Thursday, July 29, 2010

Utilizing Entropy to detect the undetectable

Recentemente tive a oportunidade de realizar um curso de EnCase CyberSecurity, ferramenta da Guidance Software que promete revolucionar (de novo) o mercado de segurança da informação. Dentre os recursos da ferramenta, o que mais me chamou a atenção foi um recurso batizado pela Guidance de Entropy. Este Entropy é uma implementação muito feliz do já famoso FUZZY HASHING.

Os meus amigos Sandro Suffert  e Alexandre Teixeira já escreveram ótimos textos sobre FUZZY HASHING, e  como PLÁGIO não é objetivo deste blog, coloco aqui o link para o que já foi publicado:

http://sseguranca.blogspot.com/2009/11/fuzzy-logic-e-fuzzy-hashing.html
http://thedigitalstandard.blogspot.com/2009/11/why-fuzzy-hashing-is-really-cool.html


[  ]´s

Tuesday, July 27, 2010

Felicitações aos novos certificados ACE

Após o treinamento interno de AccessData FTK (AD BootCamp, ministrado por mim =) ), seis Trainees  tentaram o exame de certificação e foram aprovados com notas acima de 90%!

Parabéns aos novos ACE!

Worm para iPhone Jailbreaked

Olá amigos! Ontem (26/07/10) a mídia noticiou, com grande entusiasmo, uma decisão polêmica do governo dos Estados Unidos a favor dos usuários do iPhone: o Jailbreak foi considerado uma prática legal, ou seja, a Apple não pode processar quem faz Jailbreak, muito menos os hackers que divulgam formas de Jailbreak. Na prática, os usuários dos iDevices (iPhone, iPod Touch e iPad) agora podem utilizar softwares não aprovados pela Apple: os apps banidos da AppStore podem ser comercializados pelo Cydia, a loja alternativa. Esta decisão foi baseada no princípio de que os consumidores têm o direito de modificar seus aparelhos da maneira que quiserem. “Se você comprou, ele é seu”, argumenta Jennifer Stisa Granick, da Electronic Frontier Foundation (EFF, ou Fundação Fronteira Eletrônica), uma organização sem fins lucrativos que visa proteger os direitos de liberdade de expressão no contexto da era digital. Indiretamente, a decisão favorece também aqueles que fazem pirataria dos apps disponíveis na AppStore, mas isso é outra história. A Apple sempre foi contra o Jailbreak, argumentando que a prática deixa o iDevice mais vulnerável. De fato, as principais vulnerabilidades disponíveis para iDevices hoje, utilizam SSH (openSSH, habilitado pelo Jailbreak) para infectar os dispositivos. Quando você abre o Cydia, uma das opções da tela principal chama-se Root Password How-To: um passo a passo para alteração da senha do root (a senha padrão é "alpine").


Bem, há alguns dias percebi que meu iPhone estava comendo bateria com farinha, a carga não durava praticamente nada, a primeira coisa que pensei foi: iPhone 3G, velhinho, a bateria já era... Hoje pela manhã, assim que acordei, pensei:  quais processos estão rodando aqui? Abro o bom e velho terminal, #top, e um processo me chama a atenção: poc-bbot. Acho que foi o hífen, não é característico... Uma busca rápida no Google, ainda com sono e... Voilá!! Um wormzinho sem vergonha, ikee, tem até variantes...  #kill no processo, deleto os arquivos e reboot, tudo funciona bem, simples assim... Alterei a senha do root e deixei o iPhone fora da tomada hoje e a bateria está super bem, com 46% de carga, e usando bem: ligações, e-mails, TWITTER (eheheh).... Por excesso de zelo, alterei minha senha do Twitter e minhas senhas de e-mail que estão cadastradas no iPhone, nunca se sabe....

O procedimento para remover este worm eu copiei do iPhone FAQ:


How do I remove the ikee virus from my iPhone?
The ikee worm has spread to jailbroken iPhones in Australia running SSH with the default root password. Follow the steps below to remove all ikee code and prevent Rick Astley from reappearing on your lock screen:
For known variants A, B or C
1. Run the Terminal app.
2. Enter each of the following commands followed by "return" to remove these files.

  • rm /bin/poc-bbot
  • rm /bin/sshpass
  • rm /System/Library/LaunchDaemons/com.ikey.bbot.plist
  • rm /var/lock/bbot.lock
  • rm /var/log/youcanbeclosertogod.jpg
  • rm /var/mobile/LockBackground.jpg

3. Reboot your iPhone.
4. Reinstall the SSH package from Cydia.
5. Follow these instructions to change your default root password and prevent reinfection!

For known variant D
1. Run the Terminal app.
2. Enter each of the following commands followed by "return" to remove these files.

  • rm /System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist
  • rm /usr/libexec/cydia/startup
  • rm /usr/libexec/cydia/startup-helper
  • rm /usr/libexec/cydia/startup.so

3. Enter each of the following commands followed by "return" to reinstall Cydia.
  • su root
  • alpine
  • get-app remove cydia
  • get-app install cydia

4. Reboot your iPhone.
5. Follow these instructions to change your default root password and prevent reinfection!


iphone worm ikee

Por sorte, o Zé Bonitinho aí não apareceu no meu background, mas ele é um sintoma da infecção....

Mais info:

http://www.pcworld.com/businesscenter/article/182893/how_to_deworm_your_iphone.html
http://www.pcworld.com/businesscenter/article/182843/third_iphone_worm_targets_jailbroken_iphones.html
http://www.pcworld.com/businesscenter/article/181906/new_iphone_malware_steals_data_from_jailbroken_phones.html
http://www.macworld.com/article/143784/2009/11/iphone_password.html
http://www.macworld.com/article/143781/2009/11/jailbreak_exploit.html

Thursday, July 8, 2010

AccessData BootCamp (3 day training)

Olá pessoal! Nestes três últimos dias estive em um treinamento de produtos da AccessData que me acrescentou muito conhecimento e informação. A AccessData tem, sem dúvida nenhuma, uma poderosa ferramenta de auxílio ao trabalho de peritos e investigadores de cybercrimes.


Acontece que, desde abril estou em débito com os leitores deste blog, quando a AccessData liberou a versão 3.1.1 do FTK e eu prometi um review das funcionalidades... Pois bem, a versão 3.1.2 já foi liberada e eu já sou certificado AccessData, e estou preparando o material para publicar aqui no blog! O treinamento foi muito proveitoso e eu vou compartilhar aqui com vocês algumas dicas de FTK, PRTK e as outras ferramentas da suíte.

See you!