Thursday, February 25, 2010

Guidance Software evolui solução de investigação portátil

A Guidance, líder mundial em Investigação Digital, anunciou hoje novos recursos que transformam o EnCase Portable, uma solução de coleta de dados em um drive USB, em uma ferramenta de triagem, pesquisando palavras-chave e permitindo a visualização de imagens nos computadores suspeitos.


Com a versão 2 do EnCase Portable, qualquer pessoa não-técnica pode facilmente pesquisar dados, ver e coletar dados de um computador suspeito usando um único pen drive USB que contém o software e a chave de licença. A solução EnCase Portable preserva evidências digitais no formato de arquivos válidos juridicamente perante qualquer tribunal.

Maiores informações: http://investors.guidancesoftware.com/releasedetail.cfm?ReleaseID=447266

[Vídeo] Instalação do EnCase 6.15

Olá pessoal! Estou publicando hoje o primeiro de muitos vídeos no meu blog. Estes videos serão produzidos por mim e tratarão de produtos ou ferramentas utilizados nos trabalhos forenses.

Neste primeiro vídeo eu trato a instalação do EnCase 6.15 Enterprise, mas o procedimento é o mesmo para a instalação do EnCase 6.15 Forensic.

O processo da instalação é muito simples: A primeira tela do setup pergunta pelo caminho da instalação. Chamo a atenção para este passo, pois como alguns EnScripts costumam apresentar problemas de incompatibilidade em novas versões do EnCase, é uma boa prática que se mantenha pelo menos as três últimas versões da ferramenta instaladas na máquina (no meu caso, tenho a 6.13, 6.14 e agora a 6.15). Desta forma, é mais garantido que a ferramenta não vá falhar durante uma investigação. Para separar estas versões diferentes dentro do mesmo disco, você pode simplesmente incluir no caminho de instalação do EnCase, o versionamento completo do sistema. No caso do vídeo, a pasta foi renomeada de EnCase 6 para EnCase 6.15.

Após este passo é exibido o contrato de uso do sistema. Após a leitura do contrato e aceitação das cláusulas, marque o box I Agree e clique em Next.

Na próxima tela, aparecem três opções (todas já selecionadas) com itens a serem instalado. As duas primeiras são bastante óbvias (Install Help e Install File Viewers). A última opção, Install HASP Drivers, se diz respeito aos drivers do dongle (hard lock) do EnCase. Não há necessidade de alterar nenhuma opção neste passo. Mantendo as opções selecionadas, clique em Next e aguarde o término da instalação do sistema. A instalação pode demorar mais, dependendo da configuração do seu computador.

Done! Seguindo estes simples passos, a instalação do EnCase foi concluída na máquina.







No próximo vídeo, estarei demonstrando a interface de uso do EnCase. Até lá!

Wednesday, February 24, 2010

brazil forensics blog estréia canal no YouTube

O Blog está estreando hoje um canal no YouTube!!


Através deste canal irei disponibilizar um rico conteúdo para o estudo de computação forense!!


O endereço é http://www.youtube.com/user/brazilforensics

Fraude em cartões de crédito com CHIP

Interessante ataque contra cartões de crédito com dupla autenticação: sistemas de pagamento por cartão de crédito utilizando chip e PIN.



O ataque permite que ao criminoso utilizar um cartão roubado sem saber o PIN: A falha ocorre quando você coloca um cartão em um terminal: a transação acontece quando o titular do cartão é autenticado, seja usando um PIN, utilizando uma assinatura, ou ambos. Esta parte da transação em particular não é autenticada, assim você pode burlar o sistema, fazendo o terminal pensar que a transação é do tipo chip-and-PIN. O resultado é que você pode comprar coisas usando um cartão roubado e um PIN de 0000 (ou qualquer coisa que você quiser). Foram realizados diversos testes, com sucesso. As operações passaram com sucesso e os recibos dizem "Verified by PIN".


Maiores informações estão disponíveis em documento PDF: http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf

fonte: http://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/

Tuesday, February 23, 2010

Google: ataques saíram de escola e universidade da China

Vários investigadores, incluindo especialistas dos serviços de espionagem eletrônica dos EUA, confirmaram que os últimos ataques contra o Google tiveram origem em uma universidade e uma escola de formação profissional da China, segundo o jornal The New York Times.
Os investigadores, que tiveram seus nomes preservados pelo jornal, indicaram que os ataques procedem da universidade de elite Xangai Jiaotong e da escola de formação profissional de Lanxiang.
Os especialistas não podem determinar, porém, se o governo chinês tem relação com as sabotagens, já que é possível que haja manipulação dos computadores das instituições, inclusive de fora da China.
O Google denunciou, no último dia 12 de janeiro, que suas operações tinham sido alvo de ciberataques, provavelmente procedentes da China, com o objetivo de acessar as caixas de e-mails de dissidentes chineses, além de roubar códigos e segredos comerciais da empresa.
Além do Google, cerca de vinte outras empresas foram afetadas ciberataques, que os investigadores acreditam que começaram em abril do ano passado.

fonte: http://www.google.com/hostednews/epa/article/ALeqM5iUZu9Bk-9bUhcuIR6s-oKepPtVcQ



UPDATE 22/02

A agência oficial da China Xinhua citou um porta-voz de uma universidade desconhecida segundo o qual as alegações dos investigadores não tem fundamento, e uma autoridade da escola vocacional garantiu que os ataques não foram originados na instituição.

Li Zixiang, uma autoridade do Partido Comunista que trabalha na Lanxiang, disse que os estudamtes estão atualmente em período de férias. Ele também declarou que há evidência de uma relação entre os ataques e uma aula de ciência da computação na Ucrânia.

Zhou Hui, diretor do escritório geral da instituição, disse à Xinhua que alguns estudantes iniciaram trabalhos militares após concluírem o colégio, mas acrescentou que essa era uma decisão comum.

A China até agora nega envolvimento com o ataque e ressaltou que sua política anti-hackers é transparente e consistente.

Monday, February 22, 2010

Falha faz orkut mostrar posts com erros




Uma falha na rede social do Google faz parte de seus usuários visualizar com erros posts em comunidades.

Os problemas foram notados já no final de semana e afetam apenas usuários que optaram por manter o design antigo da rede social, não migrando para o “novo orkut”.

Maiores informações: http://info.abril.com.br/noticias/internet/falha-faz-orkut-mostrar-posts-com-erros-22022010-42.shl

Friday, February 19, 2010

rootkit é o responsável por telas azuis de erro que estão aparecendo em versões do Windows XP

Depois de instalar a atualização MS10-015 para o Windows, lançada na terça-feira passada (9/2), muitos usuários começaram a reclamar de erros graves, normalmente reconhecidos pela “tela azul da morte”. Empresas de segurança identificaram que o problema na verdade é causado por um rootkit conhecido como TDL3, TDSS (Tidserv) ou Alureon.

A Symantec apontou o Tidserv como responsável por se infiltrar nos drivers do kernel, como o atapi.sys.
Uma vez ligado ao arquivo, ele começa a se espalhar pelo sistema com um comportamento parecido ao de um verme. Softwares de segurança, como antivírus, podem falhar na detecção da ameaça, escondendo a real natureza do problema.

A Microsoft admitiu que os problemas com a famosa “tela azul da morte” aumentaram após o lançamento da atualização MS010-15. Para evitar mais problemas, o Security Response Center da companhia informa que vai congelar a distribuição do update até que o problema seja resolvido. A Microsoft afirmou que não foram detectados problemas relativos à qualidade da atualização.

A Symantec afirma que o problema ocorre por causa de uma alteração feita nos endereços virtuais. A atualização muda os dados utilizados pelo rootkit, o que faz o módulo infectado do kernel chamar endereços inválidos.

A empresa de segurança aponta que a melhor forma de resolver o problema é utilizar um backup dos drivers infectados. Em alguns casos, os usuários devem considerar até mesmo a reinstalação do Windows XP. A Symantec diz que seus antivírus podem identificar os arquivos ameaçados.

 Maiores informações: http://blogs.technet.com/mmpc/archive/2010/02/17/restart-issues-on-an-alureon-infected-machine-after-ms10-015-is-applied.aspx

Falha em gerenciador de download da Adobe permite ataque remoto

A Adobe Systems está trabalhando para corrigir uma falha no Download Manager (Gerenciador de Download), software que utiliza para acelerar os downloads de seus produtos. A brecha pode permitir a inserção de programas maliciosos na máquina da vítima.

O Download Manager inclui um programa executável e um controle ActiveX ou Firefox, dependendo de qual navegador é usado. Devido a uma falha de funcionamento, o invasor "pode forçar o download e a instalação automática de qualquer executável que deseje", escreveu o pesquisador de segurança Aviv Raff, em seu blog. "Se você for ao site da Adobe para instalar uma atualização de segurança para o Flash, realmente pode se expor a um ataque".

O Gerenciador de Download é diferente de atualização do Adobe, que é usado para correção do software. O gerenciador de download roda apenas no computador quando o software é baixado, e ele é removido na próxima inicialização

Esta falha vem a público pouco após a Adobe ter divulgado um pacote de correções para o Flash e o Reader.

Wednesday, February 17, 2010

Mentalidades diferentes, ou como a política pode atrasar o Brasil

O Projeto de Lei 84/99, do senador Eduardo Azeredo (PSDB-MG), que tipifica crimes eletrônicos, não deverá ser aprovado se ainda tiver alguns pontos polêmicos, segundo o deputado Julio Semeghini (PSDB-SP).  A nova lei proposta por Azeredo tipifica e estabelece a punição para crimes eletrônicos como criação e a propagação de vírus, phishing, invasões de redes, acesso e divulgação indevida de dados e pedofilia. O projeto propõe ainda que os provedores armazenem os dados de acessos dos seus usuários por 3 anos e estabelece a criação de equipes de combate ao cibercrime.

Enquanto isso, nos EUA, a Câmara dos Deputados dos Estados Unidos aprovou um projeto de lei que libera 503,7 milhões de dólares para pesquisas e iniciativas educacionais sobre segurança digital.

A Lei de Melhorias em Cibersegurança (íntegra do projeto em inglês disponível em  http://frwebgate.access.gpo.gov/cgi-bin/getdoc.cgi?dbname=111_cong_bills&docid=f:h4061rh.txt.pdf) vai destinar 395 milhões de dólares para a Fundação Nacional de Ciência dos Estados Unidos (NSF na sigla em inglês), dando suporte a projetos de pesquisa em segurança da informação até 2014.

Google anuncia modificações no Buzz por problema de confidencialidade

O Google anunciou modificações em seu novo serviço de rede social Buzz depois de receber queixas dos internautas sobre a falta de proteção da confidencialidade de sua correspondência, informou a equipe encarregada do funcionamento do Gmail.

O Buzz foi lançado na terça-feira e desde então os usuários começaram a se queixar da falta de confidencialidade.

Em resposta às críticas, o Google anunciou na véspera várias mudanças no serviço, com a aplicação de uma "opção mais visível para não mostrar no perfil do usuário a lista de quem ele segue ou a de seus seguidores.

A empresa também anunciou que acrescentará a possibilidade de bloquear os seguidores.

URLs reduzidas, um problema em potencial

As tendências para 2010 no que se refere às ameaças virtuais passam pelo aumento no número de ocorrências com softwares fraudulentos, infecção de serviços de encurtamento de URLs - recurso muito utilizado no Twitter para compactar endereços de internet -, spams em serviços de comunicação instantânea em vários idiomas, incluindo o português.

Os perigos digitais também envolvem o que os especialistas chamam de malware especializado, que pode ser entendido como o uso de códigos maliciosos destinados a serviços específicos, como smartphones e caixa eletrônicos.

Esse é o resumo do cenário que a empresa de segurança Symantec projeta para o próximo ano.

Muitas das ameaças já são conhecidas. O que chama atenção da companhia é a sofisticação e a perspectiva de aumento no número de determinadas ocorrências.

"O uso de URLs mascaradas vai crescer, porque envolve uma grande utilização por parte das pessoas. A intenção é enganar o usuário ao fazê-lo pensar que irá acessar determinado site, quando na verdade ele será direcionado para um local infectado", afirma o diretor de engenharia da Symantec, Paulo Vendramini.

"Outra modalidade que merece atenção é o uso de softwares fraudulentos. Nesse caso, os criminosos vendem programas que pretensamente são de segurança, mas que tem o objetivo real de roubar senhas e outros dados do usuário", diz.

"Deve-se observar que há uma especialização no perfil das ameaças. Assim, códigos maliciosos para smartphones também se mostram comuns gora".

Tuesday, February 2, 2010

[Vídeo] Treinamento EnCase Portable

O EnCase Portable, da Guidance, garante que qualquer pessoa com habilidades básicas no computador pode pesquisar e coletar dados de sistemas, permitindo que os peritos forenses e outros especialistas concentrem seu tempo e atenção em suas áreas de especialização.

A Guidance disponibiliza pelo seu canal do YouTube, três vídeos sobre o EnCase Portable:


EnCase Portable End User Training 3 vídeos

  1. Overview of EnCase(R) Portable (3:14)
  2. EnCase(r) Portable - Using portable to collect data from a powered off computer (4:06)
  3. EnCase(r) Portable - Using portable to collect data from a turned on computer (3:50)


O kit do Portable é composto por:
  • Uma unidade USB de 4GB com EnCase Portable instalado
  • Uma unidade USB de 16GB para armazenamento adicional
  • Um HUB USB de quatro portas
  • Dongle de uso do EnCase Portable
  • Guia de Referência do usuário
  • Resistente maletinha para carregar o kit

MSSQL Injection no site Globosat.globo.com

Observação: A vulnerabilidade já foi reportada, ao setor de suporte responsável da Globo.com atráves de um e-mail.

O MS SQL Server é um SGBD – sistema gerenciador de Banco de dados criado pela Microsoft. O SQL é um Banco de dados robusto e usado por sistemas corporativos dos mais diversos portes.

SQL Injection ou injeção de SQL é uma técnica de invasão de sistemas, em aplicações que não tratam de maneira adequada a entrada de dados do usuário permitindo que comandos SQL maliciosos possam ser enviados ao banco de dados.

Para assistir o vídeo: Clique Aqui



fonte: http://otavioribeiro.com/?p=120