015
O Roadsec volta pra Curitiba!
O maior evento brasileiro de Hacking, Segurança e Tecnologia volta à Curitiba, na última edição do ano antes do grande encerramento! Pra fechar com chave de ouro, novidades te esperam no Roadsec em 2015, e você tem um convite de honra para conferir o que há de melhor. Venha aproveitar o sábado épico do dia 17 de Outubro conosco, não perca!
ATENÇÃO: O Roadsec concede certificado de Horas Complementares.
PALESTRAS: O evento está recheado de palestrantes de altíssimo nível, que vieram de todo o país! Aprenda, debata, faça novos contatos e fortaleça seu networking como nunca. É hora de valorizar sua carreira!
OFICINAS: Disputadas oficinas estarão no laboratório do Roadhack: Robótica Mindstorms, controle de drones, corrida em autorama de inteligência artificial, técnicas de lock picking, construção de circuitos programáveis e mais!
DESAFIOS: O maior campeonato de Hacking do Brasil está no Roadsec! O HACKAFLAG (campeonato Capture the Flag) te desafia a mostrar o seu talento. Os vencedores de cada estado ganham viagem com tudo pago para a grande final em São Paulo!
E tem mais: A Cryptorace voltou com tudo esse ano. Recheada de prêmios incríveis a cada edição, a corrida criptográfica do Roadsec também leva o grande campeão para a mega edição de São Paulo com tudo pago!
Não fique de fora!
As vagas são limitadas.
CÓDIGO EXCLUSIVO DE DESCONTO: RSPR-JHA8391K7
roadsec.com.br | @roadsec | /roadsec
terça-feira, 15 de setembro de 2015
Ferramenta para gerar phishing
Uma ferramenta para treinar usuários contra phishing fazendo phishing contra eles /* a melhor teoria é a prática */
I hacked into a nuclear facility in the '80s
Reportagem da CNN conta história de hacker adolescente americano dos anos 80
http://edition.cnn.com/2015/03/11/tech/computer-hacker-essay-414s/index.html
http://edition.cnn.com/2015/03/11/tech/computer-hacker-essay-414s/index.html
App security: Decompiling Android APK files
Learning how to reverse engineer Android applications is a great way
to review source code and identify malicious intents or potential
vulnerabilities within closed binary files. With the right tools and a
little know-how, it's a surprisingly straightforward undertaking for
information security professionals to sniff out security weaknesses,
such as format strings, buffer overflows and unrestricted permissions in Android applications.
First, you need to be familiar with the anatomy of an Android application. Android code is typically Java, and the application is delivered as an Android package (APK) using a compressed file format such as ZIP (though the extension is renamed .apk). Once unzipped, the root directory will contain folders with the application resources, along with a signature file. Every Android application root directory must also contain a binary XML file named AndroidManifest.xml, which communicates essential information about the application to the Android system.
Access the Android APK from a phone
Before you begin reverse engineering the application, you'll want to back it up to an SD card. There are a number of tools you can use to do this, including APKoptic and Astro File Manager with Cloud. (For this demo, we'll be using the free Santoku-Linux distribution, which includes open source security tools and utilities for analyzing Android applications.)As shown in Figure 1 to start accessing the Android APK, you'll run two commands using the Android Debug Bridge (adb) tool:
Figure 1. To get the Android package from a device, you can use tools such as Android Debug Bridge to run a list packages command. (Source: viaForensics)
Get the APK from Google
You can also download the Android APK from Google Play. There are two ways to do this:
1. The Google Play Unofficial Python API
2. A Web service or browser extension such as the following:
Now that you have the APK, it's time get your hands dirty.
Disassemble the APK
To start taking apart the application, you'll first need the Android-apktool, an open source multi-platform utility that will allow you to decode resources to their original form and rebuild after modification. It can transform Android’s binary Dalvik bytecode (classes.dex) into Smali source code as shown in Figure 2. Smali is an assembler code for the DEX (Dalvik EXecutable) format used by the Dalvik Virtual Machine, an integral part of the Android which runs the applications on the operating system.
Figure 2. The Android-apktool transforms Dalvik bytecode into Smali source code. (Source: viaForensics)
Translate the APK to Java
To decompile the Android APK, you'll want to use the dex2jar tool, which converts Dalvik bytecode (DEX) to Java bytecode (Java Archive file format also known as JAR). This allows you to use any existing Java decompiler with the resulting JAR file. (See Figure 3.)
Figure 3. Dex2jar converts Dalvik bytecode to Java bytecode. (Source: viaForensics)
Some useful Java decompilers include:
Analyze code for vulnerabilities
And that's it. The reverse engineering is complete. The Java code is now accessible, allowing you to check it against known malware databases and run scripts to detect malicious code.
About the author: Andrew Hoog is CEO and co-founder of viaForensics. As a mobile security researcher and computer scientist, he has spoken at major banking, security and forensic conferences. He is the author of two books on security, iPhone and iOS Forensics and Android Forensics, and has two patents pending in the areas of forensics and data recovery. Mr. Hoog holds a bachelor of arts degree in computer science from Saint Louis University and is completing a master of business administration degree from University of Chicago’s Booth School of Business.
Fonte: http://searchsecurity.techtarget.com/tip/App-security-Decompiling-Android-APK-files
First, you need to be familiar with the anatomy of an Android application. Android code is typically Java, and the application is delivered as an Android package (APK) using a compressed file format such as ZIP (though the extension is renamed .apk). Once unzipped, the root directory will contain folders with the application resources, along with a signature file. Every Android application root directory must also contain a binary XML file named AndroidManifest.xml, which communicates essential information about the application to the Android system.
Access the Android APK from a phone
Before you begin reverse engineering the application, you'll want to back it up to an SD card. There are a number of tools you can use to do this, including APKoptic and Astro File Manager with Cloud. (For this demo, we'll be using the free Santoku-Linux distribution, which includes open source security tools and utilities for analyzing Android applications.)As shown in Figure 1 to start accessing the Android APK, you'll run two commands using the Android Debug Bridge (adb) tool:
- adb shell pm list packages
- adb pull /data/app/package-name-1.apk
Figure 1. To get the Android package from a device, you can use tools such as Android Debug Bridge to run a list packages command. (Source: viaForensics)
Get the APK from Google
You can also download the Android APK from Google Play. There are two ways to do this:
1. The Google Play Unofficial Python API
2. A Web service or browser extension such as the following:
Now that you have the APK, it's time get your hands dirty.
Disassemble the APK
To start taking apart the application, you'll first need the Android-apktool, an open source multi-platform utility that will allow you to decode resources to their original form and rebuild after modification. It can transform Android’s binary Dalvik bytecode (classes.dex) into Smali source code as shown in Figure 2. Smali is an assembler code for the DEX (Dalvik EXecutable) format used by the Dalvik Virtual Machine, an integral part of the Android which runs the applications on the operating system.
Figure 2. The Android-apktool transforms Dalvik bytecode into Smali source code. (Source: viaForensics)
Translate the APK to Java
To decompile the Android APK, you'll want to use the dex2jar tool, which converts Dalvik bytecode (DEX) to Java bytecode (Java Archive file format also known as JAR). This allows you to use any existing Java decompiler with the resulting JAR file. (See Figure 3.)
Figure 3. Dex2jar converts Dalvik bytecode to Java bytecode. (Source: viaForensics)
Some useful Java decompilers include:
- Java Decompiler project’s JD-GUI
- JAD Java Decompiler
- Others such as Dare, Mocha and Procyon
- Androguard's DAD (open source)
- PNF Software's JEB (commercial)
Analyze code for vulnerabilities
And that's it. The reverse engineering is complete. The Java code is now accessible, allowing you to check it against known malware databases and run scripts to detect malicious code.
About the author: Andrew Hoog is CEO and co-founder of viaForensics. As a mobile security researcher and computer scientist, he has spoken at major banking, security and forensic conferences. He is the author of two books on security, iPhone and iOS Forensics and Android Forensics, and has two patents pending in the areas of forensics and data recovery. Mr. Hoog holds a bachelor of arts degree in computer science from Saint Louis University and is completing a master of business administration degree from University of Chicago’s Booth School of Business.
Fonte: http://searchsecurity.techtarget.com/tip/App-security-Decompiling-Android-APK-files
Stop attackers hacking with Metasploit
Automated security tools have been one of the most significant advancements in information security. Automation has become a necessity given the increasing complexity of networks and software -- and the threats targeting them.
The concept of security automation is nothing new. The Security Administrator Tool for Analyzing Networks (SATAN) started the automated security tool revolution in 1995, and since then automation has evolved to include binary analysis, malware research, sandboxes, vulnerability scanning, code scanning and more.
Specific to automated vulnerability assessment, hacking with Metasploit has arguably become the most popular way to use such a tool, and has become a critical tool in defending an enterprise's network. Unfortunately, it is so good at identifying and exploiting an organization's weak spots that most attackers now know Metasploit is a simple way to find and exploit a vulnerable system.
In this tip, I will discuss how Metasploit works, why enterprises would want to use it and how to put controls in place to ensure attackers can't use Metasploit to sneak inside your organization.
Metasploit is extendable with the Metasploit Framework where the controlling interface identifies a vulnerability, exploits it, delivers the exploit and -- in some interfaces -- includes post-exploitation tools and reporting. The Metasploit Framework imports data from a vulnerability scanner, uses details about vulnerable hosts to identify vulnerabilities to exploit, and launches an attack using a payload to exploit the system. All of this can be managed by the Metasploit Web Interface using one of the several different interfaces available (e.g., command line tool, Web-based graphical user interface, commercial tools).
Attackers can import results from a vulnerability scanner into Armitage, an open source security tool in the Metasploit Framework, and identify the vulnerabilities with Metasploit modules. Once these vulnerabilities are identified, attackers can use an applicable exploit to compromise the system to get a shell or launch the meterpreter in Metasploit to control the system.
The payload is the commands to execute on the local system once access has been gained through an exploit. This can include documentation and a database of techniques to develop a working exploit after identifying the vulnerability. The payload database includes modules to extract passwords from the local system, install other software or to control the hardware much like previous tools, such as BO2K, have.
Another benefit of Metasploit is that it helps demonstrate the
seriousness of a vulnerability by showing someone how easy it is to
exploit it and completely compromise a system. For example, a remotely
exploitable vulnerability could be identified on a target system, and
then a payload could be configured within Metasploit to open a remote
shell on the target system so that an attacker can steal data or install
a keylogger. Using Metasploit for pen-testing to automate many of the
manual checks will allow pen-testers to bypass certain areas and focus
only on the areas that require in-depth analysis.
One of the most common uses for Metasploit in the enterprise is to prioritize patch or vulnerability management decisions. Once a Metasploit module has been released for a vulnerability, enterprises can place a higher priority on patches, especially due to the fact that the current generation of script kiddies can now easily compromise systems using it. In addition, any vulnerability identified with a Metasploit module already available should be at the top of an enterprise's list of vulnerabilities to patch or mitigate.
Metasploit attacks can be best defended against using standard security controls such as patching, running applications or processes with least privileges, limiting network access to only trusted hosts, and other common controls that are covered in the SANS Top 20 Critical Security Controls or the OWASP Top Ten. A Metasploit attack can be detected across a network unless its "encode" option is used to prevent network traffic from being detected by an intrusion detection system. Barring that, Metasploit activity can also be detected by monitoring for anomalies on the network or by using a host-based detection tool that detects Metasploit executables running on the local system.
Just as a hammer can be used for good or harm, Metasploit can be used to keep a corporate network together or tear it apart. Despite the fact that Metasploit detects vulnerabilities and provides the front-line defense an enterprise network needs, it is critical to remember that attackers have access to the very same tool that will identify the very same vulnerabilities.
Having Metasploit in an enterprise's security toolkit is beneficial, but organizations must also leverage other tools and technologies to defend against the attackers using Metasploit against them.
About the author:
Nick Lewis, CISSP, is the information security officer at Saint Louis University. Nick received his Master of Science degree in information assurance from Norwich University in 2005 and in telecommunications from Michigan State University in 2002. Prior to joining Saint Louis University in 2011, Nick worked at the University of Michigan and at Boston Children's Hospital, the primary pediatric teaching hospital of Harvard Medical School, as well as for Internet2 and Michigan State University.
May The Source be with You.
The concept of security automation is nothing new. The Security Administrator Tool for Analyzing Networks (SATAN) started the automated security tool revolution in 1995, and since then automation has evolved to include binary analysis, malware research, sandboxes, vulnerability scanning, code scanning and more.
 |
| As with any information security tool, Metasploit can be used to do both good and harm. |
Specific to automated vulnerability assessment, hacking with Metasploit has arguably become the most popular way to use such a tool, and has become a critical tool in defending an enterprise's network. Unfortunately, it is so good at identifying and exploiting an organization's weak spots that most attackers now know Metasploit is a simple way to find and exploit a vulnerable system.
In this tip, I will discuss how Metasploit works, why enterprises would want to use it and how to put controls in place to ensure attackers can't use Metasploit to sneak inside your organization.
How Metasploit works
Created by H.D. Moore in 2003, the open source Metasploit software is one of several tools that can be used to automate many of the steps of penetration testing. When new exploits are discovered, which happens constantly, Metasploit overseer Rapid7 and the 200,000-plus users of Metasploit work to add the exploit to Metasploit's catalog. Then, anyone using Metasploit can use it to test whether the exploit works against particular systems.Metasploit is extendable with the Metasploit Framework where the controlling interface identifies a vulnerability, exploits it, delivers the exploit and -- in some interfaces -- includes post-exploitation tools and reporting. The Metasploit Framework imports data from a vulnerability scanner, uses details about vulnerable hosts to identify vulnerabilities to exploit, and launches an attack using a payload to exploit the system. All of this can be managed by the Metasploit Web Interface using one of the several different interfaces available (e.g., command line tool, Web-based graphical user interface, commercial tools).
Attackers can import results from a vulnerability scanner into Armitage, an open source security tool in the Metasploit Framework, and identify the vulnerabilities with Metasploit modules. Once these vulnerabilities are identified, attackers can use an applicable exploit to compromise the system to get a shell or launch the meterpreter in Metasploit to control the system.
The payload is the commands to execute on the local system once access has been gained through an exploit. This can include documentation and a database of techniques to develop a working exploit after identifying the vulnerability. The payload database includes modules to extract passwords from the local system, install other software or to control the hardware much like previous tools, such as BO2K, have.
Using Metasploit to secure your enterprise
Using Metasploit as part of a general vulnerability management program can verify that a vulnerability has been closed by patching, changing a configuration or implementing a compensating control. For example, if a patch isn't available yet but disabling a specific system feature will prevent a network being exploited, you can use Metasploit to verify that the proposed tactic (the disabling of the system) works as expected. Metasploit also verifies that the exploit attempt is detected by security monitoring tools.One of the most common uses for Metasploit in the enterprise is to prioritize patch or vulnerability management decisions. Once a Metasploit module has been released for a vulnerability, enterprises can place a higher priority on patches, especially due to the fact that the current generation of script kiddies can now easily compromise systems using it. In addition, any vulnerability identified with a Metasploit module already available should be at the top of an enterprise's list of vulnerabilities to patch or mitigate.
Defending against Metasploit
As with any information security tool, Metasploit can be used to do both good and harm. Black hats and other malicious hackers can use Metasploit against enterprises to identify exploits that will grant them unauthorized access to networks, applications and data.Metasploit attacks can be best defended against using standard security controls such as patching, running applications or processes with least privileges, limiting network access to only trusted hosts, and other common controls that are covered in the SANS Top 20 Critical Security Controls or the OWASP Top Ten. A Metasploit attack can be detected across a network unless its "encode" option is used to prevent network traffic from being detected by an intrusion detection system. Barring that, Metasploit activity can also be detected by monitoring for anomalies on the network or by using a host-based detection tool that detects Metasploit executables running on the local system.
Just as a hammer can be used for good or harm, Metasploit can be used to keep a corporate network together or tear it apart. Despite the fact that Metasploit detects vulnerabilities and provides the front-line defense an enterprise network needs, it is critical to remember that attackers have access to the very same tool that will identify the very same vulnerabilities.
Having Metasploit in an enterprise's security toolkit is beneficial, but organizations must also leverage other tools and technologies to defend against the attackers using Metasploit against them.
About the author:
Nick Lewis, CISSP, is the information security officer at Saint Louis University. Nick received his Master of Science degree in information assurance from Norwich University in 2005 and in telecommunications from Michigan State University in 2002. Prior to joining Saint Louis University in 2011, Nick worked at the University of Michigan and at Boston Children's Hospital, the primary pediatric teaching hospital of Harvard Medical School, as well as for Internet2 and Michigan State University.
May The Source be with You.
[Off-Topic] Crie sua propria rede social de código aberto
Equipes que pensem em melhorar a comunicação interna e empreendedores que desenvolvam negócios sobre plataformas sociais ganharam uma nova opção com o HumHub.
Essa startup criou um kit de código aberto, com todos os sistemas de conexão entre usuários, mensagens e fotos que uma rede social completa necessita. O projeto é uma boa oportunidade para quem deseja entender melhor a estrutura do código de uma aplicação desse tipo, utilizar sua lógica em algum outro projeto ou até implantar partes integrais do código, disponível no GitHub.
Há também módulos, como de calendário e de notificações, que podem ser instalados separadamente, de acordo com a necessidade de cada projeto. O design da interface é bonito, simples e funcional.
Quem se interessou pode experimentar a aplicação em um servidor temporário, antes de baixar o código e hospedá-lo numa máquina própria.
Também existe o Noosfero: um projeto criado pela COLIVRE em 2007 como uma alternativa a redes sociais proprietárias, e permite que qualquer pessoa ou organização tenha a sua própria rede social com funcionalidades como blog, comentários com notificação por email, RSS, upload de imagens e arquivos, galeria de imagens, CMS, perfis com layout personalizado, fórum, chat XMPP e outras. O Noosfero é escrito em Ruby, usando o framework Rails.
May the Source be with You: http://hackpedia.com.br/untihumhub-oferece-kit-de-codigo-aberto-para-voce-criar-sua-propria-rede-socialtled/
Essa startup criou um kit de código aberto, com todos os sistemas de conexão entre usuários, mensagens e fotos que uma rede social completa necessita. O projeto é uma boa oportunidade para quem deseja entender melhor a estrutura do código de uma aplicação desse tipo, utilizar sua lógica em algum outro projeto ou até implantar partes integrais do código, disponível no GitHub.
Há também módulos, como de calendário e de notificações, que podem ser instalados separadamente, de acordo com a necessidade de cada projeto. O design da interface é bonito, simples e funcional.
Quem se interessou pode experimentar a aplicação em um servidor temporário, antes de baixar o código e hospedá-lo numa máquina própria.
Também existe o Noosfero: um projeto criado pela COLIVRE em 2007 como uma alternativa a redes sociais proprietárias, e permite que qualquer pessoa ou organização tenha a sua própria rede social com funcionalidades como blog, comentários com notificação por email, RSS, upload de imagens e arquivos, galeria de imagens, CMS, perfis com layout personalizado, fórum, chat XMPP e outras. O Noosfero é escrito em Ruby, usando o framework Rails.
May the Source be with You: http://hackpedia.com.br/untihumhub-oferece-kit-de-codigo-aberto-para-voce-criar-sua-propria-rede-socialtled/
Nove dicas para melhorar a produtividade em InfoSec
1- Ferramentas eficientes
Existem muitos recursos para ajudar os profissionais de segurança serem mais produtivos. Para colaboração e comunicação: Trello, Slack e XMind; Evernote para anotações e arquivo; e Pocket para o gerenciamento de listas de leitura on-line. Para gerenciamento de tarefas: Todoist ou algo mais específico para a segurança, Chef, um software de automação de nuvem usada para gerenciar a infra-estrutura.
2- Terceirizar trabalho que consome recursos
Uma maneira simples de melhorar a sua produtividade é delegar sua carga de segurança para um especialista. Provedores de serviços gerenciados de segurança servem como parceiros confiáveis que ajudam a amplificar a proteção em áreas onde as suas capacidades locais pode ser insuficientes.
3- Listas e feeds de ameaças
Manter-se informado sobre as últimas ameaças, vulnerabilidades, exploits e contramedidas é fundamental para o seu trabalho. Felizmente, há uma série feeds que você pode usar para fazer exatamente isso. Há o NetSec Hub do Reddit, o SANS Internet Storm Center Diary e listas de discussão como o Bugtraq da SecLists.org e o Full Disclosure.
4- Repositórios de violação de dados
DataLossDB e Privacy Rights Clearinghouse catalogam as últimas violações e o número de registros expostos. (Alerta de spoiler: A lista vai longe). Ao rastrear incidentes de violação de dados, você pode armar-se com informações de tomada de decisão adicional. Por exemplo, se você trabalha em uma indústria em particular e percebe um aumento nas violações que afetam certos tipos de empresas, isto poderá levá-lo a inspecionar mais de perto sua rede.
5- Estatísticas de segurança
Números motivam as pessoas a agir e podem ter um impacto dramático sobre o sucesso de suas campanhas. Como um profissional de segurança, é necessário comunicar-se com as partes interessadas em todos os departamentos, desde o almoxarifado (para incentivá-los a praticar computação mais segura) até executivos (para convencê-los a liberar o orçamento). Minimize o tempo gasto pesquisando fatos e números relevantes usando o Security Stats Hub.
6- Virtualização
Além de reduzir os custos, a virtualização é uma tecnologia que pode ajudá-lo, de forma mais eficiente e com pouco esforço, a reagir contra ameaças. A tecnologia permite que você configure "ambientes bem conhecidos" com Snapshot - e voltar a qualquer momento. Isto pode ser útil para os profissionais de segurança testarem suas técnicas de combate a ameaças, bem como analisar malware, pois você pode facilmente desfazer as alterações que foram feitas no ambiente, sem ter que começar do zero. A virtualização pode apresentar riscos, bem, por isso é importante para os profissionais a tomar medidas como manter VMs segregados do resto da rede e fazer hardening no sistema operacional no qual o hypervisor está.
7- Codificação
A partir do ciclo de vida de desenvolvimento seguro de garantia de qualidade, a codificação é uma parte importante da disciplina de segurança cibernética. Ter uma compreensão de como funciona a programação também pode levar ao aumento da produtividade em outras partes do seu trabalho, incluindo a detecção de ameaças e resposta a incidentes. Uma das opções de aprendizagem mais populares é a Codecademy, que oferece tutoriais online gratuitos. Outra opção é o curso de Python para InfoSec gratuito da Cybrary.
8- ModSecurity
De acordo com o Relatório Trustwave Global Security 2015, 42% das investigações de violações eram de sites de comércio eletrônico. As organizações devem implementar a tecnologia que pode proteger esse vetor popular. Uma opção é ModSecurity, um firewall de código aberto para monitoramento em tempo real, registro e controle de acesso.
9- Cubo McCumber
É uma estrutura para avaliar suas práticas de segurança da informação. O cubo é feito para lembrá-lo dos objetivos desejados em segurança de dados (confidencialidade, integridade e disponibilidade), os estados de que os dados (em repouso, em trânsito e processamento), e as contramedidas que você usa (pessoas, processos e tecnologia) e como tudo se inter-relaciona.
May The Source be with You: https://www.trustwave.com/Resources/Trustwave-Blog/9-Productivity-Tricks-for-the-Time-Crunched-Security-Professional/
Existem muitos recursos para ajudar os profissionais de segurança serem mais produtivos. Para colaboração e comunicação: Trello, Slack e XMind; Evernote para anotações e arquivo; e Pocket para o gerenciamento de listas de leitura on-line. Para gerenciamento de tarefas: Todoist ou algo mais específico para a segurança, Chef, um software de automação de nuvem usada para gerenciar a infra-estrutura.
2- Terceirizar trabalho que consome recursos
Uma maneira simples de melhorar a sua produtividade é delegar sua carga de segurança para um especialista. Provedores de serviços gerenciados de segurança servem como parceiros confiáveis que ajudam a amplificar a proteção em áreas onde as suas capacidades locais pode ser insuficientes.
3- Listas e feeds de ameaças
Manter-se informado sobre as últimas ameaças, vulnerabilidades, exploits e contramedidas é fundamental para o seu trabalho. Felizmente, há uma série feeds que você pode usar para fazer exatamente isso. Há o NetSec Hub do Reddit, o SANS Internet Storm Center Diary e listas de discussão como o Bugtraq da SecLists.org e o Full Disclosure.
4- Repositórios de violação de dados
DataLossDB e Privacy Rights Clearinghouse catalogam as últimas violações e o número de registros expostos. (Alerta de spoiler: A lista vai longe). Ao rastrear incidentes de violação de dados, você pode armar-se com informações de tomada de decisão adicional. Por exemplo, se você trabalha em uma indústria em particular e percebe um aumento nas violações que afetam certos tipos de empresas, isto poderá levá-lo a inspecionar mais de perto sua rede.
5- Estatísticas de segurança
Números motivam as pessoas a agir e podem ter um impacto dramático sobre o sucesso de suas campanhas. Como um profissional de segurança, é necessário comunicar-se com as partes interessadas em todos os departamentos, desde o almoxarifado (para incentivá-los a praticar computação mais segura) até executivos (para convencê-los a liberar o orçamento). Minimize o tempo gasto pesquisando fatos e números relevantes usando o Security Stats Hub.
6- Virtualização
Além de reduzir os custos, a virtualização é uma tecnologia que pode ajudá-lo, de forma mais eficiente e com pouco esforço, a reagir contra ameaças. A tecnologia permite que você configure "ambientes bem conhecidos" com Snapshot - e voltar a qualquer momento. Isto pode ser útil para os profissionais de segurança testarem suas técnicas de combate a ameaças, bem como analisar malware, pois você pode facilmente desfazer as alterações que foram feitas no ambiente, sem ter que começar do zero. A virtualização pode apresentar riscos, bem, por isso é importante para os profissionais a tomar medidas como manter VMs segregados do resto da rede e fazer hardening no sistema operacional no qual o hypervisor está.
7- Codificação
A partir do ciclo de vida de desenvolvimento seguro de garantia de qualidade, a codificação é uma parte importante da disciplina de segurança cibernética. Ter uma compreensão de como funciona a programação também pode levar ao aumento da produtividade em outras partes do seu trabalho, incluindo a detecção de ameaças e resposta a incidentes. Uma das opções de aprendizagem mais populares é a Codecademy, que oferece tutoriais online gratuitos. Outra opção é o curso de Python para InfoSec gratuito da Cybrary.
8- ModSecurity
De acordo com o Relatório Trustwave Global Security 2015, 42% das investigações de violações eram de sites de comércio eletrônico. As organizações devem implementar a tecnologia que pode proteger esse vetor popular. Uma opção é ModSecurity, um firewall de código aberto para monitoramento em tempo real, registro e controle de acesso.
9- Cubo McCumber
É uma estrutura para avaliar suas práticas de segurança da informação. O cubo é feito para lembrá-lo dos objetivos desejados em segurança de dados (confidencialidade, integridade e disponibilidade), os estados de que os dados (em repouso, em trânsito e processamento), e as contramedidas que você usa (pessoas, processos e tecnologia) e como tudo se inter-relaciona.
May The Source be with You: https://www.trustwave.com/Resources/Trustwave-Blog/9-Productivity-Tricks-for-the-Time-Crunched-Security-Professional/
sexta-feira, 11 de setembro de 2015
[Off-Topic] Convertendo arquivos de áudio com o SOX
Criando ringtones do tipo wav para telefones Yealink.
-v volume
-e encoding
-r sample rate
Fonte: http://www.888voip.com/forum/yealink/600-creating-wav-files-for-yealink-ringtones.html
sox -v 0.95 InputFileName.wav -e u-law -r 8000 OutputFileName.wav
-v volume
-e encoding
-r sample rate
Fonte: http://www.888voip.com/forum/yealink/600-creating-wav-files-for-yealink-ringtones.html
[Off-Topic] Ferramenta permite visualizar código sendo "executado"
Usando esta ferramenta, você pode escrever programas em Python, Java, JavaScript ou Ruby no seu navegador e visualizar o que o computador está fazendo e passo-a-passo como ele executa esses programas.
May The Source be with You: https://github.com/pgbovine/OnlinePythonTutor
quarta-feira, 9 de setembro de 2015
Presidente do Serpro ignora criptografia em favor do desempenho
Ao participar de audiência nesta quinta, 3 de setembro de 2015, da CPI dos Crimes Cibernéticos, o presidente do Serpro, Marcos Mazoni, lembrou que os backdoors continuam existentes na infraestrutura, na camada lógica e nas aplicações, apesar dos esforços recentes de buscar maior segurança.
“Criptografia existe, mas é muito pouco usada, porque tira performance. Basta lembrar como as pessoas acabam optando por e-mails que não tem essa proteção. Nesse terreno estamos incentivando a ampla adoção de criptografia no governo. O Expresso tem um milhão de contas. Nem todas do Serpro. Nós temos umas cento e poucas mil. Mas a Previdência tem, universidades, escolas técnicas vários órgãos e muitas empresas privadas”, listou Mazoni.
“Algoritmos de criptografia criado em países estrangeiros também têm fragilidades. Precisamos de maior conhecimento de matemática para ter maior proteção. Muitas vezes se adotam algoritmos internacionais e eles são, em geral, desenvolvido pela NSA, que participa desse processo. Por isso é importante termos nosso desenvolvimento, nossa matemática, matemática quântica e teremos criptografia mais sólida”, emendou.
Ao pontuar que as vulnerabilidades começam nas redes físicas, o presidente do Serpro destacou os investimentos no novo cabo submarino para a Europa e no satélite geoestacionário de defesa e comunicações. Mas reconheceu que são muitos produtos e software que atendem as legislações internacionais, com exigências da implementação prévia de backdoors para acesso.
“A cláusula de proteção do governo dos EUA garante acesso absoluto, mesmo que equipamento seja instalado por nós em nossos bancos de dados. Está escrito na licença dos produtos e por isso mesmo temos que cuidar também do trafego sainte de nossas redes, pelos chamados backdoors. São proteções de fabricantes norte-americanos, mas chineses também. Não estamos acusando nenhuma empresa, apenas apontando, como em um seguro, a possibilidade de acontecer", completou Mazoni.
May The Source be with You: http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=40530&sid=18
“Criptografia existe, mas é muito pouco usada, porque tira performance. Basta lembrar como as pessoas acabam optando por e-mails que não tem essa proteção. Nesse terreno estamos incentivando a ampla adoção de criptografia no governo. O Expresso tem um milhão de contas. Nem todas do Serpro. Nós temos umas cento e poucas mil. Mas a Previdência tem, universidades, escolas técnicas vários órgãos e muitas empresas privadas”, listou Mazoni.
“Algoritmos de criptografia criado em países estrangeiros também têm fragilidades. Precisamos de maior conhecimento de matemática para ter maior proteção. Muitas vezes se adotam algoritmos internacionais e eles são, em geral, desenvolvido pela NSA, que participa desse processo. Por isso é importante termos nosso desenvolvimento, nossa matemática, matemática quântica e teremos criptografia mais sólida”, emendou.
Ao pontuar que as vulnerabilidades começam nas redes físicas, o presidente do Serpro destacou os investimentos no novo cabo submarino para a Europa e no satélite geoestacionário de defesa e comunicações. Mas reconheceu que são muitos produtos e software que atendem as legislações internacionais, com exigências da implementação prévia de backdoors para acesso.
“A cláusula de proteção do governo dos EUA garante acesso absoluto, mesmo que equipamento seja instalado por nós em nossos bancos de dados. Está escrito na licença dos produtos e por isso mesmo temos que cuidar também do trafego sainte de nossas redes, pelos chamados backdoors. São proteções de fabricantes norte-americanos, mas chineses também. Não estamos acusando nenhuma empresa, apenas apontando, como em um seguro, a possibilidade de acontecer", completou Mazoni.
May The Source be with You: http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=40530&sid=18
Let's Encrypt - Seu site com certificado
Let's Encrypt é uma autoridade de certificação (CA) livre, automatizada e aberta. É um serviço prestado pelo Grupo de Pesquisa de Segurança da Internet (ISRG).
Grátis: Qualquer um que possui um nome de domínio pode obter um certificado confiável a custo zero.
Automático: Software rodando em um servidor web pode interagir com o Let's Encrypt para obter um certificado de forma indolor, segura e configurá-lo para uso, e automaticamente cuidar da renovação.
Seguro: Let's Encrypt serve como uma plataforma para promover as melhores práticas de segurança TLS.
Transparente: Todos os certificados emitidos ou de revogação são registrados publicamente e estão disponíveis para qualquer um para inspecionar.
Aberto: O protocolo de emissão e renovação automática é publicado como um padrão aberto que outros podem adotar.
Cooperativo: Muito parecido com os próprios protocolos de Internet subjacentes, Let's Encrypt é um esforço conjunto em benefício da comunidade, além do controle de qualquer organização.
Grátis: Qualquer um que possui um nome de domínio pode obter um certificado confiável a custo zero.
Automático: Software rodando em um servidor web pode interagir com o Let's Encrypt para obter um certificado de forma indolor, segura e configurá-lo para uso, e automaticamente cuidar da renovação.
Seguro: Let's Encrypt serve como uma plataforma para promover as melhores práticas de segurança TLS.
Transparente: Todos os certificados emitidos ou de revogação são registrados publicamente e estão disponíveis para qualquer um para inspecionar.
Aberto: O protocolo de emissão e renovação automática é publicado como um padrão aberto que outros podem adotar.
Cooperativo: Muito parecido com os próprios protocolos de Internet subjacentes, Let's Encrypt é um esforço conjunto em benefício da comunidade, além do controle de qualquer organização.
quarta-feira, 19 de agosto de 2015
segunda-feira, 17 de agosto de 2015
Kaspersky acusada de disseminar falso-positivos para comprometer rivais
A Kaspersky, empresa russa do mercado de antivírus foi acusada espalhar ameaças falsas para prejudicar os concorrentes. Segundo reportagem da Reuters, o alerta foi dado por 2 ex-funcionários anônimos.
Eles alegam que a empresa injetava pedaços de códigos em softwares para enganar as plataformas rivais (Micro$oft, AVG, Avast, etc), de forma que elas interpretassem arquivos inofensivos como maliciosos (falso-positivos). Ao serem confundidos com malwares pelos outros antivírus, os arquivos eram considerados ameaças verdadeiras.
Pessoalmente não acredito que Eugene Kaspersky faria algo desse tipo, que poderia prejudicar a já abalada confiança do mercado de antivírusGod AV is not dead
O fundador da Kaspersky deu uma resposta oficial refutando todas as acusações aqui.
May the Source be with You!
Eles alegam que a empresa injetava pedaços de códigos em softwares para enganar as plataformas rivais (Micro$oft, AVG, Avast, etc), de forma que elas interpretassem arquivos inofensivos como maliciosos (falso-positivos). Ao serem confundidos com malwares pelos outros antivírus, os arquivos eram considerados ameaças verdadeiras.
Pessoalmente não acredito que Eugene Kaspersky faria algo desse tipo, que poderia prejudicar a já abalada confiança do mercado de antivírus
O fundador da Kaspersky deu uma resposta oficial refutando todas as acusações aqui.
May the Source be with You!
quinta-feira, 6 de agosto de 2015
Curso de Python da Google - Nível iniciante
Material do Curso:
https://developers.google.com/edu/python/introduction
Exercícios:
https://developers.google.com/edu/python/exercises/basic
Vídeos:
https://www.youtube.com/watch?v=tKTZoB2Vjuk
Veja também:
http://tutorial.djangogirls.org/pt/index.html
https://developers.google.com/edu/python/introduction
Exercícios:
https://developers.google.com/edu/python/exercises/basic
Vídeos:
https://www.youtube.com/watch?v=tKTZoB2Vjuk
Veja também:
http://tutorial.djangogirls.org/pt/index.html
quinta-feira, 16 de julho de 2015
Documentário sobre 0-day
Documentário de 50 minutos sobre 0-day e o mercado de segurança da informação, falando do eterno dilema do white vs. black hat, da Defcon e Black Hat Conference, entre outros assuntos.
No vídeo também dá pra ver Eric Rabe, o porta-voz do Hacking Team (a empresa italiana que vendia malwares para governos "repressivos" e que teve as informações vazadas na Internet em julho/2015) a partir dos 41 minutos do vídeo.
No vídeo também dá pra ver Eric Rabe, o porta-voz do Hacking Team (a empresa italiana que vendia malwares para governos "repressivos" e que teve as informações vazadas na Internet em julho/2015) a partir dos 41 minutos do vídeo.
terça-feira, 14 de julho de 2015
[Off-topic] O fantástico gerador de ruído
Alguns estudos científicos apontam que ruídos e música (instrumental) podem aumentar a produtividade.
Apesar de controverso, segue uma lista de sites para gerar ruído (desde white/pink noise até barulho de chuva e murmurinhos de uma cafeteria):
http://www.rainymood.com/
https://coffitivity.com/
http://www.noisli.com/
http://soundrown.com/
http://asoftmurmur.com/
Apesar de controverso, segue uma lista de sites para gerar ruído (desde white/pink noise até barulho de chuva e murmurinhos de uma cafeteria):
http://www.rainymood.com/
https://coffitivity.com/
http://www.noisli.com/
http://soundrown.com/
http://asoftmurmur.com/
quarta-feira, 24 de junho de 2015
Google ouve tudo o que você fala
A Google inseriu uma funcionalidade em todos os seus navegadores (Chrome, Chromium, etc) que capta o som do microfone do seu computador e transmite para os servidores da empresa.
Obviamente isto veio na forma de uma funcionalidade de pesquisa por voz (hotword) exibida em inúmero anúncios do tipo "OK, Google".
O problema está no fato do navegador ter acesso ao seu microfone sem o seu consentimento. E pior do que isso, o código do Chromium (que é de código aberto) ignorou os processos de auditoria e teve uma black box inserida em seu contexto. A "extensão" também não aparece na lista de extensões do navegador.
E aNSA Google ainda acha tudo normal: https://code.google.com/p/chromium/issues/detail?id=500922#c6
May The Source be with You
Obviamente isto veio na forma de uma funcionalidade de pesquisa por voz (hotword) exibida em inúmero anúncios do tipo "OK, Google".
 |
| Microfone habilitado por padrão |
E a
May The Source be with You
quarta-feira, 20 de maio de 2015
Trojan do PuTTY
Como aconteceu recentemente com o FileZilla, o popular software PuTTY, um emulador de terminal Open source, teve partes de seu código modificadas e disponibilizadas em servidores comprometidos.
A versão "trojan" do PuTTY fazia o encode da conexão SSH (como usuário e senha) em Base64 e então enviava-a para hackersrussos. Além disso, os hackers utilizavam táticas de SEO para espalhar a ameaça.
Como saber se o PuTTY é legítimo ou malware?
Outros indicadores do PuTTY comprometido:
Arquivo Windows PE:
MD5 b5c88d5af37afd13f89957150f9311ca
SHA1 51c409b7f0c641ce3670b169b9a7515ac38cdb82
SHA256 d3e866e5bf18f2d9c667563de9150b705813e03377312b6974923f6af2e56291
Domínios:
ngusto-uro.ru MalPuTTY
go-upload.ru StealZilla
aliserv2013.ru StealZilla
Endereço IPV4:
146.185.239.3
User Agent hardcoded:
Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.9.168 Version/11.51
Servidores Web comprometidos:
stc-castelnaudary[.]fr/putty/
holidaystennisclub[.]com/putty/
stonarov.wz[.]cz/putty/
stabryl.home[.]pl/putty/
mohsenfeshari[.]com/putty/
nwedigital[.]com/putty/
kangasquads.com[.]au/putty/
sistemaysoporte[.]es/putty/
straydogwinter[.]com/putty/
snailmailrecall[.]com/putty/
steveacker[.]com/putty/
starsretail[.]com/putty/
podspeak[.]net/putty/
stephensimmer[.]com/putty/
biznetbrokers[.]com/putty/
ofbcorporation[.]com/putty/
spriebel[.]de/putty/
siteweb.olympe[.]in/putty/
yumyums.comcastbiz[.]net/putty/
prfc.com[.]au/putty/
helpmydiabetes[.]info/wp-includes/
May The Source be with You!
A versão "trojan" do PuTTY fazia o encode da conexão SSH (como usuário e senha) em Base64 e então enviava-a para hackers
Como saber se o PuTTY é legítimo ou malware?
 |
| Software malicioso compilado com uma versão diferente do MS Visual C++, apresentando ligeiras modificações na interface e com a build não identificada. |
 |
| Programa legítimo, mostrando a versão de release. |
Outros indicadores do PuTTY comprometido:
Arquivo Windows PE:
MD5 b5c88d5af37afd13f89957150f9311ca
SHA1 51c409b7f0c641ce3670b169b9a7515ac38cdb82
SHA256 d3e866e5bf18f2d9c667563de9150b705813e03377312b6974923f6af2e56291
Domínios:
ngusto-uro.ru MalPuTTY
go-upload.ru StealZilla
aliserv2013.ru StealZilla
Endereço IPV4:
146.185.239.3
User Agent hardcoded:
Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.9.168 Version/11.51
Servidores Web comprometidos:
stc-castelnaudary[.]fr/putty/
holidaystennisclub[.]com/putty/
stonarov.wz[.]cz/putty/
stabryl.home[.]pl/putty/
mohsenfeshari[.]com/putty/
nwedigital[.]com/putty/
kangasquads.com[.]au/putty/
sistemaysoporte[.]es/putty/
straydogwinter[.]com/putty/
snailmailrecall[.]com/putty/
steveacker[.]com/putty/
starsretail[.]com/putty/
podspeak[.]net/putty/
stephensimmer[.]com/putty/
biznetbrokers[.]com/putty/
ofbcorporation[.]com/putty/
spriebel[.]de/putty/
siteweb.olympe[.]in/putty/
yumyums.comcastbiz[.]net/putty/
prfc.com[.]au/putty/
helpmydiabetes[.]info/wp-includes/
May The Source be with You!
segunda-feira, 11 de maio de 2015
Malware brasileiro esconde payload em banco de dados Microsoft SQL
Malware brasileiro que visa roubar senhas de bancos carrega o payload a partir de uma base de dados Microsoft SQL Server, em vez de carregar uma URL diretamente.
O malware é distribuído, em geral, por anexos de email ou por links em emails que redirecionam para executáveis maliciosos no Dropbox ou Google Drive.
O vírus pode capturar informações da tela e do teclado da máquina infectada, bem como informações de versão de sistema operacional, navegador e plugins instalados, podendo, inclusive, desabilitar o plugins GBuster, muito utilizado pelos bancos brasileiros para garantir a segurança dos usuários.
Fonte: https://blogs.mcafee.com/mcafee-labs/brazilian-banking-malware-hides-in-sql-database
 |
| Código VB.Net que mostra a consulta SQL que faz o download do payload |
O malware é distribuído, em geral, por anexos de email ou por links em emails que redirecionam para executáveis maliciosos no Dropbox ou Google Drive.
 |
| Estrutura de uma tabela com informações de sessão de máquinas infectadas |
O vírus pode capturar informações da tela e do teclado da máquina infectada, bem como informações de versão de sistema operacional, navegador e plugins instalados, podendo, inclusive, desabilitar o plugins GBuster, muito utilizado pelos bancos brasileiros para garantir a segurança dos usuários.
Fonte: https://blogs.mcafee.com/mcafee-labs/brazilian-banking-malware-hides-in-sql-database
segunda-feira, 6 de abril de 2015
7 diretrizes para a Varredura e Gerenciamento de Vulnerabilidades
1- CVSS é bom. Mas é só uma parte do todo.
2- O Scan autenticado é seu amigo.
3-Lembre-se que o modelo OSI tem sete camadas.
4-Não faça relatórios do tipo "entregue-e-corra".
5-Você pode realmente priorizar, em vez de apenas analisar.
6-Evite a pegadinha do DHCP
7-Evite a pegadinha do Load Balancer
Fonte e artigo completo: https://www.alienvault.com/blogs/security-essentials/7-guidelines-for-vulnerability-management-scanning?sthash.0NBrdNLx.mjjo
2- O Scan autenticado é seu amigo.
3-Lembre-se que o modelo OSI tem sete camadas.
4-Não faça relatórios do tipo "entregue-e-corra".
5-Você pode realmente priorizar, em vez de apenas analisar.
6-Evite a pegadinha do DHCP
7-Evite a pegadinha do Load Balancer
Fonte e artigo completo: https://www.alienvault.com/blogs/security-essentials/7-guidelines-for-vulnerability-management-scanning?sthash.0NBrdNLx.mjjo
quarta-feira, 25 de março de 2015
Detectando o tráfego malicioso em redes VoIP
VoIP (Voz sobre IP) aproveita-se da infra-estrutura IP existente em uma rede e muitas vulnerabilidades que afetam comunicações IP tradicionais também afetam comunicações VoIP. Portanto, cavalos de Tróia, ataques DDoS e exfiltração não autorizada de informações confidenciais são uma preocupação dentro das redes habilitados para VoIP. Vamos focar em um desses ataques, o SIP-flood.
O protocolo SIP (Session Initiation Protocol) tornou-se o padrão de fato para a sinalização de camada de aplicação dentro de redes VoIP. Definido pela RFC 3261, as solicitações SIP são compostas dos seguintes itens: REGISTER, INVITE, ACK, CANCEL, BYE e OPTIONS. A parte da requisição SIP que interessa aqui é o INVITE.
A parte do SIP que mais se assemelha a solicitação HTTP-GET é o SIP INVITE, que é a porção do SIP que configura uma sessão entre dois agentes (usuários) e dentro desta configuração reside uma vulnerabilidade de negação de serviço (DoS). O SIP INVITE como o HTTP também utiliza um handshake de três vias por TCP para estabelecer conexões lógicas com hosts remotos, SIP utiliza um método de handshaking semelhante, que consiste em INVITE e mensagens do tipo 200 OK. Quando detectado um número desproporcional de handshakings incompletos, pode ser um sinal revelador de que um ataque SIP-Flood está em andamento.
Então, como detectar esse tipo de tráfego malicioso? Vamos verificar uma solução que faz uso do conhecido Wireshark.
Em primeiro lugar, garanta que o Wireshark está instalado em um dispositivo que pode receber chamadas SIP de dentro da mesma rede do servidor SIP. Abra o Wireshark e selecione a interface que manipula as comunicações VoIP. Isso geralmente é feito em eth0 (placa de Ethernet). Em seguida, inicie a captura de pacotes e uma enxurrada de tráfego de rede deve começar a cruzar o monitor.
Neste ponto, você pode começar a inundar um dos dispositivos SIP, rodando uma ferramenta de inundação de sua escolha. A versão gratuita conhecida como inviteflood pode ser encontrado na maioria das distros deBackTrack Kali Linux. Suponha que o endereço SIP para um dos dispositivos de final é enduser@192.168.1.10 e a inundação deste endereço com INVITE é de cerca de 200 pedidos por segundo. O Wireshark deve começar a capturar vários pacotes de REGISTER, INVITE, e OK. Em seguida, insira o seguinte filtro no Wireshark:
sip.Method=="INVITE" || sip.Status-Line=="SIP/2.0 200 OK" || sip.Method=="ACK"
Este filtro irá permitir que o usuário final veja todos os INVITE, OK e ACK, e o ataque de sip-flood foi configurado corretamente, o usuário final não deve ver pacotes ACK. Por que isso?
Em um ataque de inundação INVITE tradicional, o invasor envia uma solicitação INVITE para um endereço SIP específico e, quando o dispositivo final SIP, eventualmente, responde com uma mensagem 200 OK, o atacante nunca responde com a terceira parte do three-way handshake - a mensagem de ACK. No entanto, o dispositivo final vitimado não sabe que o pacote ACK esperado nunca vai chegar, por isso aloca previamente os recursos necessários, enquanto mais pacotes INVITE começam a entrar em sua fila. Quando o limite de buffer do dispositivo estoura, o dispositivo final pode falhar ou, em alguns casos, ter um reset de fábrica.
Caso detectado que há muita disparidade na relação INVITE/OK/ACK, os administradores de segurança podem ser alertados para que algumas medidas possam ser implementadas. Por exemplo, bloqueio de endereços IP ou domínios que estão gerando um elevado número de mensagens OK não confirmadas.
O protocolo SIP (Session Initiation Protocol) tornou-se o padrão de fato para a sinalização de camada de aplicação dentro de redes VoIP. Definido pela RFC 3261, as solicitações SIP são compostas dos seguintes itens: REGISTER, INVITE, ACK, CANCEL, BYE e OPTIONS. A parte da requisição SIP que interessa aqui é o INVITE.
A parte do SIP que mais se assemelha a solicitação HTTP-GET é o SIP INVITE, que é a porção do SIP que configura uma sessão entre dois agentes (usuários) e dentro desta configuração reside uma vulnerabilidade de negação de serviço (DoS). O SIP INVITE como o HTTP também utiliza um handshake de três vias por TCP para estabelecer conexões lógicas com hosts remotos, SIP utiliza um método de handshaking semelhante, que consiste em INVITE e mensagens do tipo 200 OK. Quando detectado um número desproporcional de handshakings incompletos, pode ser um sinal revelador de que um ataque SIP-Flood está em andamento.
Então, como detectar esse tipo de tráfego malicioso? Vamos verificar uma solução que faz uso do conhecido Wireshark.
Em primeiro lugar, garanta que o Wireshark está instalado em um dispositivo que pode receber chamadas SIP de dentro da mesma rede do servidor SIP. Abra o Wireshark e selecione a interface que manipula as comunicações VoIP. Isso geralmente é feito em eth0 (placa de Ethernet). Em seguida, inicie a captura de pacotes e uma enxurrada de tráfego de rede deve começar a cruzar o monitor.
Neste ponto, você pode começar a inundar um dos dispositivos SIP, rodando uma ferramenta de inundação de sua escolha. A versão gratuita conhecida como inviteflood pode ser encontrado na maioria das distros de
sip.Method=="INVITE" || sip.Status-Line=="SIP/2.0 200 OK" || sip.Method=="ACK"
Este filtro irá permitir que o usuário final veja todos os INVITE, OK e ACK, e o ataque de sip-flood foi configurado corretamente, o usuário final não deve ver pacotes ACK. Por que isso?
Em um ataque de inundação INVITE tradicional, o invasor envia uma solicitação INVITE para um endereço SIP específico e, quando o dispositivo final SIP, eventualmente, responde com uma mensagem 200 OK, o atacante nunca responde com a terceira parte do three-way handshake - a mensagem de ACK. No entanto, o dispositivo final vitimado não sabe que o pacote ACK esperado nunca vai chegar, por isso aloca previamente os recursos necessários, enquanto mais pacotes INVITE começam a entrar em sua fila. Quando o limite de buffer do dispositivo estoura, o dispositivo final pode falhar ou, em alguns casos, ter um reset de fábrica.
Caso detectado que há muita disparidade na relação INVITE/OK/ACK, os administradores de segurança podem ser alertados para que algumas medidas possam ser implementadas. Por exemplo, bloqueio de endereços IP ou domínios que estão gerando um elevado número de mensagens OK não confirmadas.
terça-feira, 24 de fevereiro de 2015
Lenovo insere malware de propósito em seus dispositivos
Alguns notebooks Lenovo contém um malware que injeta anúncios no navegador e espiona as conexões seguras da máquina. Isso não seria nenhuma novidade se o malware não fosse inserido propositadamente nos dispositivos pela própria fabricante.
O adware, chamado Superfish, está presente nos modelos G40, Y40 e Z50 da Lenovo.
Segundo o Ars Technica o adware instala um certificado HTTPS que pode interceptar o tráfego criptografado
de internet. Além disso, o Superfish usa o mesmo certificado em todos os laptops em que está instalado, tornando o computador vulnerável a ataques man-in-the-middle.
A Lenovo se explicou dizendo que “o Superfish foi temporariamente removido de nossos laptops para consumidores”, mas defendeu a sua presença, explicando que ele “ajuda os usuários a encontrar e descobrir produtos visualmente”, e “analisa instantaneamente imagens na web e apresenta ofertas de produtos idênticos ou similares que podem ter preços mais baixos”.
Como remover: http://support.lenovo.com/us/en/product_security/superfish_uninstall
May The Source be with You.
O adware, chamado Superfish, está presente nos modelos G40, Y40 e Z50 da Lenovo.
Segundo o Ars Technica o adware instala um certificado HTTPS que pode interceptar o tráfego criptografado
de internet. Além disso, o Superfish usa o mesmo certificado em todos os laptops em que está instalado, tornando o computador vulnerável a ataques man-in-the-middle.
A Lenovo se explicou dizendo que “o Superfish foi temporariamente removido de nossos laptops para consumidores”, mas defendeu a sua presença, explicando que ele “ajuda os usuários a encontrar e descobrir produtos visualmente”, e “analisa instantaneamente imagens na web e apresenta ofertas de produtos idênticos ou similares que podem ter preços mais baixos”.
Como remover: http://support.lenovo.com/us/en/product_security/superfish_uninstall
May The Source be with You.
quinta-feira, 15 de janeiro de 2015
KeySweeper ou por que não uso teclado sem fio da Microsoft
O título desse post começa com essa pergunta:
"Por que não uso teclado sem fio da Microsoft"?
Resposta:porque é caro KeySweeper
O pesquisador de segurança Samy Kamkar criou um carregador USB apelidado de KeySweeper, que registra secretamente as teclas digitadas a partir de teclados sem fio da Microsoft nas proximidades.
O dispositivo baseado em Arduino funciona como um carregador de celular USB genérico, mas ele tem a capacidade de capturar, decifrar e enviar de volta as teclas digitadas a partir de um teclado wireless Microsoft na vizinhança. KeySweeper pode enviar dados capturados de volta para o operador através da Internet ou usando um chip GSM opcional.
“KeySweeper is a stealthy Ardunio-based device camouflaged as a wall charger that wirelessly sniffs, decrypts, logs and reports-back all keystrokes from any Microsoft wireless keyboard in the vicinity” explicou Kamkar.
Kamkar também detalhou os passos para construir o KeySweeper explicando que é fácil e barato para montar o dispositivo de espionagem, os custos variam de $10 a $80 dólares, dependendo das funções incluídas. As instruções sobre como construir o dispositivo estão disponíveis on-line no GitHub.
“We are aware of reports about a ‘KeySweeper’ device and are investigating” é o comentário do porta-voz da Micro$oft.
May The Source be with You.
"Por que não uso teclado sem fio da Microsoft"?
Resposta:
O pesquisador de segurança Samy Kamkar criou um carregador USB apelidado de KeySweeper, que registra secretamente as teclas digitadas a partir de teclados sem fio da Microsoft nas proximidades.
O dispositivo baseado em Arduino funciona como um carregador de celular USB genérico, mas ele tem a capacidade de capturar, decifrar e enviar de volta as teclas digitadas a partir de um teclado wireless Microsoft na vizinhança. KeySweeper pode enviar dados capturados de volta para o operador através da Internet ou usando um chip GSM opcional.
“KeySweeper is a stealthy Ardunio-based device camouflaged as a wall charger that wirelessly sniffs, decrypts, logs and reports-back all keystrokes from any Microsoft wireless keyboard in the vicinity” explicou Kamkar.
Kamkar também detalhou os passos para construir o KeySweeper explicando que é fácil e barato para montar o dispositivo de espionagem, os custos variam de $10 a $80 dólares, dependendo das funções incluídas. As instruções sobre como construir o dispositivo estão disponíveis on-line no GitHub.
“We are aware of reports about a ‘KeySweeper’ device and are investigating” é o comentário do porta-voz da Micro$oft.
May The Source be with You.
terça-feira, 6 de janeiro de 2015
Falha no Windows 8.1 permite elevação de privilégios. Microsoft ciente há 90 dias ainda não corrigiu o problema.
A Google tornou público os detalhes de uma vulnerabilidade de segurança no Windows 8.1
A Microsoft tinha sido avisada desde setembro e o bug pode permitir que um usuário logado execute código no Windows 8.1 com privilégios de administrador.
A falha está no manuseio da chamada de sistema NtApphelpCacheControl(): um programa deve primeiro obter um token de acesso a partir de um processo de nível de sistema, como o BITS, e, em seguida, chamar a função anteriromente mencionada para inserir uma entrada no cache de compatibilidade de aplicativos - uma operação de nível de administrador. Quando o token de acesso é examinado, o nível de representação do programa não está marcado, permitindo que o software em nível de usuário passe por um programa privilegiado e modifique o cache. A entrada de cache pode levar o Windows a rodar um executável com privilégios elevados.
"Este bug está sujeito a um prazo de divulgação 90 dias", a equipe de segurança do Google relatou quando ele avisaram a Microsoft sobre o erro de programação. "Se 90 dias transcorrer sem um patch disponível, o relatório de erro se tornará automaticamente visível para o público."
Esse prazo já passou, e os detalhes completos do bug foram revelados em 30 de dezembro de 2014 - incluindo o código de prova de conceito (PoC), que a Chocolate Factory disponibilizou tanto em código fonte e formato binário executável.
Mas nem todos concordam com a política de divulgação agressiva do Project Zero, do Google, que foi fundada em julho de 2014, com o objetivo de erradicar bugs em softwares.
"Revelar automaticamente esta vulnerabilidade quando um prazo é alcançado sem nenhum contexto parece-me incrivelmente irresponsável e eu esperava mais cuidado e maturidade de uma empresa como a Google", escreveu um comentarista no relatório do bug.
Outros ressaltaram, no entanto, que só porque um bug ainda não foi divulgado publicamente não significa hackers ainda não estão explorando-a.
"Ninguém está fazendo bem mantendo-o em segredo", escreveu outro comentarista. "Ao expor a vulnerabilidade eles permitem que esses bilhões que podem estar expostos a essa ameaça fiquem ciente da mesma e tomem medidas defensivas."
O pesquisador de segurança do Google, Ben Hawkes, defendeu a política da empresa, escrevendo:
O Project Zero acredita que os prazos de divulgação são atualmente a melhor abordagem para a segurança do usuário - permite aos fornecedores de software um tempo justo e razoável para exercer o seu processo de gerenciamento de vulnerabilidades, além de respeitar os direitos dos usuários de aprender e compreender os riscos que enfrentam.
Com isso dito, vamos monitorar os efeitos dessa política muito de perto... Estamos felizes em dizer que os resultados iniciais mostraram que a maioria dos erros que temos relatados... foram corrijidos dentro do prazo, que é um testamento ao trabalho duro dos vendedores.
Em resposta à divulgação, a Microsoft emitiu uma declaração dizendo que está ciente do problema e está preparando uma correção.
"Estamos trabalhando para lançar uma atualização de segurança para resolver um problema de elevação de privilégio", um porta-voz da Microsoft disse via e-mail. "É importante notar que para um possível invasor potencialmente explorar um sistema, ele primeiro precisa ter credenciais de logon válidas e poder fazer logon localmente em uma máquina alvo. Recomendamos aos clientes que mantenham seu software anti-virus atualizados, instalem todas as atualizações de segurança disponíveis e ativem o firewall em seu computador."
A Micro$oft não declarou se planeja ter uma correção para o problema até o Patch Tuesday deste mês, que será dia 13 de janeiro.
May The Source be with You.
A Microsoft tinha sido avisada desde setembro e o bug pode permitir que um usuário logado execute código no Windows 8.1 com privilégios de administrador.
"Este bug está sujeito a um prazo de divulgação 90 dias", a equipe de segurança do Google relatou quando ele avisaram a Microsoft sobre o erro de programação. "Se 90 dias transcorrer sem um patch disponível, o relatório de erro se tornará automaticamente visível para o público."
Esse prazo já passou, e os detalhes completos do bug foram revelados em 30 de dezembro de 2014 - incluindo o código de prova de conceito (PoC), que a Chocolate Factory disponibilizou tanto em código fonte e formato binário executável.
Mas nem todos concordam com a política de divulgação agressiva do Project Zero, do Google, que foi fundada em julho de 2014, com o objetivo de erradicar bugs em softwares.
"Revelar automaticamente esta vulnerabilidade quando um prazo é alcançado sem nenhum contexto parece-me incrivelmente irresponsável e eu esperava mais cuidado e maturidade de uma empresa como a Google", escreveu um comentarista no relatório do bug.
Outros ressaltaram, no entanto, que só porque um bug ainda não foi divulgado publicamente não significa hackers ainda não estão explorando-a.
"Ninguém está fazendo bem mantendo-o em segredo", escreveu outro comentarista. "Ao expor a vulnerabilidade eles permitem que esses bilhões que podem estar expostos a essa ameaça fiquem ciente da mesma e tomem medidas defensivas."
O pesquisador de segurança do Google, Ben Hawkes, defendeu a política da empresa, escrevendo:
O Project Zero acredita que os prazos de divulgação são atualmente a melhor abordagem para a segurança do usuário - permite aos fornecedores de software um tempo justo e razoável para exercer o seu processo de gerenciamento de vulnerabilidades, além de respeitar os direitos dos usuários de aprender e compreender os riscos que enfrentam.
Com isso dito, vamos monitorar os efeitos dessa política muito de perto... Estamos felizes em dizer que os resultados iniciais mostraram que a maioria dos erros que temos relatados... foram corrijidos dentro do prazo, que é um testamento ao trabalho duro dos vendedores.
Em resposta à divulgação, a Microsoft emitiu uma declaração dizendo que está ciente do problema e está preparando uma correção.
"Estamos trabalhando para lançar uma atualização de segurança para resolver um problema de elevação de privilégio", um porta-voz da Microsoft disse via e-mail. "É importante notar que para um possível invasor potencialmente explorar um sistema, ele primeiro precisa ter credenciais de logon válidas e poder fazer logon localmente em uma máquina alvo. Recomendamos aos clientes que mantenham seu software anti-virus atualizados, instalem todas as atualizações de segurança disponíveis e ativem o firewall em seu computador."
A Micro$oft não declarou se planeja ter uma correção para o problema até o Patch Tuesday deste mês, que será dia 13 de janeiro.
May The Source be with You.
Governo Indiano bloqueia GitHub, Pastebin, Sourceforge.net e mais 30 sites
Na véspera de ano novo, o governo indiano bloqueou mais de 30 sites, incluindo GitHub e Sorceforge.net por razões de segurança. De acordo com o IT Cell, esses sites podem ter conteúdo relacionado com o grupo pró-terrorista ISIS, e uma resposta negativa de cooperar nas investigações levaram ao amplo bloqueio no país asiático. Todos os fornecedores de serviços Internet no país foram aconselhados a bloquear o acesso a esses sites.
Arvind Gupta, chefe da IT Cell, twittou: "Os sites foram bloqueados baseando-se em um comunicado do Esquadrão Anti-Terrorismod, e estavam fornecendo conteúdo Anti Índia e pró ISIS. Os sites que tiverem o conteúdo censurado removidos e/ou colaborarem com as investigações serão desbloqueados."
A decisão recebeu um grande clamor dos cidadãos sobre os sites de redes sociais. No entanto, os funcionários do IT Cell disseram que alguns dos sites serão desbloqueados quando cooperarem com as investigações.
De acordo com um agente do IT Cell, esses sites têm alguns dos códigos mais perigosos do planeta. Eles podem ser usados para causar dano a qualquer tipo de serviço on-line. No entanto, o que é importante saber é que existem vários outros sites, incluindo exploit-db, que fornecem os códigos e exploits para fazer isso. Pastebin, GitHub e Sourceforge.net não podem ser os únicos culpados de ter esse tipo de código.
O Governo indiano baseou-se na seção 69A da Lei de Informática (2000) e Tecnologia da Informação (Procedimento e Salvaguarda para Bloqueio de acesso à Informação Pública) e Rules ("As regras de bloqueio") para restringir o acesso a esses sites.
Houve uma revolta dos ativistas da Internet, e principalmente por parte dos desenvolvedores pelo bloqueio de acesso ao GitHub. Aparentemente, o governo não está ciente do fato de que esses sites são para compartilhar e desenvolver código de forma colaborativa.
May The Source be with You.
A decisão recebeu um grande clamor dos cidadãos sobre os sites de redes sociais. No entanto, os funcionários do IT Cell disseram que alguns dos sites serão desbloqueados quando cooperarem com as investigações.
De acordo com um agente do IT Cell, esses sites têm alguns dos códigos mais perigosos do planeta. Eles podem ser usados para causar dano a qualquer tipo de serviço on-line. No entanto, o que é importante saber é que existem vários outros sites, incluindo exploit-db, que fornecem os códigos e exploits para fazer isso. Pastebin, GitHub e Sourceforge.net não podem ser os únicos culpados de ter esse tipo de código.
O Governo indiano baseou-se na seção 69A da Lei de Informática (2000) e Tecnologia da Informação (Procedimento e Salvaguarda para Bloqueio de acesso à Informação Pública) e Rules ("As regras de bloqueio") para restringir o acesso a esses sites.
Houve uma revolta dos ativistas da Internet, e principalmente por parte dos desenvolvedores pelo bloqueio de acesso ao GitHub. Aparentemente, o governo não está ciente do fato de que esses sites são para compartilhar e desenvolver código de forma colaborativa.
May The Source be with You.
Assinar:
Postagens (Atom)