$> mplayer -dumpaudio video.avi -dumpfile audio.mp3
terça-feira, 30 de dezembro de 2014
[Off-Topic] Extrair áudio de um vídeo pela linha de comando
Extrair áudio de um vídeo pela linha de comando:
quarta-feira, 17 de dezembro de 2014
Malware infecta mais de 100.000 páginas com Wordpress
O WordPress é um dos CMSs mais populares do mundo, com mais de 70 milhões de sites na Internet. Por esta razão, ele está sob ataque contínuo com tentativas de explorar falhas na aplicação central e nos inúmeros plugins existentes.
A última notícia de um ataque é uma campanha de ataque de malware que já comprometeu mais de 100.000 sites em todo o mundo e ainda contando. Na semana passada, o Google blacklistou mais de 11.000 domínios porque foram usados para servir o malware que foi feito pela SoakSoak.ru, por esta razão a campanha maliciosa foi apelidado de epidemia "SoakSoak Malware".
Os especialistas em segurança da empresa de segurança Sucuri forneceram uma análise detalhada do malware em seu blog:
"Nossa análise está mostrando impactos na ordem de centenas de milhares em sites baseados em WordPress. Não podemos confirmar o vetor exato, mas a análise preliminar está mostrando correlação com a vulnerabilidade Revslider informada há alguns meses atrás. ", Diz o post. "O impacto parece estar afetando a maioria dos hosts em todo o espectro WordPress. Uma análise rápida do processo de decodificação está disponível através do nosso Decoder PHP. "
A campanha de malware representa uma séria ameaça para a comunidade da Internet, em especial para todos os sites que executam WordPress e seus visitantes. Uma vez que as vítimas infectadas são aleatoriamente redirecionadas para páginas da SoakSoak.ru e o malware também é capaz de baixar ainda mais payloads maliciosos na máquina comprometida.
O malware atua modificando o arquivo localizado em wp-includes/template-loader.php que faz com que wp-includes/js/swobject.js seja carregado em todas as páginas visitadas no site e este arquivo "swobject.js" inclui um script mal-intencionado codificado em java.
A Sucuri oferece um scanner gratuito, o SiteCheck, para todos os administradores de sites que executam WordPress. O scanner irá verificar se a plataforma de blogs está infectado com o malware SoakSoak.
May The Source be with You!
terça-feira, 16 de dezembro de 2014
Sony pede que veículos de notícias apaguem informações vazadas
A Sony divulgou um alerta no dia 14/12 pedindo que as empresas de notícias deletem as informações vazadas depois de uma enorme falha de segurança na empresa.
Em uma carta redigida pelo advogado da Sony Pictures, David Boies, os documentos que vazaram são chamados de "informação roubada" e há uma exigência para que aqueles que baixaram as informações não as revejam e as destruam.
“O estúdio ‘não concorda com a posse, avaliação, distribuição, disseminação, publicação, upload, download ou qualquer uso’ das informações”, escreveu Boies na carta de três páginas, que foi distribuída no domingo de manhã.
A carta continua ameaçando as empresas de notícias que não compactuarem com as exigências da Sony, dizendo que estas são "responsáveis por quaisquer danos ou perdas resultantes dessa utilização ou divulgação por sua parte".
May The Source be with You.
Em uma carta redigida pelo advogado da Sony Pictures, David Boies, os documentos que vazaram são chamados de "informação roubada" e há uma exigência para que aqueles que baixaram as informações não as revejam e as destruam.
“O estúdio ‘não concorda com a posse, avaliação, distribuição, disseminação, publicação, upload, download ou qualquer uso’ das informações”, escreveu Boies na carta de três páginas, que foi distribuída no domingo de manhã.
A carta continua ameaçando as empresas de notícias que não compactuarem com as exigências da Sony, dizendo que estas são "responsáveis por quaisquer danos ou perdas resultantes dessa utilização ou divulgação por sua parte".
May The Source be with You.
sexta-feira, 12 de dezembro de 2014
Episódio V: A Sony contra-ataca
A Sony Pictures Entertainment está contra-atacando.
O estúdio por trás da franquia "Homem-Aranha" e "A Rede Social" tem tomado medidas tecnológicas defensivas para interromper os downloads de informações sensíveis, que foram expostas quando um ataque de hackers provocou o vazamento de dados de seus sistemas no final de novembro.
A empresa está usando centenas de computadores na Ásia para executar o que é conhecido como um ataque de negação de serviço distribuído (DDOS) em locais onde seus dados furtados estão disponíveis.
A Sony está usando o Amazon Web Services (AWS), serviço de computação em nuvem, a partir de data centers em Tóquio e Cingapura, para realizar o contra-ataque, uma das fontes disse. A tática já foi comumente empregadas por empresas de mídia para combater a pirataria de filmes na Internet e música.
Em uma das violações de segurança cibernética mais devastadoras da história recente, um grupo de hackers que se autodenomina Guardiões da Paz afirmou ter roubado pouco menos de 100 terabytes de informação Sony Pictures, incluindo dados financeiros, orçamentos, folha de pagamento, e-mails internos e filmes que vazaram para sites de compartilhamento de arquivos públicos, como pastebin.
A violação causou estragos dentro dos círculos internos de Hollywood, com violação da correspondência privada entre produtores e executivos poderosos, expondo políticas internas e queixas mesquinhas. Além disso, também apareceram planilhas de ofertas financeiras que a Sony teve com terceiros, que poderiam prejudicar a sua posição com os seus parceiros. Esses detalhes também expõem o quanto esses terceiros pagam para a Sony por direitos a certos programas de TV e filmes.
Esses arquivos não foram verificados pela Sony Pictures, que também se recusou a comentar o assunto.
"A atividade está sendo noticiada não está acontecendo atualmente na AWS (Amazon Web Service)", disse a Amazon em um comunicado enviado por email ao site Re/code na quinta-feira (11/12). Amazon se recusou a fazer mais comentários e se negou a dizer se a atividade começou antes de quinta-feira.
"AWS utiliza uma série de técnicas de detecção e mitigação automatizados para prevenir o uso indevido de nossos serviços", segundo a declaração da Amazon. "Nos casos em que o uso indevido não é detectado e parado pelas medidas automatizadas, tomamos ação manual assim que tomamos conhecimento de qualquer uso indevido."
Com o quinto vazamento de dados, disponibilizado no início desta semana, os indivíduos que tentaram acessar o arquivo de torrent encontraram seeds falsas que minaram os recursos de seu software, disseram as fontes.
Coréia do Norte ou seus simpatizantes, estão sendo investigados como suspeitos do ataque, e enquanto o Estado recluso negou qualquer envolvimento, ele elogiou os autores para o seu "ato justo."
A técnica da Sony é semelhante a um empregado nos primeiros dias de compartilhamento de arquivos, feito por uma empresa de anti-pirataria chamado MediaDefender. A empresa povoou as redes de compartilhamento com arquivos falsos marcados com os nomes de filmes populares como "Homem-Aranha", para motivar os usuários a passar horas baixando um arquivo vazio.
O objetivo era frustrar os usuários e fazê-las voltar-se para filme sites legítimos. Foi uma correção temporária que funcionou até que os sites de compartilhamento de arquivos ficaram mais sofisticado e passou a fornecer informações que permitia os usuários a identificassem facilmente estes chamados "arquivos paródia".
May The Source be with You.
O estúdio por trás da franquia "Homem-Aranha" e "A Rede Social" tem tomado medidas tecnológicas defensivas para interromper os downloads de informações sensíveis, que foram expostas quando um ataque de hackers provocou o vazamento de dados de seus sistemas no final de novembro.
A Sony está usando o Amazon Web Services (AWS), serviço de computação em nuvem, a partir de data centers em Tóquio e Cingapura, para realizar o contra-ataque, uma das fontes disse. A tática já foi comumente empregadas por empresas de mídia para combater a pirataria de filmes na Internet e música.
Em uma das violações de segurança cibernética mais devastadoras da história recente, um grupo de hackers que se autodenomina Guardiões da Paz afirmou ter roubado pouco menos de 100 terabytes de informação Sony Pictures, incluindo dados financeiros, orçamentos, folha de pagamento, e-mails internos e filmes que vazaram para sites de compartilhamento de arquivos públicos, como pastebin.
A violação causou estragos dentro dos círculos internos de Hollywood, com violação da correspondência privada entre produtores e executivos poderosos, expondo políticas internas e queixas mesquinhas. Além disso, também apareceram planilhas de ofertas financeiras que a Sony teve com terceiros, que poderiam prejudicar a sua posição com os seus parceiros. Esses detalhes também expõem o quanto esses terceiros pagam para a Sony por direitos a certos programas de TV e filmes.
Esses arquivos não foram verificados pela Sony Pictures, que também se recusou a comentar o assunto.
"A atividade está sendo noticiada não está acontecendo atualmente na AWS (Amazon Web Service)", disse a Amazon em um comunicado enviado por email ao site Re/code na quinta-feira (11/12). Amazon se recusou a fazer mais comentários e se negou a dizer se a atividade começou antes de quinta-feira.
"AWS utiliza uma série de técnicas de detecção e mitigação automatizados para prevenir o uso indevido de nossos serviços", segundo a declaração da Amazon. "Nos casos em que o uso indevido não é detectado e parado pelas medidas automatizadas, tomamos ação manual assim que tomamos conhecimento de qualquer uso indevido."
Com o quinto vazamento de dados, disponibilizado no início desta semana, os indivíduos que tentaram acessar o arquivo de torrent encontraram seeds falsas que minaram os recursos de seu software, disseram as fontes.
Coréia do Norte ou seus simpatizantes, estão sendo investigados como suspeitos do ataque, e enquanto o Estado recluso negou qualquer envolvimento, ele elogiou os autores para o seu "ato justo."
A técnica da Sony é semelhante a um empregado nos primeiros dias de compartilhamento de arquivos, feito por uma empresa de anti-pirataria chamado MediaDefender. A empresa povoou as redes de compartilhamento com arquivos falsos marcados com os nomes de filmes populares como "Homem-Aranha", para motivar os usuários a passar horas baixando um arquivo vazio.
O objetivo era frustrar os usuários e fazê-las voltar-se para filme sites legítimos. Foi uma correção temporária que funcionou até que os sites de compartilhamento de arquivos ficaram mais sofisticado e passou a fornecer informações que permitia os usuários a identificassem facilmente estes chamados "arquivos paródia".
May The Source be with You.
terça-feira, 9 de dezembro de 2014
Sony guardava senhas em uma pasta chamada "Password"
O mais recente vazamento de documentos da Sony expôs milhares de senhas de várias contas da empresa. A razão pela qual isto veio à luz tão rapidamente? As senhas eram mantidas em um diretório de arquivos chamado "Password". Entre eles, estão centenas de nomes de usuários e senhas para contas de redes sociais como Facebook, YouTube e Twitter, além de muitas outras coisas, desde contas da Amazon aos serviços financeiros Fidelity.
Os hackers prometeram liberar informações ainda mais sensíveis nos próximos dias. Ainda não é certo quem está por trás do ataque, mas a Coreia do Norte negou a responsabilidade. O país asiático está irritado com a Sony por causa de uma comédia de Seth Rogen sobre um complô para assassinar Kim Jong-Un.
May The Source be with You.
quinta-feira, 13 de novembro de 2014
Micro$oft loves Linux
Ao contrário do seu antecessor (Steve Balmer), o atual CEO da Micro$oft diz que "ama o Linux" e que 20% da infra-estrutura da MS Azure roda o S.O. do pinguim.
O sucessor do tio Bill Gates disse em 2001, em entrevista ao Chicago Sun-Times, que o "Linux é um câncer":
Já o atual comandante da empresa de Redmond, Satya Nadella, tem um discurso totalmente diferente. Esta semana, ele anunciou apoio à distribuição Linux CoreOS (a Micro$oft Azure suporta CentOS, Oracle Linux, Suse e Ubuntu). Claramente, Nadella quer que os administradores de TI sintam-se a vontade para executar Windows e Linux em paralelo sem problemas de compatibilidade na Azure.
Nadella sabe que os gerentes de TI não querem ser encaixotados para usar, por exemplo, apenas o Windows Server. Especificamente, muitos deles querem rodar o Linux junto com o Windows Server, o que significa que o kernel do Linux e Windows Server precisam ser capaz de rodar muito bem juntos.
Nadella está cumprindo sua promessa de que a empresa iria tomar "medidas importantes para mudar visivelmente a cultura da Microsoft."
Pena que esse amor não é correspondido.
May The Source be with You.
O sucessor do tio Bill Gates disse em 2001, em entrevista ao Chicago Sun-Times, que o "Linux é um câncer":
"Linux is a cancer that attaches itself in an intellectual property sense to everything it touches"
Já o atual comandante da empresa de Redmond, Satya Nadella, tem um discurso totalmente diferente. Esta semana, ele anunciou apoio à distribuição Linux CoreOS (a Micro$oft Azure suporta CentOS, Oracle Linux, Suse e Ubuntu). Claramente, Nadella quer que os administradores de TI sintam-se a vontade para executar Windows e Linux em paralelo sem problemas de compatibilidade na Azure.
Nadella sabe que os gerentes de TI não querem ser encaixotados para usar, por exemplo, apenas o Windows Server. Especificamente, muitos deles querem rodar o Linux junto com o Windows Server, o que significa que o kernel do Linux e Windows Server precisam ser capaz de rodar muito bem juntos.
Nadella está cumprindo sua promessa de que a empresa iria tomar "medidas importantes para mudar visivelmente a cultura da Microsoft."
Pena que esse amor não é correspondido.
May The Source be with You.
quarta-feira, 29 de outubro de 2014
RoadSec em Curitiba
Neste sábado /* 01 de Novembro */ acontece em Curitiba o ROADSEC - maior evento brasileiro de Hacking e Segurança da Informação.
São palestras de nível internacional sobre carreira, hacking, guerra digital, e ainda: Oficinas disputadas de Drone, Lock Picking, robótica de Lego EV3 e até autorama de inteligência artificial. O Roadsec também hospeda o maior campeonato de Hacking do Brasil - o Hackaflag Symantec.
Algumas das palestras:
* Gestão de contas privilegiadas
* Criptografia em tempos de privacidade
* O lado escuro do universo Android
* Relatório Symantec Intelligence e o projeto Smartphone Honey Stick
* A importância das certificações profissionais no mercado de trabalho
* Muita propaganda e pouca segurança, porque sites e sistemas web são tão invadidos no Brasil?
* Tudo que você sempre quis saber sobre segurança da informação e hacking mas não tinha pra quem perguntar
Para aqueles que precisam de horas complementares, também tem certificado!
Vagas limitadas: Para garantir seu ingresso com um baita desconto, basta se inscrever em roadsec.com.br/curitiba2014 com o código RSPRESPECIAL
May The Force be with You
terça-feira, 30 de setembro de 2014
ShellShocker - Vulnerabilidade no Bash
Você provavelmete ouviu falar sobre a #ShellShocker, vulnerabilidade no bash que afeta sistemas Unix-like (Ubuntu, Debian, OSX, etc). Basicamente o problema é a injeção de código malicioso em uma variável de ambiente fazendo que o bash execute esse código. Se a aplicação estiver rodando como root o problema é ainda maior.
Para um serviço a ser vulnerável a Shell Shock, três condições devem ser atendidas:
* É necessário definir uma variável de ambiente, cujo valor (não necessariamente o nome) é controlado pelo invasor e, particularmente, devem começar com "() {";
* Deve chamar o bash;
* O sistema deve estar executando uma versão vulnerável do bash;
CVE-2014-6271
CVE-2014-7169
CVE-2014-7186
CVE-2014-7187
RedHat, CentOS, Fedora:
Ubuntu, Debian:
OSX:
Correção da Apple para o OSx
* SSH
* DHCP
* Inetd
* Serviços de Email: Postfix, Exim, qmail, Procmail
* OpenVPN
* Stunnel
Fonte: http://blog.sucuri.net/2014/09/bash-shellshocker-attacks-increase-in-the-wild-day-1.html
May The Source be with You!
Para um serviço a ser vulnerável a Shell Shock, três condições devem ser atendidas:
* É necessário definir uma variável de ambiente, cujo valor (não necessariamente o nome) é controlado pelo invasor e, particularmente, devem começar com "() {";
* Deve chamar o bash;
* O sistema deve estar executando uma versão vulnerável do bash;
Para testar se você está vulnerável:
CVE-2014-6271
env X='() { :; }; echo "CVE-2014-6271 vulnerable"' bash -c id
CVE-2014-7169
env X='() { (a)=>\' bash -c "echo date"; cat echo
CVE-2014-7186
bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' || echo "CVE-2014-7186 vulnerable, redir_stack"
CVE-2014-7187
(for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash || echo "CVE-2014-7187 vulnerable, word_lineno"
Como corrigir:
RedHat, CentOS, Fedora:
sudo update bashUbuntu, Debian:
sudo apt-get update && sudo apt-get install --only-upgrade yum bashOSX:
Correção da Apple para o OSx
Possíveis vetores de ataque:
* CGI* SSH
* DHCP
* Inetd
* Serviços de Email: Postfix, Exim, qmail, Procmail
* OpenVPN
* Stunnel
POC:
https://github.com/mubix/shellshocker-pocs/blob/master/README.mdVerificar automaticamente se um site está vulnerável:
http://check.shellshock.info/Fonte: http://blog.sucuri.net/2014/09/bash-shellshocker-attacks-increase-in-the-wild-day-1.html
May The Source be with You!
segunda-feira, 22 de setembro de 2014
Coursera e Universidade de Maryland lançam programa de especialização em cybersegurança
A plataforma de MOOC em parceria com a Universidade de Maryland (EUA) está lançando uma série de cursos como parte de um programa de especialização em cybersegurança.
São ofertados 4 cursos que têm relação com a área de Segurança da Informação:
* Usable Security
* Software Security
* Cryptography
* Hardware Security
O curso "Usable Security" começou na última semana (15/09/2014) e é focado no projeto e construção de sistemas seguros com foco em HCI /* interação humano-computador */ e trata da problemática segurança vs. usabilidade.
Ele é ministrado pela Dra. Jennifer Golbeck, diretora do Laboratório de IHC e professora da Univ. de Maryland. Em 2006 ela foi selecionada como uma das "IEEE Intelligent Systems Top Ten to Watch", uma lista dos principais jovens pesquisadores de IA da IEEE.
O curso "Software Security" (20 de outubro) trata do ciclo de vida seguro do desenvolvimento de software; codificação segura: incluindo falhas de buffer overflow, erros aritméticos, cross-site scripting, SQL injection, condições de corrida, aleatoriedade ruim, vazamento de informações e como remediar tudo isso; Além de testes e auditoria: diferença de testes funcionais vs. testes de segurança, técnicas de pentest, incluindo Fuzz Testing e ferramentas de análise estática e dinâmica.
As aulas são dadas pelo professor do Dpto. de Ciência de Computação da Univ.d e Maryland, o premiado Michael Hicks.
Já o curso de criptografia (10 de novembro), ministrado pelo Prof. Jonathan Katz, trata, dentre outros assuntos dos princípios da criptografia moderna, criptografia de chave privada/pública, autenticação de mensagens, funções hash e assinaturas digitais.
O último curso, "Hardware Security" (5 de janeiro/2015), é focado nos fundamentos do design de lógica digital. Mostra os ataques físicos aos sistemas digitais populares como smartcards e sistemas baseados em FPGA; Ataques como análise de energia, de tempo, e eletromagnéticos e suas contramedidas; Além de tópicos emergentes como: Trust Platform Modules (TPM), Physical Unclonable Functions (PUF), True Random Number Generators (TRNG), tags RFID e proteção da propriedade intelectual.
Recomendado para estudantes de matemática, ciência da computação, engenharia da computação ou engenharia elétrica, com alguma familiaridade com programação /* de preferência em C/C ++ ou Java e C# */ e exposição prévia a algoritmos e lógica digital.
São ofertados 4 cursos que têm relação com a área de Segurança da Informação:
* Usable Security
* Software Security
* Cryptography
* Hardware Security
O curso "Usable Security" começou na última semana (15/09/2014) e é focado no projeto e construção de sistemas seguros com foco em HCI /* interação humano-computador */ e trata da problemática segurança vs. usabilidade.
Ele é ministrado pela Dra. Jennifer Golbeck, diretora do Laboratório de IHC e professora da Univ. de Maryland. Em 2006 ela foi selecionada como uma das "IEEE Intelligent Systems Top Ten to Watch", uma lista dos principais jovens pesquisadores de IA da IEEE.
As aulas são dadas pelo professor do Dpto. de Ciência de Computação da Univ.d e Maryland, o premiado Michael Hicks.
Recomendado para estudantes de matemática, ciência da computação, engenharia da computação ou engenharia elétrica, com alguma familiaridade com programação /* de preferência em C/C ++ ou Java e C# */ e exposição prévia a algoritmos e lógica digital.
quarta-feira, 27 de agosto de 2014
Permissões de aplicativos móveis podem ser mais perigosas que malwares
A coleta desenfreada de dados de aplicativos móveis representa um risco de segurança maior para os consumidores e seus dados quando comparado com malware em dispositivos móveis, diz Appthority.
Como os smartphones e outros dispositivos móveis cada vez mais potentes têm se infiltrado em ambientes corporativos nos últimos anos, os profissionais de segurança, temem um aumento correspondente de malwares, semelhante ao que foi testemunhado com os PCs há mais de uma década atrás. Mas, de acordo com um relatório recente, a coleta de dados de aplicativos móveis representa um risco muito maior para empresas e usuários do que os malwares em si mesmos.
O relatório sobre a reputação de aplicativos móveis, lançado este mês pela empresa de análise de apps Appthority, detalhou a coelta generalizada de dados por parte dos atuais top 100 aplicativos gratuítos e pagos nas plataformas Android e iOS. A Appthority coletou os dados para o relatório, executando análise estática, dinâmica e comportamental em todos os 400 aplicativos /* 200 de cada plataforma */ em um ambiente de teste.
Entre os apps Android gratuitos, 88% dos 100 melhores aplicativos disponíveis na Google Play Store coletam UDIDs e/ou IMEIs dos dispositivos, enquanto 82% envolve em algum tipo de rastreamento de localização e 30% acessar os contatos do usuário. Embora a Apple anuncie o iOS como uma alternativa mais segura e orientada a privacidade que o Android, as estatísticas Appthority não são muito melhores para a plataforma. Mais da metade dos 100 melhores aplicativos gratuitos na App Store guarda o UDID e rastreia a localização, e 26% também acessa o catálogo de endereços dos usuários.
Mesmo quando se trata de aplicativos pagos, a empresa com sede em San Francisco descobriu que a coleta de dados ainda era predominante. Nos 100 melhores apps pagos para Android, por exemplo, 65% utiliza detalhes UDID, 49% recolhe dados de localização e 14% acessaram os contatos. No lado do iOS, 28% usaram UDIDs, 24% dados de localização e 8% acessam os contatos.
Dentre os 400 aplicativos analisados, Appthority não encontrou uma única instância de malware móvel. Apenas 0,4% de todas as aplicações em ambientes corporativos contém malware, a empresa observou. A Apple mantém um processo rigoroso de revisão manual de segurança para todos os aplicativos que entram na App Store e a Google emprega uma variedade de táticas para rastrear malwares na Google Play.
"Todo mundo sabe sobre malware móvel", disse o presidente da Appthority, Domingo Guerra em uma entrevista, "mas nem todos sabem sobre essas outras questões."
Guerra disse que a coleta de dados de aplicativos móveis expõe empresas e usuários a uma série de riscos que podem não ser inicialmente aparentes. Por exemplo, se um usuário sincroniza sua conta de email corporativo do Outlook com um smartphone pessoal, esse dispositivo pode agora ter acesso a um extenso catálogo de endereços que contém detalhes de contatos para uma variedade de pessoas importantes para o negócio. Se um aplicativo que coleta as informações do catálogo de endereços for comprometido, os atacantes poderiam ter as informações necessárias para enviar spam para os telefones corporativos desses contactos, reunir detalhes sensíveis de discagem para chamadas corporativas, ler anexos do calendário e muito mais.
A maioria das organizações de fora do governo não são excessivamente preocupados com os dados de rastreamento e localização, disse Guerra. Se os atacantes podem recolher a localização dos principais executivos, potencialmente podem utilizar essa informação para prever fusões ou aquisições com base em visitas a empresas relevantes, por exemplo. Guerra também destacou o famoso incidente em que um soldado americano compartilhou uma foto no Twitter de si mesmo chegar a uma base no Iraque. O quadro inclui detalhes de localização via geotagging, disse ele, o que levou insurgentes a lançar um ataque de morteiro na localização exata e destruiu os helicópteros na base.
E, embora esse tipo de comportamento por aplicativos móveis por si só é motivo de preocupação, Guerra disse que há ainda um grande risco: redes de anúncios. O relatório constatou que, entre os aplicativos gratuitos, 71% na plataforma Android e 32% no iOS permite que redes de anúncios coletem dados. Mesmo entre os aplicativos pagos, 38% no Android e 16% no iOS transferem dados para redes de anúncios e, em tais casos, Guerra disse que um usuário não pode mesmo estar ciente de tais práticas de coleta de dados.
A prevalência de redes de publicidade móvel apresenta vários riscos, de acordo com Guerra. Atacantes se pode passar por redes de anúncios e recolher dados de usuário diretamente, comprometer o desenvolvimento de softwares de uma rede de anúncios e se infiltrar em um aplicativo, ou simplesmente hackear a vasta coleção de dados armazenados por dezenas de redes de publicidade ao redor do mundo.
Há quem esteja reconsiderando o Blackberry como uma opção segura, mas existem algumas medidas que podem ser tomadas para mitigar os riscos.
May The Force be with You!
Fonte: https://www.appthority.com/app-reputation-report/report/AppReputationReportSummer14.pdf
Como os smartphones e outros dispositivos móveis cada vez mais potentes têm se infiltrado em ambientes corporativos nos últimos anos, os profissionais de segurança, temem um aumento correspondente de malwares, semelhante ao que foi testemunhado com os PCs há mais de uma década atrás. Mas, de acordo com um relatório recente, a coleta de dados de aplicativos móveis representa um risco muito maior para empresas e usuários do que os malwares em si mesmos.
O relatório sobre a reputação de aplicativos móveis, lançado este mês pela empresa de análise de apps Appthority, detalhou a coelta generalizada de dados por parte dos atuais top 100 aplicativos gratuítos e pagos nas plataformas Android e iOS. A Appthority coletou os dados para o relatório, executando análise estática, dinâmica e comportamental em todos os 400 aplicativos /* 200 de cada plataforma */ em um ambiente de teste.
Mesmo quando se trata de aplicativos pagos, a empresa com sede em San Francisco descobriu que a coleta de dados ainda era predominante. Nos 100 melhores apps pagos para Android, por exemplo, 65% utiliza detalhes UDID, 49% recolhe dados de localização e 14% acessaram os contatos. No lado do iOS, 28% usaram UDIDs, 24% dados de localização e 8% acessam os contatos.
Dentre os 400 aplicativos analisados, Appthority não encontrou uma única instância de malware móvel. Apenas 0,4% de todas as aplicações em ambientes corporativos contém malware, a empresa observou. A Apple mantém um processo rigoroso de revisão manual de segurança para todos os aplicativos que entram na App Store e a Google emprega uma variedade de táticas para rastrear malwares na Google Play.
"Todo mundo sabe sobre malware móvel", disse o presidente da Appthority, Domingo Guerra em uma entrevista, "mas nem todos sabem sobre essas outras questões."
Guerra disse que a coleta de dados de aplicativos móveis expõe empresas e usuários a uma série de riscos que podem não ser inicialmente aparentes. Por exemplo, se um usuário sincroniza sua conta de email corporativo do Outlook com um smartphone pessoal, esse dispositivo pode agora ter acesso a um extenso catálogo de endereços que contém detalhes de contatos para uma variedade de pessoas importantes para o negócio. Se um aplicativo que coleta as informações do catálogo de endereços for comprometido, os atacantes poderiam ter as informações necessárias para enviar spam para os telefones corporativos desses contactos, reunir detalhes sensíveis de discagem para chamadas corporativas, ler anexos do calendário e muito mais.
A maioria das organizações de fora do governo não são excessivamente preocupados com os dados de rastreamento e localização, disse Guerra. Se os atacantes podem recolher a localização dos principais executivos, potencialmente podem utilizar essa informação para prever fusões ou aquisições com base em visitas a empresas relevantes, por exemplo. Guerra também destacou o famoso incidente em que um soldado americano compartilhou uma foto no Twitter de si mesmo chegar a uma base no Iraque. O quadro inclui detalhes de localização via geotagging, disse ele, o que levou insurgentes a lançar um ataque de morteiro na localização exata e destruiu os helicópteros na base.
E, embora esse tipo de comportamento por aplicativos móveis por si só é motivo de preocupação, Guerra disse que há ainda um grande risco: redes de anúncios. O relatório constatou que, entre os aplicativos gratuitos, 71% na plataforma Android e 32% no iOS permite que redes de anúncios coletem dados. Mesmo entre os aplicativos pagos, 38% no Android e 16% no iOS transferem dados para redes de anúncios e, em tais casos, Guerra disse que um usuário não pode mesmo estar ciente de tais práticas de coleta de dados.
A prevalência de redes de publicidade móvel apresenta vários riscos, de acordo com Guerra. Atacantes se pode passar por redes de anúncios e recolher dados de usuário diretamente, comprometer o desenvolvimento de softwares de uma rede de anúncios e se infiltrar em um aplicativo, ou simplesmente hackear a vasta coleção de dados armazenados por dezenas de redes de publicidade ao redor do mundo.
Há quem esteja reconsiderando o Blackberry como uma opção segura, mas existem algumas medidas que podem ser tomadas para mitigar os riscos.
May The Force be with You!
Fonte: https://www.appthority.com/app-reputation-report/report/AppReputationReportSummer14.pdf
Bases com amostras de Vírus
Se você quer alguns samples de virus para propósitos de pesquisa:
* Repositório do VX Collectors Edition
* Virus Share com mais de 18.000.000 amostras de malware (em 27 de agosto/2014)
Use com cautela e May The Force be with You!
* Repositório do VX Collectors Edition
* Virus Share com mais de 18.000.000 amostras de malware (em 27 de agosto/2014)
Use com cautela e May The Force be with You!
quinta-feira, 7 de agosto de 2014
Ferramentas de Análise de Vulnerabilidade
Muitas ferramentas de gestão de vulnerabilidades que antes eram open source, como o Nessus, foram transformados em produtos comerciais, enquanto outras oferecem apenas uma versão gratuita para uso não-comercial ou em uma rede de tamanho limitado. Nessus foi certamente o principal scanner de vulnerabilidade open source, mas a empresa Tenable Network Security mudou para licença proprietária em outubro de 2005. Uma alternativa é o OpenVAS, que começou como um fork do projeto Nessus original.
OpenVAS é uma estrutura de vários serviços e ferramentas para varredura e gerenciamento de vulnerabilidades. Ele é alimentado com testes de vulnerabilidade mais de 33 mil redes, e é atualizado regularmente. Várias outras ferramentas de segurança gratuito estão integradas no OpenVAS, incluindo plug-ins, como Nmap, um utilitário para a descoberta de rede e inventário. Uma das tarefas críticas em uma avaliação de vulnerabilidade é descobrir todos os recursos que existem dentro da infra-estrutura de rede; Nmap é uma das melhores ferramentas para fazer isso. Organizações muitas vezes omitem a fase de descoberta quando realizam uma avaliação de risco de vulnerabilidade, em vez de trabalhar o que eles conhecem (ou o que eles pensam que conhecem). O Nmap pode fornecer um inventário completo, para fins de avaliação e auditoria.
Empresas que operam uma rede baseada em Microsoft têm a opção de usar o programa gratuíto Baseline Security Analyzer da Microsoft (MBSA), um scanner autônomo de segurança e vulnerabilidade projetado para identificar erros de configuração de segurança comuns. Ele também inclui verificações internas para administração do Windows, Internet Information Server (IIS) e vulnerabilidades de SQL, além de atualizações de segurança para o sistema operacional e aplicativos do Office. Os relatórios produzidos pelo MBSA mostram classificações baseado na gravidade das falhas, de acordo com as recomendações de segurança da Microsoft, e oferecem orientações específicas sobre como corrigir quaisquer problemas. O Blog de Segurança da Microsoft tem mais informações sobre suas outras ferramentas de segurança.
Se uma empresa executa serviços voltados para a Internet, varredura de vulnerabilidades de aplicativos da Web é muito importante; a maioria das vulnerabilidades são encontradas na camada de aplicação, e é aí que os atacantes concentram a maior parte de seus esforços. A principal ferramenta open source de pentest é o Metasploit, que pode ser usado para simular ataques a uma rede para avaliar e validar as vulnerabilidades, verificando a eficácia dos controles de segurança utilizados para mitigá-los.
Nenhuma ferramenta de gestão de vulnerabilidades - livre ou proprietária - é plug-and-play, do tipo configure-e-esqueça. Embora essas ferramentas agregem grande valor, as equipes de segurança precisam de tempo para aprender como elas funcionam, como elas podem ser usados sem afetar o dia-a-dia da operação e o tráfego da rede, e que os resultados e relatórios significam.
É claro que não faz sentido a realização de uma avaliação de risco, se as correções e controles não são postos em prática para reduzir as vulnerabilidades encontradas. Este é o estágio em que o gerenciamento de vulnerabilidades realmente reduz o risco e reforça a postura geral de segurança de uma empresa. Lembre-se também que a avaliação de risco de vulnerabilidade não é um evento único, mas sim uma atividade contínua. Uma vez que a equipe de segurança agiu sobre os resultados e implantados os controles de segurança apropriados, provavelmente está na hora de repetir o processo.
May The Force be with You.
Fonte: http://searchsecurity.techtarget.com/answer/The-best-free-vulnerability-risk-assessment-tools
OpenVAS é uma estrutura de vários serviços e ferramentas para varredura e gerenciamento de vulnerabilidades. Ele é alimentado com testes de vulnerabilidade mais de 33 mil redes, e é atualizado regularmente. Várias outras ferramentas de segurança gratuito estão integradas no OpenVAS, incluindo plug-ins, como Nmap, um utilitário para a descoberta de rede e inventário. Uma das tarefas críticas em uma avaliação de vulnerabilidade é descobrir todos os recursos que existem dentro da infra-estrutura de rede; Nmap é uma das melhores ferramentas para fazer isso. Organizações muitas vezes omitem a fase de descoberta quando realizam uma avaliação de risco de vulnerabilidade, em vez de trabalhar o que eles conhecem (ou o que eles pensam que conhecem). O Nmap pode fornecer um inventário completo, para fins de avaliação e auditoria.
Empresas que operam uma rede baseada em Microsoft têm a opção de usar o programa gratuíto Baseline Security Analyzer da Microsoft (MBSA), um scanner autônomo de segurança e vulnerabilidade projetado para identificar erros de configuração de segurança comuns. Ele também inclui verificações internas para administração do Windows, Internet Information Server (IIS) e vulnerabilidades de SQL, além de atualizações de segurança para o sistema operacional e aplicativos do Office. Os relatórios produzidos pelo MBSA mostram classificações baseado na gravidade das falhas, de acordo com as recomendações de segurança da Microsoft, e oferecem orientações específicas sobre como corrigir quaisquer problemas. O Blog de Segurança da Microsoft tem mais informações sobre suas outras ferramentas de segurança.
Se uma empresa executa serviços voltados para a Internet, varredura de vulnerabilidades de aplicativos da Web é muito importante; a maioria das vulnerabilidades são encontradas na camada de aplicação, e é aí que os atacantes concentram a maior parte de seus esforços. A principal ferramenta open source de pentest é o Metasploit, que pode ser usado para simular ataques a uma rede para avaliar e validar as vulnerabilidades, verificando a eficácia dos controles de segurança utilizados para mitigá-los.
Nenhuma ferramenta de gestão de vulnerabilidades - livre ou proprietária - é plug-and-play, do tipo configure-e-esqueça. Embora essas ferramentas agregem grande valor, as equipes de segurança precisam de tempo para aprender como elas funcionam, como elas podem ser usados sem afetar o dia-a-dia da operação e o tráfego da rede, e que os resultados e relatórios significam.
É claro que não faz sentido a realização de uma avaliação de risco, se as correções e controles não são postos em prática para reduzir as vulnerabilidades encontradas. Este é o estágio em que o gerenciamento de vulnerabilidades realmente reduz o risco e reforça a postura geral de segurança de uma empresa. Lembre-se também que a avaliação de risco de vulnerabilidade não é um evento único, mas sim uma atividade contínua. Uma vez que a equipe de segurança agiu sobre os resultados e implantados os controles de segurança apropriados, provavelmente está na hora de repetir o processo.
May The Force be with You.
Fonte: http://searchsecurity.techtarget.com/answer/The-best-free-vulnerability-risk-assessment-tools
terça-feira, 8 de julho de 2014
Hackers brasileiros efetuam o possível maior roubo eletrônico na história, um rombo de U$ 3750 milhões
Um dos métodos de pagamento mais populares do Brasil pode estar comprometido há mais de dois anos de acordo com uma empresa de segurança dos EUA.
A fraude, que afeta os pagamentos por boleto bancário, pode ter resultado no roubo de até 3750 milhões de dólares, tornando-se o maior roubo eletrônico na história. A quantidade exata roubada ainda não foi verificada.
Boletos permitirem que um indivíduo pague uma quantia exata para um comerciante e pode ser utilizado e gerado para transações on-line e off-line. Boletos são o segundo meio de pagamento mais popular no Brasil e foram responsáveis por aproximadamente 18% de todas as compras em 2012.
A empresa americana de segurança RSA descreveu o ataque como "uma grande operação de fraude e uma ameaça séria para bancos, comerciantes e clientes de serviços bancários no Brasil."
Embora os pesquisadores ainda não saibam se os fraudadores foram bem sucedidos na coleta de dinheiro em todos os computadores infectados os números por si só são alarmantes: 192.227 PCs foram infectados pelo scam e 83.506 credenciais de e-mail foram roubadas.
O ataque é conhecido coloquialmente como "man-in-the-browser" e funciona através da injeção de malware em navegador de um usuário depois de ter clicado em um link aparentemente genuíno enviado por email. Uma vez que o link é acessado, scammers pode interceptar e alterar detalhes do boleto, sem o conhecimento do usuário.
O analista de segurança Graham Cluley disse que havia uma série de razões por que o ataque tenha sido bem sucedido em uma escala tão grande:
"Infelizmente computadores brasileiros nem sempre têm os mais recente softwares anti-vírus e o fato dos boletos não serem usados frequentemente fora do Brasil poderia ter feito as empresas de segurança ignorarem a ameaça."
A fim de evitar ser vítima deste tipo de golpe, o Sr. Cluley aconselha os usuários a "serem cautelosos ao abrir anexos de e-mail não solicitadas ou clicar em links desconhecidos, e manter o seu computador atualizado com patches de segurança e as últimas atualizações de anti-vírus."
Não sei se levaremos a Copa, mas a taça do cybercrime já é nossa.
Brasil il il il!
May The Force be with You!
Fontes: http://www.bbc.co.uk/news/technology-28145401
https://blogs.rsa.com/rsa-uncovers-boleto-fraud-ring-brazil/
A fraude, que afeta os pagamentos por boleto bancário, pode ter resultado no roubo de até 3750 milhões de dólares, tornando-se o maior roubo eletrônico na história. A quantidade exata roubada ainda não foi verificada.
Boletos permitirem que um indivíduo pague uma quantia exata para um comerciante e pode ser utilizado e gerado para transações on-line e off-line. Boletos são o segundo meio de pagamento mais popular no Brasil e foram responsáveis por aproximadamente 18% de todas as compras em 2012.
A empresa americana de segurança RSA descreveu o ataque como "uma grande operação de fraude e uma ameaça séria para bancos, comerciantes e clientes de serviços bancários no Brasil."
Embora os pesquisadores ainda não saibam se os fraudadores foram bem sucedidos na coleta de dinheiro em todos os computadores infectados os números por si só são alarmantes: 192.227 PCs foram infectados pelo scam e 83.506 credenciais de e-mail foram roubadas.
O ataque é conhecido coloquialmente como "man-in-the-browser" e funciona através da injeção de malware em navegador de um usuário depois de ter clicado em um link aparentemente genuíno enviado por email. Uma vez que o link é acessado, scammers pode interceptar e alterar detalhes do boleto, sem o conhecimento do usuário.
O analista de segurança Graham Cluley disse que havia uma série de razões por que o ataque tenha sido bem sucedido em uma escala tão grande:
"Infelizmente computadores brasileiros nem sempre têm os mais recente softwares anti-vírus e o fato dos boletos não serem usados frequentemente fora do Brasil poderia ter feito as empresas de segurança ignorarem a ameaça."
A fim de evitar ser vítima deste tipo de golpe, o Sr. Cluley aconselha os usuários a "serem cautelosos ao abrir anexos de e-mail não solicitadas ou clicar em links desconhecidos, e manter o seu computador atualizado com patches de segurança e as últimas atualizações de anti-vírus."
Não sei se levaremos a Copa, mas a taça do cybercrime já é nossa.
Brasil il il il!
May The Force be with You!
Fontes: http://www.bbc.co.uk/news/technology-28145401
https://blogs.rsa.com/rsa-uncovers-boleto-fraud-ring-brazil/
quarta-feira, 2 de julho de 2014
PCI DSS Compliance com ferramentas Open Source
Software de segurança de código aberto oferece às organizações uma alternativa de baixo custo aos produtos comerciais. Muitas empresas têm se voltado para o código aberto, principalmente adotando o uso de sistemas operacionais Linux, servidores Web Apache e banco de dados MySQL.
O argumento para o código aberto é simples: Não há nenhuma taxa de licença para o software e as aplicações são conduzidas pela comunidade. Se você precisar de um novo recurso, você pode desenvolver-lo sozinho. O contra-argumento para a abordagem de código aberto é que a instalação e configuração de software de código aberto pode ser complicado e demorado. Dependendo do produto, opções de suporte pode ser limitadas a fóruns de discussão da comunidade ou exigir o pagamento de uma taxa de suporte premium.
Apesar de seus benefícios, poucos viram tecnologia de código aberto como um facilitador para a conformidade, até agora. Em uma apresentação da RSA 2014, os profissionais de segurança da Urbane Security propuseram um modelo de conformidade com o PCI DSS composto por tecnologia de código aberto para ajudar a reduzir custos, aumentar a escalabilidade e melhorar a capacidade de gerenciamento dos sistemas que suportam a conformidade PCI.
Softwares de código aberto têm um lugar em estratégias de conformidade PCI comporativa? Neste post, vamos dar uma olhada nas oportunidades de código aberto para atender a três necessidades específicas de compliance: loggin, monitoramento de integridade de arquivos e verificação de vulnerabilidades.
Sistemas de registro e gerenciamento de log são alguns dos mais avançados produtos de segurança de código aberto disponíveis hoje. Muitos são baseados no protocolo syslog, que fornece um formato padronizado para relatar os eventos do sistema e os transmitir para um servidor rodando um daemon syslog. Servidores syslog são fáceis de configurar e estão disponíveis em quase todas as distribuições Linux modernas. O sistema avançado syslog-ng também está disponível em código aberto e edições premium.
A grande questão sobre syslog é que uma ampla variedade de sistemas operacionais, aplicativos e dispositivos suportam nativamente a criação e a transmissão de registros do syslog. Verifique com os fornecedores para ter certeza, mas você dificilmente encontrará um aplicativo de segurança que não seja capaz de rodar em um ambiente de syslog. A principal exceção notável é o Windows: Para enviar eventos syslog de um servidor Windows, é necessário um produto de terceiros.
PCI DSS exige o uso de um servidor de log consolidado e o syslog está à altura da tarefa. No entanto, o DSS não para por aí. Ele também exige que os registros a serem monitorados estejam em uma base regular usando técnicas manuais ou automatizadas. Suprir esta exigência com um software open source exigirá uma ferramenta mais avançada, assumindo que você não quer criar seus próprios scripts de monitoramento ou manualmente rever entradas do registro. Para uma abordagem de código aberto, dê uma olhada no fluentd e no logstash, ou em ferramentas de monitoramento de logs open source semelhantes. É preciso alguma pesquisa e experimentação para ajustá-los para atender às suas necessidades, a tecnologia de gerenciamento de logs de código aberto pode apoiar eficazmente o cumprimento do PCI.
O requisito 11.5 do PCI DSS exige o uso de um mecanismo de detecção de mudança para verificar a modificação não autorizada de arquivos em pelo menos uma base semanal.
Há uma abundância de produtos comerciais disponíveis para cumprir este requisito, mas um deles, Tripwire, também está disponível em um formato de código aberto. Quando Tripwire, originalmente desenvolvido por Gene Kim e Gene Spafford da Universidade de Purdue, tornou-se um produto comercial, os desenvolvedores fizeram uma versão de código aberto disponível no SourceForge. Esse produto, Open Source Tripwire, permanece disponível hoje para uso livre, e de fato, migrou para o GitHub no ano passado para promover uma maior colaboração.
Alternativamente, uma empresa pode desenvolver o seu próprio sistema de monitoramento de integridade de arquivos baseado em bibliotecas de hash criptográficas disponíveis publicamente. Embora esta abordagem seja viável, que requer um trabalho extra de sua parte, geralmente não tem as capacidades de gestão sofisticadas e polonês de produtos comerciais.
Uma abordagem completamente open source para gerenciamento de vulnerabilidades em um ambiente PCI DSS infelizmente não é possível. A razão é que o PCI DSS exige o uso de um terceiro Approved Scanning Vendor (ASV) independente para completar a análise de conformidade externa trimestral. Lógico que ASVs esperam ser compensados pelos seus serviços. Dito isto, é possível a utilização de software de código aberto para completar os scans internos necessários.
Até 2005, o popular scanner de vulnerabilidade Nessus era um produto de código aberto que podia ser usado gratuitamente. Com o lançamento do Nessus 3 naquele ano, o produto tornou-se de código fechado e agora cobra uma taxa de licença para uso comercial. No entanto, como Tripwire, a versão open source do Nessus sofreu um maior desenvolvimento e permanece disponível como um projeto independente chamado OpenVAS - uma boa opção para orçamentos extremamente limitados. No entanto, o avanço profissional de Nessus, a US $ 1200 por ano, é uma alternativa atraente, e é totalmente suportado pela empresa.
Produtos de código aberto também podem ajudar com o componente de scan de vulnerabilidades de aplicações web. PCI DSS 6.6 determina que as organizações ou realizem avaliações de segurança de aplicativos da Web ou instalem um firewall de aplicação Web para proteger aplicativos voltados ao público. O scanner open source Nikto pode ser usado para atender a esse requisito. Como é o caso com alguns dos outros produtos mencionados neste post, o uso de código aberto pode significar ter que sacrificar os recursos de gerenciamento sofisticados e facilidade de uso em troca de eliminar o preço de licenciamento.
Qual é o veredito sobre comformidade PCI DSS usando código aberto? É definitivamente possível construir um ambiente compatível com PCI DSS com o uso mínimo de software e serviços comerciais. Um ASV ainda terá de ser contratado, mas há uma grande variedade de ferramentas de segurança de código aberto disponíveis para atender as outras exigências. Eles definitivamente precisam de mais cuidados para instalar e manter e, em muitos casos, vai ser sem suporte comercial. A decisão sobre se a redução de custos justificam o tempo e a despesa é sua.
May The Force be with You!
Fonte: http://searchsecurity.techtarget.com/tip/Open-source-PCI-DSS-A-strategy-for-cheaper-easier-PCI-compliance?asrc=EM_NLS_31111317&utm_medium=EM&utm_source=NLS&utm_campaign=20140702_EMM:%20The%20cure-all%20for%20BYOD%20security?_mbacon&track=NL-1820&ad=894591
O argumento para o código aberto é simples: Não há nenhuma taxa de licença para o software e as aplicações são conduzidas pela comunidade. Se você precisar de um novo recurso, você pode desenvolver-lo sozinho. O contra-argumento para a abordagem de código aberto é que a instalação e configuração de software de código aberto pode ser complicado e demorado. Dependendo do produto, opções de suporte pode ser limitadas a fóruns de discussão da comunidade ou exigir o pagamento de uma taxa de suporte premium.
Apesar de seus benefícios, poucos viram tecnologia de código aberto como um facilitador para a conformidade, até agora. Em uma apresentação da RSA 2014, os profissionais de segurança da Urbane Security propuseram um modelo de conformidade com o PCI DSS composto por tecnologia de código aberto para ajudar a reduzir custos, aumentar a escalabilidade e melhorar a capacidade de gerenciamento dos sistemas que suportam a conformidade PCI.
Softwares de código aberto têm um lugar em estratégias de conformidade PCI comporativa? Neste post, vamos dar uma olhada nas oportunidades de código aberto para atender a três necessidades específicas de compliance: loggin, monitoramento de integridade de arquivos e verificação de vulnerabilidades.
Gestão de logs
Sistemas de registro e gerenciamento de log são alguns dos mais avançados produtos de segurança de código aberto disponíveis hoje. Muitos são baseados no protocolo syslog, que fornece um formato padronizado para relatar os eventos do sistema e os transmitir para um servidor rodando um daemon syslog. Servidores syslog são fáceis de configurar e estão disponíveis em quase todas as distribuições Linux modernas. O sistema avançado syslog-ng também está disponível em código aberto e edições premium.
A grande questão sobre syslog é que uma ampla variedade de sistemas operacionais, aplicativos e dispositivos suportam nativamente a criação e a transmissão de registros do syslog. Verifique com os fornecedores para ter certeza, mas você dificilmente encontrará um aplicativo de segurança que não seja capaz de rodar em um ambiente de syslog. A principal exceção notável é o Windows: Para enviar eventos syslog de um servidor Windows, é necessário um produto de terceiros.
PCI DSS exige o uso de um servidor de log consolidado e o syslog está à altura da tarefa. No entanto, o DSS não para por aí. Ele também exige que os registros a serem monitorados estejam em uma base regular usando técnicas manuais ou automatizadas. Suprir esta exigência com um software open source exigirá uma ferramenta mais avançada, assumindo que você não quer criar seus próprios scripts de monitoramento ou manualmente rever entradas do registro. Para uma abordagem de código aberto, dê uma olhada no fluentd e no logstash, ou em ferramentas de monitoramento de logs open source semelhantes. É preciso alguma pesquisa e experimentação para ajustá-los para atender às suas necessidades, a tecnologia de gerenciamento de logs de código aberto pode apoiar eficazmente o cumprimento do PCI.
Monitoramento de integridade de arquivos
O requisito 11.5 do PCI DSS exige o uso de um mecanismo de detecção de mudança para verificar a modificação não autorizada de arquivos em pelo menos uma base semanal.
Há uma abundância de produtos comerciais disponíveis para cumprir este requisito, mas um deles, Tripwire, também está disponível em um formato de código aberto. Quando Tripwire, originalmente desenvolvido por Gene Kim e Gene Spafford da Universidade de Purdue, tornou-se um produto comercial, os desenvolvedores fizeram uma versão de código aberto disponível no SourceForge. Esse produto, Open Source Tripwire, permanece disponível hoje para uso livre, e de fato, migrou para o GitHub no ano passado para promover uma maior colaboração.
Alternativamente, uma empresa pode desenvolver o seu próprio sistema de monitoramento de integridade de arquivos baseado em bibliotecas de hash criptográficas disponíveis publicamente. Embora esta abordagem seja viável, que requer um trabalho extra de sua parte, geralmente não tem as capacidades de gestão sofisticadas e polonês de produtos comerciais.
Gestão de vulnerabilidades
Uma abordagem completamente open source para gerenciamento de vulnerabilidades em um ambiente PCI DSS infelizmente não é possível. A razão é que o PCI DSS exige o uso de um terceiro Approved Scanning Vendor (ASV) independente para completar a análise de conformidade externa trimestral. Lógico que ASVs esperam ser compensados pelos seus serviços. Dito isto, é possível a utilização de software de código aberto para completar os scans internos necessários.
Até 2005, o popular scanner de vulnerabilidade Nessus era um produto de código aberto que podia ser usado gratuitamente. Com o lançamento do Nessus 3 naquele ano, o produto tornou-se de código fechado e agora cobra uma taxa de licença para uso comercial. No entanto, como Tripwire, a versão open source do Nessus sofreu um maior desenvolvimento e permanece disponível como um projeto independente chamado OpenVAS - uma boa opção para orçamentos extremamente limitados. No entanto, o avanço profissional de Nessus, a US $ 1200 por ano, é uma alternativa atraente, e é totalmente suportado pela empresa.
Produtos de código aberto também podem ajudar com o componente de scan de vulnerabilidades de aplicações web. PCI DSS 6.6 determina que as organizações ou realizem avaliações de segurança de aplicativos da Web ou instalem um firewall de aplicação Web para proteger aplicativos voltados ao público. O scanner open source Nikto pode ser usado para atender a esse requisito. Como é o caso com alguns dos outros produtos mencionados neste post, o uso de código aberto pode significar ter que sacrificar os recursos de gerenciamento sofisticados e facilidade de uso em troca de eliminar o preço de licenciamento.
Conclusão
Qual é o veredito sobre comformidade PCI DSS usando código aberto? É definitivamente possível construir um ambiente compatível com PCI DSS com o uso mínimo de software e serviços comerciais. Um ASV ainda terá de ser contratado, mas há uma grande variedade de ferramentas de segurança de código aberto disponíveis para atender as outras exigências. Eles definitivamente precisam de mais cuidados para instalar e manter e, em muitos casos, vai ser sem suporte comercial. A decisão sobre se a redução de custos justificam o tempo e a despesa é sua.
May The Force be with You!
Fonte: http://searchsecurity.techtarget.com/tip/Open-source-PCI-DSS-A-strategy-for-cheaper-easier-PCI-compliance?asrc=EM_NLS_31111317&utm_medium=EM&utm_source=NLS&utm_campaign=20140702_EMM:%20The%20cure-all%20for%20BYOD%20security?_mbacon&track=NL-1820&ad=894591
terça-feira, 1 de julho de 2014
Como quebrar a senha do Microsoft VBA no Excel
Resposta rápida: Abra o documento com LibreOffice.
Se você nos tempos antigos desenvolvia soluções com macros no M$ Excel, M$ Word, etc /* shame on you */ e agora esqueceu a senha /* shame on you number 2 */ ou se vc encontrou uma dessasbizarrices raridades por aí e precisa ver o código mas ele está protegido por senha, seus problemas acabaram.
Para visualizar um código VBA "protegido":
1) Abra o documento no Libre Office.
2) Digite "Alt + F11"
3) Clique em "Editar"
Pronto! Tá aí o código "protegido".
PS: "Agora vc pode dizer que é hacker"
May The Force be with You!
 |
| Como "proteger" um código VBA |
Se você nos tempos antigos desenvolvia soluções com macros no M$ Excel, M$ Word, etc /* shame on you */ e agora esqueceu a senha /* shame on you number 2 */ ou se vc encontrou uma dessas
Para visualizar um código VBA "protegido":
1) Abra o documento no Libre Office.
2) Digite "Alt + F11"
3) Clique em "Editar"
Pronto! Tá aí o código "protegido".
PS: "Agora vc pode dizer que é hacker"
May The Force be with You!
quarta-feira, 11 de junho de 2014
Adolescentes de 14 anos invadem caixa eletrônico usando manual encontrado online
Dois adolescentes de 14 anos invadiram um caixa eletrônico do banco canadense BMO (Bank of Montreal).
Os estudantes Mattew Hewlett e Caleb Turon encontraram um manual de operadores de ATMs (caixas eletrônicos) disponível online que continha uma senha padrão para logar no modo administrador. Eles conseguiram logar na primeira tentativa por que a senha de fábrica nunca tinha sido alterada.
"Nós achamos que seria divertido tentar, mas não esperávamos que funcionasse" disse Mattew a um jornal canadense. Os garotos conseguiram ver quanto dinheiro tinha na máquina, quantas transações foram feitas, dentre outras informações geralmente não disponíveis para o usuário comum.
Os adolescentes ainda mudaram a saudação da máquina de "Bem-vindo ao BMO ATM" para "Vá embora. Este ATM foi hackeado ".
Felizmente os jovens não roubaram dinheiro nem instalaram algum malware no caixa eletrônico, em vez disso, avisaram os funcionários do banco que verificaram que a máquina foi comprometida.
Ralph Marranca, um porta-voz do BMO, disse que nenhum dado de clientes foi exposto. Ele não respondeu imediatamente às perguntas sobre quais os passos que o banco está tomando para garantir a segurança de seus milhares de caixas eletrônicos em todo o país
May The Force be with You!
Fonte:
http://www.winnipegsun.com/2014/06/08/code-crackers--charleswood-teens-hack-into-grant-avenue-atm
Os estudantes Mattew Hewlett e Caleb Turon encontraram um manual de operadores de ATMs (caixas eletrônicos) disponível online que continha uma senha padrão para logar no modo administrador. Eles conseguiram logar na primeira tentativa por que a senha de fábrica nunca tinha sido alterada.
 |
| Padawans apresentam documentos comprovando a invasão do caixa eletrônico. |
"Nós achamos que seria divertido tentar, mas não esperávamos que funcionasse" disse Mattew a um jornal canadense. Os garotos conseguiram ver quanto dinheiro tinha na máquina, quantas transações foram feitas, dentre outras informações geralmente não disponíveis para o usuário comum.
Os adolescentes ainda mudaram a saudação da máquina de "Bem-vindo ao BMO ATM" para "Vá embora. Este ATM foi hackeado ".
Felizmente os jovens não roubaram dinheiro nem instalaram algum malware no caixa eletrônico, em vez disso, avisaram os funcionários do banco que verificaram que a máquina foi comprometida.
Ralph Marranca, um porta-voz do BMO, disse que nenhum dado de clientes foi exposto. Ele não respondeu imediatamente às perguntas sobre quais os passos que o banco está tomando para garantir a segurança de seus milhares de caixas eletrônicos em todo o país
May The Force be with You!
Fonte:
http://www.winnipegsun.com/2014/06/08/code-crackers--charleswood-teens-hack-into-grant-avenue-atm
segunda-feira, 9 de junho de 2014
"If I wish to use the NSA" or "Teoria da Conspiração do Truecrypt"
Na semana passada, uma mensagem dos desenvolvedores do TrueCrypt (ferramenta Opensource de criptografia largamente usada) na página oficial da ferramenta alarmou todo o mundo da InfoSec.
O anúncio dizia que o software não é seguro e pode ter brechas de segurança. O aviso ainda aconselhava os usuários migrassem para o Bitlocker, ferramenta proprietária da Micro$oft.
A principal frase era essa:
"Using TrueCrypt is not secure as it may contain unfixed security issues"
Os teóricos da Conspiração isolaram a primeira letra de cada palavra:
"(U)sing (T)rueCrypt (i)s (n)ot (s)ecure (a)s (i)t (m)ay (c)ontain (u)nfixed (s)ecurity (i)ssues"
O resultado é: "utinsaimcusi"
Se as palavras forem separadas adequadamente obtem-se: "uti nsa im cu si"
Que em latim quer dizer: "If I wish to use the NSA" em pt-br: "Se eu quiser usar a NSA"
Não seria nenhuma novidade se a NSA quiser forçar os desenvolvedores a deixarem uma "back door" no código do Truecrypt.
May The Force be with You!
Fonte: http://pastebin.com/9catw4X7
O anúncio dizia que o software não é seguro e pode ter brechas de segurança. O aviso ainda aconselhava os usuários migrassem para o Bitlocker, ferramenta proprietária da Micro$oft.
A principal frase era essa:
"Using TrueCrypt is not secure as it may contain unfixed security issues"
Os teóricos da Conspiração isolaram a primeira letra de cada palavra:
"(U)sing (T)rueCrypt (i)s (n)ot (s)ecure (a)s (i)t (m)ay (c)ontain (u)nfixed (s)ecurity (i)ssues"
O resultado é: "utinsaimcusi"
Se as palavras forem separadas adequadamente obtem-se: "uti nsa im cu si"
Que em latim quer dizer: "If I wish to use the NSA" em pt-br: "Se eu quiser usar a NSA"
Não seria nenhuma novidade se a NSA quiser forçar os desenvolvedores a deixarem uma "back door" no código do Truecrypt.
May The Force be with You!
Fonte: http://pastebin.com/9catw4X7
sexta-feira, 6 de junho de 2014
SSL Threat Model
 |
| Clique para ampliar. |
Fonte: http://www.infosecurity.us/blog/2014/6/1/ristis-model?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+SecurityBloggersNetwork+%28Security+Bloggers+Network%29
quinta-feira, 5 de junho de 2014
Gmail com OpenPGP
A Google está lançando uma extensão do Chrome para, entre outras coisas, encriptação de email com OpenPGP.
"Ferramentas de criptografia ponta-a-ponta como PGP e GnuPG, em geral, exigem um know-how técnico e esforço manual para serem usadas. Para ajudar a fazer esse tipo de criptografia um pouco mais fácil, nós estamos liberando o código para uma nova extensão Chrome que usa OpenPGP , um padrão aberto apoiado por muitas ferramentas de criptografia existentes." diz o blog de segurança da Google.
A ferramenta suporta as seguintes RFCs: RFC 4880 (OpenPGP Message Format) e RFC 6637 (Elliptic Curve Cryptography (ECC) in OpenPGP).
O código ainda está em fase de testes e não foi lançado na Chrome Web Store. Você pode verificá-lo aqui e ajudar a testar e descobrir vulnerabilidades (e talvez ganhar algum dinheiro!)
Uma ferramenta alternativa é o Mailvelope.
May The Force be with You!
Fonte: http://googleonlinesecurity.blogspot.com.br/2014/06/making-end-to-end-encryption-easier-to.html
"Ferramentas de criptografia ponta-a-ponta como PGP e GnuPG, em geral, exigem um know-how técnico e esforço manual para serem usadas. Para ajudar a fazer esse tipo de criptografia um pouco mais fácil, nós estamos liberando o código para uma nova extensão Chrome que usa OpenPGP , um padrão aberto apoiado por muitas ferramentas de criptografia existentes." diz o blog de segurança da Google.
A ferramenta suporta as seguintes RFCs: RFC 4880 (OpenPGP Message Format) e RFC 6637 (Elliptic Curve Cryptography (ECC) in OpenPGP).
O código ainda está em fase de testes e não foi lançado na Chrome Web Store. Você pode verificá-lo aqui e ajudar a testar e descobrir vulnerabilidades (e talvez ganhar algum dinheiro!)
Uma ferramenta alternativa é o Mailvelope.
May The Force be with You!
Fonte: http://googleonlinesecurity.blogspot.com.br/2014/06/making-end-to-end-encryption-easier-to.html
terça-feira, 27 de maio de 2014
Racismo Americano: Chineses teriam o visto negado para participar de conferências hacker
Há alguns anos era meio utópico falar em cyberguerra. Havia alguns comentários, alguns artigos, mas nada concreto.
Depois do escândalo da NSA, revelado por Edward Snowden, a sujeira debaixo do tapete começou a aparecer.
Nos últimos dias, o governo estadunidense acusou hackers chineses de espionarem e roubarem segredos de 5 empresas americanas. Os norte-americanos ainda disseram que fabricantes chinesas de equipamentos de rede, como a Huawei e ZTE "não eram confiáveis".
A China se defendeu das acusações e como resposta começou a sancionar produtos de rede americanos e está planejando exigir que todos os produtos estrangeiros passem por um "processo crítico de segurança cibernética".
Essa semana um oficial em Washington disse que os EUA estão considerando o uso de restrições na concessão de vistos para evitar que cidadãos chineses assistam conferências de segurança da informação em Las Vegas, como as famosas DefCon e BlackHat.
愿原力与你同在。
Yuàn yuán lì yǔ nǐ tóng zài.
Fonte: http://www.reuters.com/article/2014/05/24/us-cybercrime-usa-china-idUSBREA4N07D20140524
Depois do escândalo da NSA, revelado por Edward Snowden, a sujeira debaixo do tapete começou a aparecer.
Nos últimos dias, o governo estadunidense acusou hackers chineses de espionarem e roubarem segredos de 5 empresas americanas. Os norte-americanos ainda disseram que fabricantes chinesas de equipamentos de rede, como a Huawei e ZTE "não eram confiáveis".
A China se defendeu das acusações e como resposta começou a sancionar produtos de rede americanos e está planejando exigir que todos os produtos estrangeiros passem por um "processo crítico de segurança cibernética".
Essa semana um oficial em Washington disse que os EUA estão considerando o uso de restrições na concessão de vistos para evitar que cidadãos chineses assistam conferências de segurança da informação em Las Vegas, como as famosas DefCon e BlackHat.
愿原力与你同在。
Yuàn yuán lì yǔ nǐ tóng zài.
Fonte: http://www.reuters.com/article/2014/05/24/us-cybercrime-usa-china-idUSBREA4N07D20140524
quinta-feira, 22 de maio de 2014
[OFF-TOPIC] 4 sites para aprender inglês lendo notícias
Na área de InfoSec, ou mesmo na TI em geral é imprescindível compreender o inglês. Segue uma dica de 4 sites para melhorar a leitura e compreensão oral da língua inglesa.
BBC
Notícias curtas em inglês.
Primeiro é apresentado o vocabulário, depois um vídeo curto sobre a notícia com legenda em inglês.
No final há perguntas (e respostas) sobre a notícia.
New in Levels
Notícias curtas em inglês em 3 níveis: básico, intermediário e nativo (notícia original).
Com legendas em inglês (Do Youtube)
The Guardian
Notícias e pequenos artigos em inglês. Em forma de questionário e comentários sobre a notícia em questão. É possível gerar um PDF do artigo.
VOA
Notícias em inglês em 2 níveis e um breve quiz sobre elas no final.May The Force be with You!
segunda-feira, 19 de maio de 2014
Governo Federal Brasileiro deverá usar ferramentas próprias para comunicações
A portaria interministerial número 141 estabeleceu algumas regras para comunicações eletrônicas de órgãos da administração direta, autárquica e fundacional no âmbito federal.
Uma das regras diz que "os serviços de tecnologia da informação deverão ser contratados de empresas ou órgãos da administração federal." Isso implica que os órgãos do governo federal deverão usar ferramentas próprias, um reflexo das denúncias feitas pelo ex-agente da NSA, Edward Snowden, em 2013.
Dentre os serviços de comunicação eletrônica afetados estão:
* Correio eletrônico (email)
* Compartilhamento e sincronização de arquivos
* Mensageria instantânea
* Conferência (webconference)
* Comunicação de voz sobre protocolo de internet (VoIP)
Os programas e equipamentos utilizados pelas instituições públicas para comunicação de dados devem ter características que permitam auditorias para garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações. Segundo o artigo 16 da portaria, software livres e open source são considerados auditáveis.
Os serviços de redes de telecomunicações deverão atender alguns requisitos mínimos, como a utilização de ferramenta de monitoramento e prevenção à instrusão (IPS). Além disso, o armazenamento e recuperação dos dados devem ser realizados em centros de processamento do governo federal.
Que a Força Tupiniquim esteja com vocês!
Uma das regras diz que "os serviços de tecnologia da informação deverão ser contratados de empresas ou órgãos da administração federal." Isso implica que os órgãos do governo federal deverão usar ferramentas próprias, um reflexo das denúncias feitas pelo ex-agente da NSA, Edward Snowden, em 2013.
Dentre os serviços de comunicação eletrônica afetados estão:
* Correio eletrônico (email)
* Compartilhamento e sincronização de arquivos
* Mensageria instantânea
* Conferência (webconference)
* Comunicação de voz sobre protocolo de internet (VoIP)
Os programas e equipamentos utilizados pelas instituições públicas para comunicação de dados devem ter características que permitam auditorias para garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações. Segundo o artigo 16 da portaria, software livres e open source são considerados auditáveis.
 |
| Email do Serpro integrado com vídeo comferência |
Os serviços de redes de telecomunicações deverão atender alguns requisitos mínimos, como a utilização de ferramenta de monitoramento e prevenção à instrusão (IPS). Além disso, o armazenamento e recuperação dos dados devem ser realizados em centros de processamento do governo federal.
Que a Força Tupiniquim esteja com vocês!
quinta-feira, 15 de maio de 2014
NSA implantando dispositivo espião em equipamento Cisco
Este post também poderia ter como título:
"Por que aquele roteador que você comprou demorou tanto pra chegar"
O site Ars Technica divulgou fotos e informações de um processo documentado da NSA (National Security Agency), a Agência Nacional de Segurança norte-americana.
O gerente da NSA descreve o processo:
"Here’s how it works: shipments of computer network devices (servers, routers, etc,) being delivered to our targets throughout the world are intercepted. Next, they are redirected to a secret location where Tailored Access Operations/Access Operations (AO-S326) employees, with the support of the Remote Operations Center (S321), enable the installation of beacon implants directly into our targets’ electronic devices. These devices are then re-packaged and placed back into transit to the original destination. All of this happens with the support of Intelligence Community partners and the technical wizards in TAO."
Os equipamentos eram interceptados e levados para a unidade TAO (Tailored Access Operations) (de localização secreta) onde eram implantados os firmwares secretos para espionagem. Os pacotes eram embalados novamente e encaminhados para o destino final.
Este sistema de implatação de cavalos de Tróia em hardware foram descritos por um gerente NSA como sendo "uma das operações mais produtivas da TAO porque pré-posiciona pontos de acesso em redes alvo de difícil acesso em todo o mundo."
Yes, we scan! E que a Força esteja com vocês.
Fonte: http://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant/
"Por que aquele roteador que você comprou demorou tanto pra chegar"
O site Ars Technica divulgou fotos e informações de um processo documentado da NSA (National Security Agency), a Agência Nacional de Segurança norte-americana.
 |
| Funcionários da NSA abrem cuidadosamente uma caixa de equipamento da Cisco. |
"Here’s how it works: shipments of computer network devices (servers, routers, etc,) being delivered to our targets throughout the world are intercepted. Next, they are redirected to a secret location where Tailored Access Operations/Access Operations (AO-S326) employees, with the support of the Remote Operations Center (S321), enable the installation of beacon implants directly into our targets’ electronic devices. These devices are then re-packaged and placed back into transit to the original destination. All of this happens with the support of Intelligence Community partners and the technical wizards in TAO."
Os equipamentos eram interceptados e levados para a unidade TAO (Tailored Access Operations) (de localização secreta) onde eram implantados os firmwares secretos para espionagem. Os pacotes eram embalados novamente e encaminhados para o destino final.
Este sistema de implatação de cavalos de Tróia em hardware foram descritos por um gerente NSA como sendo "uma das operações mais produtivas da TAO porque pré-posiciona pontos de acesso em redes alvo de difícil acesso em todo o mundo."
Yes, we scan! E que a Força esteja com vocês.
Fonte: http://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant/
segunda-feira, 12 de maio de 2014
Proposta do DoJ tenta legalizar hacking para órgãos federais
O Departamento de Justiça americano (DoJ) formalizou uma proposta para permitir que agências federais
dos EUA invadam secretamente computadores dos suspeitos para
coletar evidências criminais em investigações.
O documento intitulado "COMISSÃO DE REGRAS DE PRÁTICA E PROCESSO" define um conjunto de regras para permitir que as agências federais, incluindo o FBI, obtenha facilmente mandados para invadir computadores para a coleta de evidências do crime sob investigação, quando a localização física do suspeito não é conhecida.
O FBI e outras agências do governo são frequentemente envolvidos na investigação de crimes cibernéticos, em muitos casos, os suspeitos são capazes de esconder sua identidade on-line e o governo tem recursos limitados para rastrear a localização de um computador que teve seu endereço IP disfarçado por um software de anonimato.
As alterações propostas permitem que as agências federais "usem ferramentas de acesso remoto" para investigar as máquinas, quando "o distrito onde os meios de comunicação ou informação está localizado tenha sido ocultado por meios tecnológicos."
"O governo pode manter as chamadas operações de acesso remoto em segredo por até 30 dias. A obtenção de um único mandado de usar o malware para pesquisar potencialmente milhares de computadores em locais desconhecidos violaria disposições constitucionais que as buscas autorizadas pelo tribunal sejam estreitas e particulares, disse Fakhoury da Electronic Frontier Foundation." Relata o blog da Bloomberg.
Esta proposta iria alavancar o uso de exploits 0-day por parte das autoridades para invadir os computadores durante investigações criminais , mas é necessário avaliar disso o impacto sobre a segurança global da Internet.A proposta levanta um debate acalorado sobre a expansão de poderes das agências federais que têm que operar maximizando seu esforço de investigação, preservando a privacidade e a segurança de indivíduo sob investigação.
"Eu não acho que muitos americanos estariam confortáveis com o governo enviando códigos para seus computadores sem o seu conhecimento ou consentimento", "O poder que eles estão buscando é certamente, um amplo.", Disse Nathan Freed Wessler , um advogado da American Civil Liberties Union.
Vamos pensar em uma possível investigação de uma entidade criminosa por trás de uma botnet , a proposta permite que as autoridades federais possam solicitar um único mandado para invadir milhares de computadores infectados, mesmo que localizados fora dos EUA, para recolher provas e detalhes técnicos dos atacantes. Isso significa que proposta semelhante está autorizando as agências federais a espionarem milhares de máquinas legalmente.
"A proposta de alteração permitirá que os investigadores realizem uma busca e apreendam informações armazenadas eletronicamente, instalando remotamente software em um grande número de computadores das vítimas afetadas, nos termos de um mandado emitido por um único juiz ", disse o comitê . " A regra atual , ao contrário, requer a obtenção de vários mandados de fazê-lo, em cada um dos muitos distritos em que um computador afetado pode ser localizado."
May the Privacy be with You!
Fonte: http://securityaffairs.co/wordpress/24830/intelligence/doj-legalize-hacking-federal-agencies.html
O documento intitulado "COMISSÃO DE REGRAS DE PRÁTICA E PROCESSO" define um conjunto de regras para permitir que as agências federais, incluindo o FBI, obtenha facilmente mandados para invadir computadores para a coleta de evidências do crime sob investigação, quando a localização física do suspeito não é conhecida.
O FBI e outras agências do governo são frequentemente envolvidos na investigação de crimes cibernéticos, em muitos casos, os suspeitos são capazes de esconder sua identidade on-line e o governo tem recursos limitados para rastrear a localização de um computador que teve seu endereço IP disfarçado por um software de anonimato.
As alterações propostas permitem que as agências federais "usem ferramentas de acesso remoto" para investigar as máquinas, quando "o distrito onde os meios de comunicação ou informação está localizado tenha sido ocultado por meios tecnológicos."
"O governo pode manter as chamadas operações de acesso remoto em segredo por até 30 dias. A obtenção de um único mandado de usar o malware para pesquisar potencialmente milhares de computadores em locais desconhecidos violaria disposições constitucionais que as buscas autorizadas pelo tribunal sejam estreitas e particulares, disse Fakhoury da Electronic Frontier Foundation." Relata o blog da Bloomberg.
Esta proposta iria alavancar o uso de exploits 0-day por parte das autoridades para invadir os computadores durante investigações criminais , mas é necessário avaliar disso o impacto sobre a segurança global da Internet.A proposta levanta um debate acalorado sobre a expansão de poderes das agências federais que têm que operar maximizando seu esforço de investigação, preservando a privacidade e a segurança de indivíduo sob investigação.
"Eu não acho que muitos americanos estariam confortáveis com o governo enviando códigos para seus computadores sem o seu conhecimento ou consentimento", "O poder que eles estão buscando é certamente, um amplo.", Disse Nathan Freed Wessler , um advogado da American Civil Liberties Union.
Vamos pensar em uma possível investigação de uma entidade criminosa por trás de uma botnet , a proposta permite que as autoridades federais possam solicitar um único mandado para invadir milhares de computadores infectados, mesmo que localizados fora dos EUA, para recolher provas e detalhes técnicos dos atacantes. Isso significa que proposta semelhante está autorizando as agências federais a espionarem milhares de máquinas legalmente.
"A proposta de alteração permitirá que os investigadores realizem uma busca e apreendam informações armazenadas eletronicamente, instalando remotamente software em um grande número de computadores das vítimas afetadas, nos termos de um mandado emitido por um único juiz ", disse o comitê . " A regra atual , ao contrário, requer a obtenção de vários mandados de fazê-lo, em cada um dos muitos distritos em que um computador afetado pode ser localizado."
May the Privacy be with You!
Fonte: http://securityaffairs.co/wordpress/24830/intelligence/doj-legalize-hacking-federal-agencies.html
terça-feira, 22 de abril de 2014
Artigo: O perigo da monocultura de software
Achei esse artigo de 2003 /* old but gold */, The Cost of Monopoly: How the Dominance of Microsoft's Products Poses a Risk to Security, em português algo como: "O custo do monopólio: Como o domínio de produtos da Microsoft representa um risco à segurança".
O artigo custou o emprego de um dos co-autores, Dr. Daniel Geer foi demitido do @Stake, fornecedor na Micro$oft.
Transcrevo o artigo abaixo:
O artigo custou o emprego de um dos co-autores, Dr. Daniel Geer foi demitido do @Stake, fornecedor na Micro$oft.
Transcrevo o artigo abaixo:
quarta-feira, 9 de abril de 2014
Heartbleed - Falha grave no OpenSSL afeta 2/3 da Internet.
Heartbleed é uma falha grave no OpenSSL, biblioteca de código mais popular do mundo para a implementação de criptografia HTTPS em sites , servidores de e -mail e aplicações. Esta vulnerabilidade permite roubar informações protegidas, em condições normais, pela criptografia SSL/TLS usada para proteger a 2 terços dos sites da Internet.
Com a exploração é possível obter as credenciais de usuário, chaves privadas de encriptação, assinaturas e certificados X.509, tudo isso sem deixar nenhum vestígio ou log.
Já saiu o Patch de correção: https://github.com/openssl/openssl/commit/96db9023b881d7cd9f379b0c154650d6c108e9a3
Versões afetadas:
OpenSSL 1.0.1 até 1.0.1f (inclusive) são vulneráveis
OpenSSL 1.0.1g não é vulnerável
OpenSSL 1.0.0 não é vulnerável
OpenSSL 0.9.8 não é vulnerável
CVE: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
Exploit: http://www.exploit-db.com/exploits/32764/
Sites vulneráveis em 8 de abril (de 2014)
https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt
Produtos Cisco vulneráveis:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-heartbleed
Aplicativo para ver se o seu celular está vulnerável:
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector (Android)
Notícias:
http://blog.cloudflare.com/answering-the-critical-question-can-you-get-private-ssl-keys-using-heartbleed
http://g1.globo.com/tecnologia/noticia/2014/04/falha-grave-vaza-dados-de-dois-em-cada-tres-sites-seguros-da-web.html
http://arstechnica.com/security/2014/04/critical-crypto-bug-exposes-yahoo-mail-passwords-russian-roulette-style/
Que a Força esteja com vocês!
Fonte: http://heartbleed.com/
Com a exploração é possível obter as credenciais de usuário, chaves privadas de encriptação, assinaturas e certificados X.509, tudo isso sem deixar nenhum vestígio ou log.
Já saiu o Patch de correção: https://github.com/openssl/openssl/commit/96db9023b881d7cd9f379b0c154650d6c108e9a3
Versões afetadas:
OpenSSL 1.0.1 até 1.0.1f (inclusive) são vulneráveis
OpenSSL 1.0.1g não é vulnerável
OpenSSL 1.0.0 não é vulnerável
OpenSSL 0.9.8 não é vulnerável
CVE: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
Exploit: http://www.exploit-db.com/exploits/32764/
Sites vulneráveis em 8 de abril (de 2014)
https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt
Produtos Cisco vulneráveis:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-heartbleed
Aplicativo para ver se o seu celular está vulnerável:
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector (Android)
Notícias:
http://blog.cloudflare.com/answering-the-critical-question-can-you-get-private-ssl-keys-using-heartbleed
http://g1.globo.com/tecnologia/noticia/2014/04/falha-grave-vaza-dados-de-dois-em-cada-tres-sites-seguros-da-web.html
http://arstechnica.com/security/2014/04/critical-crypto-bug-exposes-yahoo-mail-passwords-russian-roulette-style/
Que a Força esteja com vocês!
Fonte: http://heartbleed.com/
terça-feira, 8 de abril de 2014
R. I. P. Windows XP
Hoje (8 de abril de 2014) é o fim da vida do Windows XP. \0/
Depois de 12 anos de operação, o Sistema Operacional proprietário não terá mais atualizações de segurança nem suporte técnico.
Segundo informações da própria Micro$oft, computadores rodando Windows XP /* por exemplo, o ATM do seu banco */ não devem ser mais considerados seguros /* Em algum momento eles foram?? */ É bem provável que os crackers estejam guardando os exploits para depois da data de hoje.
Fonte: http://www.microsoft.com/en-us/windows/enterprise/end-of-support.aspx
Depois de 12 anos de operação, o Sistema Operacional proprietário não terá mais atualizações de segurança nem suporte técnico.
Segundo informações da própria Micro$oft, computadores rodando Windows XP /* por exemplo, o ATM do seu banco */ não devem ser mais considerados seguros /* Em algum momento eles foram?? */ É bem provável que os crackers estejam guardando os exploits para depois da data de hoje.
 |
| O Windows XP ainda é o segundo Sistema Operacional mais utilizado no Brasil. |
sexta-feira, 28 de março de 2014
Quem são os hackers?
Existe uma discussão eterna sobre o emprego incorreto do termo "hacker" principalmente por parte da imprensa, aquela velha briga só para informar que hacker != cracker que gera posts e emails intermináveis. Mas afinal, quem são os hackers?
Há 4 tipos de pessoas no mundo (os hackers estão marcados com um "x"):
(x) As que sabem e fazem
( ) As que sabem e não fazem
(x) As que não sabem e fazem
( ) As que não sabem e não fazem
Vamos checar o dicionário:
Significado 1: Um perito em programação e resolução de problemas
Significado 2: Uma pessoa que se envolve em uma atividade sem habilidade ou talento
...mas eles têm algo em comum: eles FAZEM!
"Hacking significa apenas construir algo rapidamente ou testar os limites do que pode ser feito."
HACKERS FAZEM!
System.out.println("May The Force be with You!");
Assinar:
Postagens (Atom)