Wednesday, March 31, 2010

Pwn2Own - Final

Dia 26/03 foi o último dia da CanSecWest Vancouver 2010, e com o fim do evento chega ao fim também a edição 2010 do Pwn2Own, evento para hackers detonarem sistemas de grandes fabricantes.



Browsers...
O primeiro a cair foi o Safari no Mac OS X 10.6 (Snow Leopard). Tido como um sistema seguro, a facilidade com que o navegador/sistema da Apple é invadido, ano após ano, põe essa certeza em xeque. Charlie Miller, o mesmo hacker que invadiu o sistema ano passado e em 2008, fez o serviço mais uma vez, agora usando um exploit remoto via site, acessado pelos organizadores do evento.

Na sequência, foi a vez do Internet Explorer 8 no Windows 7 sucumbir. O holandês Peter Vreugdenhil usou um ataque de quatro camadas para burlar proteções nativas do Windows 7, como DEP e ASLR, e então utilizou-se também de um expoit remoto para tomar o controle da máquina.

Próximo: Firefox 3.6 no Windows 7 64-bit. O alemão Nils usou a Calculadora do sistema operacional para causar uma vulnerabilidade de corrupção de memória para executar a invasão, não sem antes também desabilitar DEP e ASLR. Ele diz que poderia ter iniciado o ataque a partir de qualquer processo, e levou alguns dias para criar o código invasor.


iPhone...
Usando um exploit contra uma vulnerabilidade anteriormente desconhecida, a dupla - Vincenzo Iozzo e Ralf Philipp Weinmann - atraíram o iPhone para um site especial e extraíram o banco de dados SMS em cerca de 20 segundos.

O exploit travou a sessão do browser no iPhone, mas Weinmann afirmou que, com algum esforço adicional, ele poderia ter um ataque bem sucedido com o navegador em execução.

"Basicamente, cada página que o usuário visita em nosso site vai pegar o banco de dados SMS e enviá-lo para um servidor que controlamos", explicou Weinmann. Iozzo, que teve problemas de vôo, não estava na hora para desfrutar da glória de ser o primeiro a seqüestrar um iPhone no desafio Pwn2Own.

Weinmann, pesquisador de 32 anos da Universidade do Luxemburgo, colaborou com Iozzo (pesquisador italiano de 22 anos da Zynamics) em todo o processo - de encontrar a vulnerabilidade a escrever o exploit.Todo o processo levou cerca de duas semanas, disse Weinmann.

Halvar Flake, um renomado pesquisador de segurança que ajudou com o exploit, disse que o maior problema foi superar a assinatura de código implementada pela Apple em seu dispositivo móvel.

"Este exploit não sai da caixa de proteção (sandbox) do iPhone," Flake explicou, observando que um invasor pode fazer bastante dano, mesmo sem escapar da sandbox.

"A Apple tem contra-medidas muito boas, mas elas claramente não são suficientes. A maneira como eles implementam a assinatura de código é muito branda", Flake acrescentou.

Além do seqüestro do banco de dados SMS, Weinmann, disse que o exploit vencedor do Pwn2Own poderia ter extraído a lista de contatos, fotografias e arquivos de música iTunes. Ele não tinha certeza se o exploit poderia ter sequestrado e-mails.

Na caixa de proteção do iPhone, Weinmann disse que há um usuário não-raiz chamado "móvel" com certos privilégios de usuário. "Com este exploit, posso fazer qualquer coisa que 'móvel' pode fazer."

Weinmann se recusou a discutir publicamente as técnicas que ele usou para descobrir a vulnerabilidade."Estamos trabalhando no desenvolvimento de técnicas para encontrar uma determinada classe de vulnerabilidades. Eu não quero discutir isso muito."

Aaron Portnoy, pesquisador da TippingPoint Zero Day Initiative (empresa patrocinadora do Pwn2Own), descreveu o ataque como "muito impressionante".

"Era um exploit do mundo real contra um dispositivo popular. Eles extraíram o banco de dados SMS inteiro em cerca de 20 segundos. Era como se uma página da Web estivesse carregando."

A TippingPoint ZDI adquiriu os direitos exclusivos sobre a falha. A empresa irá comunicar o problema à Apple e irá reter detalhes até o lançamento de um patch.

Google Chrome...
Mas voltando ao Chrome, o seu estatuto de vencedor no primeiro dia, não se deve às falhas, estas estão lá e existem. Segundo Charlie Miler o primeiro Hacker a comprometer o Safari, encontrou inclusive uma vulnerabilidade, mas não conseguiu explorá-la devido ao mecanismo de sandbox do browser da Google, que isola componentes críticos do browser, bem como a protecção nativa de aplicações que o browser tira partido do Windows.




Analisamos com alguma surpresa este ano, os Hackers não terem trazido para o concurso o Opera como um dos “alvos”. Talvez devido ao que um dos participantes do Pwn2Own referiu, que usava este browser, por ainda ter uma quota de mercado ínfima e segundo tem conhecimento, devido a este aspecto ninguém neste momento está interessado em tirar partido das suas vulnerabilidades.

Apesar disso seria interessante de ver como o Opera se portava, devido a não existir actualmente estudos de relevo, relativa à segurança deste browser. Contudo não deixam de ser dados importantes e elucidativos, do estado actual da segurança nos browsers.


Claro que o browser da Google não é a prova de engenharia social, mas o sandbox implementado pela Google foi capaz de segurar muitos scripts maliciosos.

Lembrando que todos os sistemas e programas usados nos testes estava atualizados ao máximo, e as falhas exploradas só serão divulgadas após os fabricantes taparem os buracos usados para a execução delas.


EnCase chega a versão 6.16

A Guidance Software atualizou a versão do EnCase. A nova versão promete ser mais rápida e mais estável.





Maiores informações (em inglês):



Multi-Threaded Acquisition
You can use up to five reader threads, 20 worker threads, one hashing thread and one writing thread during an acquisition

Windows Server 2008 R2 Support
EnCase now runs on Windows Server 2008 R2 64-bit with the following applications and modules:

  • Examiner 32- and 64-bit
  • ProSuite 32- and 64-bit, consisting of these modules:
    • EnCase Decryption Suite (EDS)
    • Virtual File System (VFS)
    • Physical Disk Emulator (PDE)
  • FastBloc SE
  • Servlets 32- and 64-bit
Enhanced Mac Servlet Support
EnCase Enterprise now provides the ability to snapshot and acquire across the network both PowerPC- and Intel-based Mac systems running Mac OS X, version 10.5 Leopard

WinAcq
WinAcq is a standalone multi-threaded command line utility that captures physical and logical acquisitions of specified devices. WinAcq is designed to run on a Windows operating system (Windows 2000 or higher) and allows you to specify the target device by volume letter or device number

Enhanced Physical Drive Preview
The previous condition limiting the number of physical devices that can be previewed to 30 has been removed.

Note: This enhancement applies only to Windows XP and higher. With earlier versions (for example, 9X and NT), the device limit is still 30.
LinEn Evidence Verification and Status Reporting
You can now verify evidence files and review the status of the verification using LinEn.

Updated Tableau Write Blocker tabphys.dll
EnCase supports the latest release of Tableau's tabphys.dll, which fixes sporadic crashes. The dll also now provides version information. The latest is 1.2.0.0.

Copy Selected Items from One Folder to Another
EnCase now provides the ability to copy selected items (for example, bookmarks or keywords) as a group from one folder to another. It is no longer necessary to copy the items one at a time

Friday, March 26, 2010

Pwn2Own - as empresas não fazem coisas básicas na área da segurança

Único hacker a vencer três vezes a competição Pwn2Own, Charlie Miller descobriu, recentemente, 20 falhas no Mac OS, Office e Adobe Reader, com o uso de uma ferramenta simples, que procura vulnerabilidades nos sistemas.



Ele é capaz de, em alguns segundos, invadir computadores explorando as mais diversas plataformas. E não entende como empresas como Apple, Microsoft e Adobe, com muito mais dinheiro e equipe, não conseguem achar tantos bugs e fazer melhores produtos na área da segurança.

Miller afirma estar cansado da defasagem na área de proteção de sistemas. “Nós encontramos um bug, eles corrigem. Isso não melhora a segurança do produto. Eles precisam investir direito na melhoria de seus programas”, afirma.

Algumas dessas brechas ele usou para invadir um MacBook com o Snow Leopard e navegador Safari e faturar 10 mil dólares na edição 2010 da competição de hackers.



Ele afirma que seu processo de busca de vulnerabilidades não tem nada de inovador. “Não precisa ser muito esperto. Faço o trabalho básico e continuo achando problemas de segurança”, afirma.

Durante a conferência CanSecWest (na qual acontece o concurso de hackers), no Canadá, ele fez uma apresentação demonstrando como encontrar vulnerabilidades. E convidou Apple, Microsoft e outras empresas a ouvirem e usarem o que ele tinha a dizer.

Miller tomou a decisão de não compartilhar as informações sobre as vulnerabilidades que descobriu. Ele afirma que faz mais sentido ensinar as empresas a acharem essas brechas do que continuar a dar a eles o serviço pronto.

Sobre o Google Chrome, único browser a ainda resistir bravamente as investidas dos competidores, Miller diz:
"Eu encontrei um bug na segurança do navegador do Google, mas não pude explorá-la porque o sandbox implementado pela Google e segurança do sistema operacional, em conjunto, formam um grande desafio."

Pwn2Own 2010 - situação até o momento

Na edição de 2010 do já tradicional concurso de hackers Pwn2Own, bastou o primeiro dia (na verdade os primeiros minutos apenas) para que a segurança no iPhone e no Safari em um Mac caíssem por terra, assim como aconteceu também com o Internet Explorer 8 e o Firefox, ambos no Windows 7.



O iPhone foi hackeado pela dupla formada por Vincenzo Iozzo e Ralf-Philipp Weinmann — este último conhecido por ter feito parte da equipe de três homens que em 2007 demonstrou como quebrar o protocolo WEP de segurança de redes Wi-Fi em um tempo muito menor do que era possível anteriormente. Levou menos de cinco minutos para que os dois explorassem uma brecha de segurança e invadissem o iPhone (sem jailbreak). Pelo feito, a dupla voltou pra casa US$ 15 mil mais rica. Eles criaram um exploit que permite capturar o banco de dados de SMS do iPhone – incluindo mensagens deletadas – com uma simples visita a um website. O exploit poderia ser usado também para capturar a lista de contatos, o banco de dados de e-mail, as fotos e os arquivos de áudio do iTunes armazenados no telefone, diz Weinmann. Tudo com uma simples visita do usuário ao site malicioso, sem nem mesmo precisar sair do sandbox do iPhone.




O hacker Peter Vreugdenhil conseguiu explorar uma vulnerabilidade no Internet Explorer 8 rodando no Windows 7 com um ataque que a TippingPoint (que organiza e financia o evento) definiu como “tecnicamente impressionante”. Ele conseguiu contornar o sistema de prevenção de execução de dados do Windows 7 (Data Execution Prevention, ou DEP) e assim ganhou o prêmio de US$ 10 mil. O pessoal do site PenTestIT detalha como foi feito o exploit.

O único navegador que foi definido como alvo dos ataques no concurso e não foi (até o momento) derrubado foi o Google Chrome. Pelo menos ao primeiro dia de ataques ele resistiu bravamente.



Só uma curiosidade: WTF Pwn2Own mean? Simples: pewn to own. Pewn significa derrotar ou bater em alguém...


Tuesday, March 23, 2010

Google x China, o capítulo final

Chega ao fim uma das mais interessantes histórias envolvendo governo americano, governo chinês, multi nacionais e hackers. A Google divulgou ontem (22/03/10), em nota oficial no blog do Google, que as censuradas buscas chinesas não fazem mais parte do programa da companhia. Agora, todos os serviços com o domínio chinês “.cn” estão sendo redirecionados para “.hk”, pertencente a Hong Kong.


Para a equipe americana de Mountain View, a mudança significa que não há mais censura de resultados de busca aos visitantes chineses.

Desde que o Google anunciou na metade de janeiro que pretendia deixar de censurar seus resultados na China, as ações da empresa caíram em cerca de 6,3%, fechando a 560 dólares na sexta-feira e reduzindo em 11,6 bilhões de dólares sua capitalização de mercado. No período, o índice Nasdaq avançou em 3,4%.

O Google domina o mercado de busca nos Estados Unidos e na maioria dos demais países, mas fica em distante segundo lugar no mercado da China, onde a Baidu, uma poderosa companhia local, lidera. Desde que o Google anunciou a possibilidade de sair da China, as ações da Baidu subiram em 44,5%.

De acordo com o vice-presidente sênior do Google, David Drummond, parte das operações de pesquisa e desenvolvimento da companhia continuarão na China, a fim de manter uma presença mercadológica no país.
Esta operação, porém, segundo o próprio, dependerá da capacidade dos usuários chineses em acessar o domínio de Hong Kong.

Por fim, Drummond diz que a decisão foi tomada pela cúpula de executivos americanos, eximindo os funcionários chineses da responsabilidade do fechamento da busca local.

A China afirmou que o Google violou uma "promessa em escrito" e está "completamente errado" em pôr fim à autocensura de sua página chinesa www.google.cn, sinalizando uma resposta linha-dura na disputa.

Uma autoridade do Gabinete de Informação do Conselho Estatal da China, que ajuda a vigiar as regras de internet do país, fez os comentários após o Google começar a redirecionar usuários chineses ao site de Hong Kong. Seus comentários sugerem que o Google deve esperar problemas com as autoridades chinesas.


fonte: http://googleblog.blogspot.com/2010/03/new-approach-to-china-update.html

Wednesday, March 17, 2010

Como proteger seu computador contra Cracking de senhas

Foi-se o tempo em que a frase "mantenha seu anti-vírus atualizado" era o suficiente para evitar que informações pessoais caíssem nas mãos de desocupados e desordeiros virtuais... Para ser sincero, imagino que "manter seu antivírus atualizado" é inútil. Mas calma, antes de sair desinstalando seu Norton ou seu McAfee, deixe-me explicar meu ponto de vista.

Já está virando rotina o roubo de informações. Muitas vezes aparecem reportagens dizendo que "quadrilha rouba milhões pela internet", "presa quadrilha que aplicava golpes pela internet"... Os golpes acontecem por que os antivírus, mesmo os mais modernos, não tem catalogados todas as ameaças que circulam na internet. Se um bom desenvolvedor construir um código malicioso para roubo de senhas (keylogger), e pedir a alguns amigos que trabalham com manutenção de hardware para disseminar o código, são grandes as chances de nenhum antivírus do mercado pegar. Primeiro, por que é um código novo, não catalogado nas definições dos antivírus (check de assinatura), mesmo com a heurística (uma técnica extremamente complexa utilizada por antivírus para detectar programas maliciosos desconhecidas que ainda não estão nas bases de definição dos antivírus) há grandes chances do antivírus não pegar o código, pois não há, por exemplo, disseminação automática do código (lembra que o amigo que trabalha com manutenção que instalou o "programinha"?).

Mesmo com heurística, o antivírus pode não detectar o código malicioso


Vou listar algumas dicas inteligentes para evitar aborrecimentos causados por senhas perdidas ou roubadas:


  • A senha não deve ser óbvia. Data de nascimento, nome do cachorro, nome do seu ídolo ou da banda de rock que você curte, nem pensar. Palavras comuns, mesmo não relacionadas a você diretamente, devem ser evitadas, pois são quebradas com ajuda de dicionários.
  • A senha deve ser comprida, pelo menos 8 caracteres.
  • A senha deve ser composto por caracteres diversos: letras maiúsculas, caracteres especiais (!, #, $ Etc.) 
  • Não deixe o Internet Explorer salvar sua senha. Isso economiza 2 segundos de digitação mas pode causar muita dor de cabeça. Não seja preguiçoso! O Internet Explores salva estas senhas em arquivos no seu computador. Se um indivíduo mal intencionado tem acesso ao seu computador, pode facilmente roubar suas senhas armazenadas.
  • Você não deve anotar as senhas em um papel. Post-it então nem pensar. Sério, já ví muita gente que cola senha em PostIt debaixo do teclado... Ou até mesmo no monitor!!
  • Você não tem que usar a mesma senha "para todas as ocasiões". Por mais difícil que seja, utilizar a mesma senha para o Orkut, para o Facebook, para o Twitter, pode trazer muitos problemas. Se alguém pega sua senha do GMail, por exemplo, pode te perturbar o Orkut, mas não vai causar danos ao Facebook nem ao Twitter se as senhas forem diferentes.
  • As senhas precisam ser alterados de tempos em tempos. Todo mundo reclama se a senha de rede da empresa precisa ser alterada a cada 30 dias... Mas imagine que alguém pegou sua senha num descuido seu, essa pessoa terá acesso aos seus dados, no pior caso, por 30 dias, depois a senha deve ser trocada.

 
As regras definidas acima são simples para compreender, mas para segui-las é extremamente difícil. Apenas imagine: o acesso a uma caixa de correio, para o provedor de Internet, MSN, para um servidor FTP do provedor de hospedagem, e assim por diante. Além das senhas que temos que conviver no dia-a-dia: senhas de banco, senhas do cartão de crédito, senhas do cartão de refeição... Você já parou para imaginar quantas senhas diferentes você tem que utilizar?

Então, que tal uma forma de criar senhas complexas e simples de serem lembradas ao mesmo tempo?
Por exemplo, utilizando uma seqüência complexa de caracteres para o serviço de e-mail do Yahoo!:

qwertyahoo!7890&

Complexa, não? Mas fácil de lembrar! Vamos desmembrar este bloco de caracteres para ilustrar melhor:

qwerty - Olhe para seu teclado. Viu? São as primeiras teclas da primeira linha do seu teclado. Nesta ordem.
yahoo! - O nome do serviço que você está acessando. Observe que o "Y" é o caractere que faz a união dos dois primeiros blocos de caractéres, por isso eu repeti o "Y" na explicação.
7890 - Seqüencia numérica. Quer facilitar? O "7" é o caracter que está imediatamente acima do caracter "Y", do nome do serviço Yahoo!
& - para terminar, o caracter especial "&". Quer facilitar? É o "7", mas com o SHIFT pressionado...

Assim ficou fácil, certo?

Vamos a mais um exemplo:

asdfgmail%567890%

Também é fácil de entender, né? Assim conseguimos um "algorítimo" para construção de senhas complexas e fáceis de serem lembradas ao mesmo tempo.



Com essas dicas, não há como garantir que suas senhas não serão descobertas por um keylogger, mas pelo menos, você irá dificultar muito a ação de pessoas má intencionadas...

Maiores informaçoes: http://multimediaforensics.com/2010/03/17/how-to-protect-the-computer-from-cracking-of-passwords/

Vulnerabilidade no Microsoft Virtual PC "explora o inexplorável"

Foi descoberta uma vulnerabilidade séria que expõe os usuários do software de virtualização da Microsoft, Microsoft Virtual PC, a ataques hackers mal-intencionados.



A vulnerabilidade, ainda sem correção, permite que um invasor possa burlar as várias camadas de segurança importantes - Data Execution Prevention (DEP), manipuladores de exceção (SafeSEH) e Address Space Layout Randomization (ASLR) - para explorar o sistema operacional da Microsoft, o Microsoft Windows. 
Como resultado, algumas aplicações com bugs que não são explorados quando rodando em um sistema operacional não-virtualizados, são exploráveis quando estão em execução dentro de uma máquina guest no Virtual PC.

A falha está no gerenciamento de memória da máquina virtual. Esta falha permite que páginas de memória mapeada acima de 2GB possa ser acessado com previlégios de leitura ou leitura / gravação na máquina host que está rodando o Virtual PC.

Os softwares afetados incluem: Microsoft Virtual PC 2007, Virtual PC 2007 SP1, Windows Virtual PC e Microsoft Virtual Server 2005. No Windows 7, o recurso Modo XP também é afetado pela vulnerabilidade. 

Em particular, uma aplicação vulnerável em execução no Windows XP Mode do Windows 7 pode ser explorado em um ambiente virtual, enquanto o mesmo aplicativo executado diretamente em um sistema operacional Windows XP SP3 não é. 

O Microsoft Hyper-V não é afetado por esse problema.

Techbiz Forense Digital abre 12 vagas técnicas em 4 cidades

Techbiz Forense Digital está com excelentes oportunidades de trabalho para as cidades de Rio de Janeiro, Brasília, São Paulo e Belo Horizonte.


As informações são do blog SSegurança.






O perfil desejado para cada um dos cargos está descrito abaixo e interessados devem procurar o RH da empresa no telefone (31) 3211-1880 


I - Consultores em Computação Forense Sênior
A - 2 ou mais das certificações EnCE, GCFA/GIAC, CCE, ACSA e CISSP; e
B - ao menos 4 anos de experiência comprovada em Forense Computacional e/ou Resposta a Incidentes de Segurança **em empresas de grande porte**; e
C - experiência com Encase, FTK, ferramentas de SIEM (correlação de logs) e rede (IDS/IPS/Forense de Rede); e
D - Palestra Técnica e/ou Paper publicado em conferências de renome nacional; e
E - entrevista técnica de 1h necessária com um Consultor Sênior; e
F - entrevista com o RH; e
G - disponibilidade para viagens; e
H - referência de 2 ex-gerentes técnicos para entrevista; e
I- levantamento de antecedentes criminais: "capivara" / certidão negativa justiça
II - Analistas de Segurança da Informação – Para serem formados como consultores em computação forense
A - Uma certificação relacionadas à Segurança da Informação (5 acima ou CCSP, MCSO) outros GIAC SANS Institute); e
B - ao menos 2 anos de experiência comprovada em 1) Forense Computacional e/ou 2) Resposta a Incidentes de Segurança e/ou 3) Segurança da Informação **em empresas de médio ou grande porte**; e
C - disponibilidade para viagens; e
D - entrevista técnica de 30min necessária com um Consultor Sênior; e
E - entrevista com o RH; e
F - referência de 1 ex-gerente técnicos para entrevista; e
G- levantamento de antecedentes criminais: "capivara" / certidão negativa justiça 


III - Analista de Suporte Técnico - Para serem formados como analistas de suporte em computação forense:
A - curso técnico de montagem de computadores, conhecimento prático com hardwares, suporte, troubleshooting; e
B - experiência de ao menos 1 ano com suporte técnico (SW/HW), montagem de computadores; e
D - disponibilidade para viagens; e
E - entrevista com o RH; e
F- levantamento de antecedentes criminais: "capivara" / certidão negativa justiça

Saturday, March 6, 2010

Patch Tuesday de março

A Microsoft informou que o pacote de atualizações mensais conhecido por Patch Tuesday que será publicado na próxima semana será composto por dois boletins de segurança que vão corrigir oito vulnerabilidades que afetam o sistema operacional Windows e a suíte de aplicativos Office.

Estes dois boletins de março estão sinalizados com “importantes”, o segundo maior grau de severidade na escala usada pela Microsoft. Mas o que chama a atenção é o fato de as vulnerabilidades permitirem que hackers insiram códigos maliciosos em PCs sem os patches, algo que normalmente a Microsoft classifica com pelos menos “crítico”.

Mas nenhum dos boletins irá trazer correções para algumas falhas já conhecidas e exploradas, incluindo o ataque de Dia Zero identificado em novembro de 2009, ou a falha do Server Message Block (SMB), um arquivo de rede e protocolo de compartilhamento de arquivos que pode ser usado para ataques e que afeta o máquinas com Windows 7 ou com o Windows Server 2008 R2.

E mesmo vulnerabilidades mais recentes, como a que afeta o Internet Explorer e a que envolve o VBScript que poder permitir a PCs com Windows XP rodando o IE serem infectados por malware, e que levou a Microsoft a pedir que os usuários não pressionassem a tecla F1 (ajuda) dentro do browser, serão corrigidas pelo Patch Tuesday de março.

Importante ressaltar que várias versões do Windows estão próximas de terem o suporte encerrado, incluindo o Vista RTM (13/4), Windows XP SP2 (13/7) e Windows 2000 (13/7). Aconselhamos os usuários para que façam a atualização desses programas.

Wednesday, March 3, 2010

scam, spam, hoax e outros e-mails possívelmente perigosos

SCAM é um SPAM, mas nem todo SPAM chega a ser um SCAM.

Pegando carona na definição do tópico anterior e deixando minha contribuição para um glossário de siglas malucas da internet:

Uma boa definição para SCAM é: obtenção de dinheiro por meio de fraude, incluindo personalidades falsos, fotos falsas, fatos falsos, endereços e números de telefone não-existentes, falsificação de documentos, entre outros...

 Enquanto um SPAM pode ser qualquer mensagem indesejada que chega ao seu e-mail (originalmente, apenas mensagens comerciais não solicitadas eram consideradas como SPAM).

Qualquer assunto que foi manchete nos jornais é um possível gerador de SCAMS:
Geralmente o ataque solicita ao destinatário do email a baixar um arquivo executável, mas recentemente, explorando algumas falhas de segurança de navegadores e do sistema operacional, basta visitar uma página na internet, sem baixar ou executar arquivo algum, para ter sua máquina infectada...

Até mesmo a boa e velha recomendação de: não abra e-mails com anexos de pessoas que você não conhece  já não funciona mais... Se sua máquina é infectada, o atacante pode utilizar sua lista de contatos de e-mail para enviar mensagens fraudulentas se passando por você, e enganando assim seus amigos e conhecidos...

O HOAX é uma história falsa (O Orkut vai ser pago a partir de 2009, O MSN vai ser pago a partir de 2010, A Microsoft vai oferecer o Windows de graça para competir com o Linux...) que engana até mesmo portais de conteúdo sérios, como a vez que o Bloomberg matou Steve Jobs em 2008 por conta de um portal colaborativo que publicou um HOAX...

o jogo "FarmVille" e o scam do Haiti

Uma boa definição para SCAM é: obtenção de dinheiro por meio de fraude, incluindo personalidades falsos, fotos falsas, fatos falsos, endereços e números de telefone não-existentes, falsificação de documentos, entre outros... 

Já estamos acostumados a receber dúzias de e-mails fraudulentos, que se beneficiam dos desavisados internautas que acreditam estar com uma dívida no SERASA ou coisas do tipo. Mas agora os golpes estão mais sofisticados, migrando para as redes sociais e os inocentes joguinhos movidos pelo OpenSocial...

A empresa Zynga, responsável pelo game virtual "FarmVille", sucesso no Brasil e no mundo, é suspeita de ludibriar jogadores internautas e reter parte das doações feitas por eles a campanhas humanitárias, como a das vítimas do terremoto no Haiti, em janeiro. A empresa afirma que arrecadou US$ 2,4 milhões em doações em 2009, mas doou apenas 50% deste valor.



A Zynga declara que contribuiu, nos primeiros cinco dias de campanha para o Haiti, logo após o terremoto em janeiro, com 100% do que era doado, e que esse montante chegou a mais de US$ 1,5 milhão. No entanto, a campanha arrecadatória durou 16 dias.

Em janeiro último, dias após o terremoto do Haiti, surgiu um ícone no "FarmVille" que, ao ser clicado, convidava os jogadores a doar US$ 10, US$ 20, US$ 30 ou US$ 40 para as vítimas. Após efetuar o pagamento com cartão de crédito, o jogador descobria que não estava contribuindo diretamente com o Haiti, e sim comprando o dinheiro virtual do jogo. Se quisesse contribuir com as vítimas, aí sim teria de iniciar plantações e colheitas de milho branco virtual (a popular canjica), e somente o que fosse plantado e colhido é que seria enviado ao Haiti. Mas, quem comprou US$ 40, por exemplo, jamais conseguiria gastar o total, porque a campanha tinha duração preestabelecida, e não haveria tempo para contribuir com os FV$ 240 adquiridos.

A sobra de FV$, após dez dias de colheita, só poderia ser usada novamente no jogo --comprando bens, animais e ou decorações virtuais para as fazendinhas.


Apesar de negar "golpe", a empresa não conseguiu negar que induziu os internautas a pensar que doavam dinheiro para as vítimas do terremoto neste ano, quando na verdade estavam apenas adquirindo a moeda usada no jogo.

A Zynga também confirma que somente 50% dos recursos obtidos pelas campanhas de 2009 pelo Haiti foram revertidos de fato para o país. Deste modo, no ano passado foram obtidos US$ 2,4 milhões em doações, mas US$ 1,2 milhão ficou com a empresa, o que ela considera "procedimento comum".

Pessoalmente fico indignado com corporações que se prestam a um papel destes... O jogo já é um sucesso por sí só (o que eu não entendo: achei demasiadamente entediante plantar numa fazenda virtual e depois colher... falta um objetivo no jogo, mas não é essa a discussão deste post), vender as Moedas Verdes para os usuários impacientes com o processo normal do planta-colhe-vende é um negócio lucrativo (e já foi vítima de outros golpes na internet...), mas abusar da boa fé das pessoas de bom coração que querem ajudar a um próximo necessitado, chega a ser covardia, na falta de palavra melhor. Se eu jogasse esse Farmville, já o teria excluído do meu perfil no Facebook e migrado para o plágio Colheita Feliz do Orkut....

Aproveito para reforçar e atualizar a clássica recomendação: se receber um e-mail com anexo suspeito, na dúvida, não abra o arquivo, se for comprar moedas verdes para para ajudar alguém do terremoto do Haiti, Chile ou qualquer outras vítimas de tragédias ainda por vir, NÃO O FAÇA.... Por mais comodo que pareça uma doação pela internet, a história mostra que a chance de não se ajudar a quem precisa é grande. Procure orgãos sérios para captação dos recursos ou entidades sérias de ajuda humanitária. Os mais necessitados agradecem...


Com informações da Folha Online: http://www1.folha.uol.com.br/folha/informatica/ult124u700872.shtml e
http://www1.folha.uol.com.br/folha/informatica/ult124u701710.shtml

Tuesday, March 2, 2010

enterprise network forensic

O que tem em comum as recentes descobertas de botnets espalhadas pelo mundo, a descoberta de detalhes relevantes no caso China X Google e o recente pedido da Microsoft para desativar 277 nomes de domínio da Internet?

A resposta:



Falar da solução da Netwitness é complicado. Conhecendo o produto, é fácil ficar encantado. Como profissional de TI a dez anos, detenho um conhecimento profundo em protocolos de redes e roteamento e utilizava muito a ferramenta Wireshark, desde quando se chamava Ethereal... O que um usuário básico consegue extrair da solução da Netwitness é o mesmo que conseguiria com o Wireshark. Mas conhecendo um pouco mais a fundo a ferramenta, você percebe que o pessoal da Netwitness caprichou.

A Netwitness tem a solução de monitoramento e segurança de rede mais abrangente já desenvolvido. É uma ferramenta de monitoramento que grava tudo que se passa na rede para ajudar o profissional de segurança a resolver alguns dos problemas mais difíceis que enfrentam as organizações de hoje: ameaças internas, o vazamento de dados, atividade de malware, anomalias de rede, anomalias de conformidade, entre outras.

A Netwitness posiciona seu produto no mercado: "Os investimentos em segurança típica até hoje têm-se centrado na criação de ilhas ou camadas de proteção através da instalação de soluções pontuais que detectar um problema específico: Firewall, Antivírus, IDS, IPS... Os invasores não pensam sobre a segurança como um conjunto de "problemas" para o qual existem várias respostas - eles pensam sobre como usar a rede para obter os seus dados. Uma abordagem eficaz exige que as organizações parem de se preocupar somente com soluções de ponto, que criam lacunas de protecção e sobreposições, e começar a pensar em segurança como um requisito único."

O principal produto da Netwitness é o NextGen: "Com dez anos de desenvolvimento investido no núcleo, tecnologia patenteada e experiência comprovada com alguns dos mais exigentes governo e clientes do setor privado, NetWitness NextGen oferece uma estrutura poderosa aplicação cominfra-estrutura distribuída que cresce para atender qualquer exigência."


Você pode obter mais informações sobre a Netwitness e demonstrações dos produtos no canal Netwitness Investigator no Youtube ou no site da empresa.



Parafraseando outro artigo:


O maior culpado pelas infecções dos computadores foram (e são) os próprios usuários e isso torna quase impossível lutar contra essas redes. Como nos ensinou Kevin Mitnick, as pessoas são sempre o elo mais fraco em qualquer sistema de segurança. Hora de começar a ficar paranóico e parar de abrir esses arquivos powerpoint que sua tia te manda.


Leitura recomendada: Newtork Forensics Blog

Forense Digital promove ciclo de palestras

Durante os meses de março, abril e maio, a TechBiz Forense Digital realizará uma rodada de palestras que percorrerá as principais capitais brasileiras.

Neste primeiro momento, o destaque é para as soluções de Network Forensics da Netwitness.

Não perca tempo, se inscreva já e garanta sua vaga!!


Clique na imagem para ampliar

Monday, March 1, 2010

Microsoft Windows 7/Vista Advanced Forensics Guides for Law Enforcement

Estão disponíveis pelo link http://publicintelligence.net/microsoft-windows-7vista-advanced-forensics-guides-for-law-enforcement/, interessantes documentos referente a Law Enforcement no sistema operacional Microsoft Windows versões 6 e 6.1 (Windows Vista e Windows 7).

São arquivos muito interessantes, de leitura recomendada!!

Os arquivos podem ser baixados ainda pelo site Cryptome, pelo link http://cryptome.org/isp-spy/win7-spy.zip

'Guia de espionagem' da Microsoft vaza na web

Desde 1996, o site Cryptome tem divulgado documentos que governos e empresas gostariam que permanecessem secretos. Agora o Cryptome estende seu olhar à web com a liberação do Microsoft Online Services Global Criminal Compliance Handbook, um “guia de espionagem” para agentes da lei e que traz detalhes sobre os dados que a Microsoft obtém, guarda e pode fornecer.

Como a maioria de nós é usuária da Microsoft, há algumas informações que você precisa saber antes de comprar pontos do Xbox Live, se conectar ao Office Live, ou enviar um e-mail no Hotmail.

O que é o “guia de espionagem”?
O Global Criminal Compliance Handbook é um documento explicativo semiabrangente concebido para investigadores, policiais e outros agentes da lei que querem acessar as informações armazenadas pela Microsoft. Ele também oferece amostras de texto para uso em intimações e diagramas que ajudam a entender os registros dos servidores.
O termo “semiabrangente” se justifica aqui porque, com apenas 22 páginas, ele não explora os bits e bytes dos sistemas da Microsoft; é mais como um guia de caça à informação, feito para leigos.

Quais serviços da Microsoft são abordados?
Todos. A Microsoft mantém as informações dos usuários relacionadas aos serviços online. Os dados abrangem de e-mails antigos a números de cartão de crédito. A informação é mantida por um certo período de tempo – às vezes, para sempre.

Os sites mencionados são:
  • Windows Live
  • Windows Live ID
  • Microsoft Office Live
  • Xbox Live
  • MSN
  • Windows Live Spaces
  • Windows Live Messenger
  • Hotmail
  • MSN Groups
Alguns desses serviços da Microsoft podem não se aplicar a um grande número de pessoas. Quem usa o MSN Groups, afinal? Mas o acesso a informações pessoais das contas Xbox Live, por exemplo, pode ser um problema para seus 23 milhões de assinantes, especialmente porque o Xbox Live guarda mais dados do que a maioria dos outros serviços da empresa.

Que informações a Microsoft tem?
Depende do serviço. Segue uma lista dos principais.

::Windows Live ID
A Windows Live ID é um dos principais canais de retenção de dados de usuários. Ela é usada em diversos sites, para limitar a criação de diferentes nomes de usuário e senha. Por seu amplo alcance, o Windows Live ID poderia dar às autoridades legais o acesso a toneladas de informações pessoais sobre a navegação na web. A Microsoft mantém “as 10 últimas combinações de conexão IP e site visitado” dentro do portal da empresa, “e não as últimas dez conexões IP consecutivas”.
No fim da contas, isso não é lá tão ruim. Mas pode ficar pior.

::Hotmail
“Os dados de registros de contas de e-mail são retidos por toda a existência da conta. O histórico de conexões IP é retido por 60 dias”, de acordo com o documento. Mas se você, como muitos, migrou para o Gmail e abandonou o Hotmail, todo o conteúdo da conta é “geralmente apagado depois de 60 dias de inatividade. Se o usuário não reativar sua conta, os serviços gratuitos MSN Hotmail e Windows Live Hotmail se tornarão inativos depois de um período de tempo”.
O conteúdo de e-mail mais antigo que 180 dias pode ser aberto “desde que a entidade governamental siga as instruções de notificação do consumidor” da legislação norte-americana. Se o conteúdo for mais novo do que 181 dias, você precisará de um mandado de busca.

::Xbox Live
O Xbox Live armazena vários tipos de informação:
  • Gamertag
  • Número do cartão de crédito
  • Telefone
  • Primeiro e último nome, com CEP
  • Número de série (mas apenas se o console tiver sido registrado online)
  • Número de solicitação de serviço da Xbox Hotline
  • Conta de e-mail (como @msn.com, @hotmail.com ou qualquer outra conta Windows Live ID)
  • Histórico de IP pelo tempo de vida da gamertag (apenas uma gamertag por vez)
Essas informações são colhidas e mantidas para propósitos bem intencionados, por isso não fique completamente paranóico. Por exemplo, se seu console Xbox 360 for roubado, a Microsoft poderá caçá-lo usando seu grande banco de registros com dados sobre você e sua máquina.

::Office Online e Windows Live SkyDrive

A parte mais assustadora do manual aparece agora. O Office Online e o Windows Live SkyDrive são serviços que armazenam documentos e arquivos na nuvem. As duas páginas dedicadas a estes serviços descrevem somente o que os produtos são e não o acesso que a Microsoft tem à informação. O que a Microsoft pode obter daí? Por quanto tempo os arquivos são mantidos? Quais são os parâmetros legais? Tudo isso é incerto, o que provoca um certo frio na espinha.
A cloud computing (computação em nuvem) é a nova tendência em tecnologia. Empresas podem armazenar documentos financeiros e de negociação sigilosos em uma das nuvens da Microsoft. Se solicitado pelo governo, a Microsoft poderia (ou não?) mergulhar suas mãos em suas planilhas e extrair de lá o que quiser.

O jargão jurídico
A última parte do documento detalha os procedimentos legais necessários para obter informações da Microsoft. Mas com as escutas sem mandado virando moda ultimamente – como evidenciado pelo obscuro acordo do Google com a NSA – ninguém sabe ao certo quantos lacres o governo precisa quebrar para conseguir o que quer.

Uma história breve
Não se sabe como John Young, dono do Cryptome, obteve o Global Criminal Compliance Handbook; o certo é que sua ação mereceu a atenção da Microsoft. A empresa entrou rapidamente com uma ação na Justiça, baseando-se na Digital Millenium Copyright Act (DMCA), alegando violação de direito de autor.

Em 1998, a DMCA tornou crime a produção e a divulgação de métodos tecnológicos capazes de burlar proteções como a DRM, que visam controlar o acesso a produção protegida por direitos autorais. Ela também criminaliza a ação de contornar um controle de acesso, tenha ou não a intenção de infringir um direito de autor.

Algumas organizações têm um problema com o uso da DMCA nesse caso. A Electronic Frontier Foundation “vê problemas na invocação do direito de autor aqui. A Microsoft não vende este manual. Não há mercado para esta obra. Não é um assunto de direito de autor. A cópia de John é para uso justo. Isso é uma questão para a lei de expressão”, disse Cindy Cohn, da Electronic Frontier Foundation, ao ReadWriteWeb. Cohn afirmou que em casos que envolvem ofensas ou segredos comerciais há um procedimento de ir à corte, abrir um caso, e obter uma injunção – preencher uma queixa DMCA, como foi feito, “torna a censura fácil”.

De qualquer modo, a vontade da Microsoft prevaleceu. O hospedeiro do Cryptome, a Network Solutions, tirou o site do ar. Na quarta-feira (24/2), Young solicitou um recurso à Justiça. (Nesta sexta-feira, 26/2, o site voltou ao ar, depois que a Microsoft retirou sua queixa com base na DMCA. A Microsoft, por sua vez, divulgou uma nota sobre o caso, em que afirma que "não pedimos que o site fosse tirado do ar, apenas que o conteúdo da Microsoft fosse retirado do ar. Estamos pedindo que o site seja restaurado e não exigimos mais que o documento seja removido", afirmou a empresa.)

Pessoalmente, penso que The Global Criminal Compliance Handbook não é tão perigoso como alguns podem pensar (exceto pela parte da cloud computing). A Microsoft precisa de medidas para colaborar com o governo em caso de perigo, simples assim. Mas com tanta informação lá fora, boa parte sob “domínio” da Microsoft, não posso ter senão um sentimento de vulnerabilidade e exposição.

E pelo bem da liberdade da internet, é crucial que o Cryptome permaneça no ar. O site serve a um propósito claro e importante; sua mais recente – e talvez a última – divulgação é prova disso.


OBS: Este artigo é uma tradução do original, disponível no site da PCWorld americana, em http://www.pcworld.com/article/190233/microsofts_spy_guide_what_you_need_to_know.html
Todos os direitos reservados.