Video explicando como aproveitar da vulnerabilidade MS12-020 no Windows Server 2008 R2.
sexta-feira, 30 de março de 2012
Técnicas de ataques hacker
Ataques de canal de comando
Esta técnica ataca diretamente um serviço específico, através do envio de comandos da mesma forma que o servidor geralmente recebe. Muito usados em forma de Worm causando negação de serviço.
Ataques direcionados à dados
É o que envolve as informações transmitidas pela rede, ou vírus transmitidos por correio eletrônico, geralmente para roubo de informações que trafegam pela rede, com senhas de internet e números de cartão de crédito
Ataques de terceiros
Caso se permita conexão entrante em qualquer porta acima da 1024, na tentativa de dar suporte a algum protocolo, bastaria utilizar um firewall configurado para não permitir conexões em portas não usadas acima de 1024.
Falsa autenticação
Um dos maiores riscos à redes de computadores, por exemplo, criptografar uma senha e enviá-la pela rede por si só não funciona, pois um hacker pode estar coletando informações que trafegam pela rede com um sniffer (programa que permite capturar dados que trafegam pela rede) e depois usa a senha de forma criptografada mesmo para acessar o sistema.
Packet sniffing
O sniffing é um software que captura as informações que trafegam pela rede, dados importantes devem ser criptografados antes de serem transmitidos de forma que somente o computador de destino possa descriptografá-los. Porém, mesmo um arquivo autenticação criptografado pode ser usado para ataques, mesmo sendo impossível descriptografa-lo: Imagine capurar um pacote usado em hashes (utilização de usuário e senha) se um invasor obter um pacote destes, mesmo sem descriptografar, ele pode apresentar ao servidor de autenticação como sendo dele, o arquivo pode ser usado como credencial. Uma boa estratégia é utilizar servidor Kerberos (A versão 5 do kerberos que é uma versão simplificada, já é nativo no Windows 2003 server quando configurado para controlador de domínio), este método de autenticação tem tempo limite de concessão de tickets que serão usadas na autenticação, deve ser usadas em até 5 minutos, mas este tempo pode ser configurado de acordo com as necessidades da empresa no secpol.msc do servidor.
Injeção de dados
Um invasor que tenha acesso ao roteador que faz a conexão cliente-servidor, pode alterar os arquivos capturados ao invés de somente le-los, causando problemas na integridade do arquivo.
Syn Flood
É um dos ataques mais comuns de negação de serviço, visa impedir o funcionamento de um host ou de um serviço específico. Tudo se baseia na forma com que funciona as conexões a um servidor como no exemplo:
O computador cliente envia um pacote para o servidor com um flg-syn, que indica que deseja fazer uma conexão, o servidor responde um pacote contendo os flags SYN e ACK, indicando que aceitou a solicitação e aguarda o cliente se identifique para que o requerimento seja atendido, o ataque consiste em se enviar várias solicitações com endereço de origem forjado, com isso os usuários autênticos ficam impedidos de fazer uso dos serviços. Causando indisponibilidade.
Ping of death
Consiste em enviar vários pacotes ICMP Echo-request (usados em testes de conexões) com um tamanho muito grande 65500 Bytes, que são muito maiores que o padrão de 32 bytes ocasionando um congestionamento e problemas no servidor, pode ser facilmente evitado com a utilização de um firewall que não permita ping´s superiores à 32 bytes ou simplesmente negue estes pedidos.
IP spoofing
É o nome dado a falsificação de endereços IP, esta técnica permite ao invasor assumir a identidade de qualquer outro computador da rede, através desta técnica, o atacante pode tirar proveito de hosts confiáveis, aí é só acessar os dados. Em um servidor linux este tipo de ataque pode ser evitado facilmente com um firewall, porem a maioria das distribuições já vem com anti-spoofing ativado por padrão.
Ataques com uso de BOTS
Bots são malwares usados para ataques, um computador infectado com um BOT não tem sintoma algum (travamentos, lentidão etc..) O bot fica inativo no sistema até uma data e hora específica (coordenado a distância pelo criador do bot). Geralmente, hackers usam estes bots, espalhando-os pela internet até infectar milhões de computadores, após este periodo e muitos sistemas infectados, o hacker dá início a ação dos bots atacando um servidor por exemplo, com milhõs de “computadores zumbís” como seus aliados, e os donos dos computadores nem se dão conta disso.
Este ataque é capaz de “tirar do ar” grandes servidores de empresas globais.
Kerberos:
Da mitologia, existe o Cerberus, que é um cachorro de trez cabeças que guarda as portas do inferno, baseado nisso, o sistema de autenticação Kerberos é um sistema de autenticação baseado em 3 servidores, (concessão de tickets, autenticação e Serviços)
Ref: Gestão em Ti
Identificação de SQL Injection com SQLIFuzzer
 |
| Scanner de Linha de Comando Detecta Falhas de SQL Injection |
SQLIFuzzer é um scanner de linha de comando, que procura identificar vulnerabilidades de injeção SQL. Ele analisa Burp logs para criar uma lista "fuzzable request", além de ser uma excelente ferramenta bastante utilizada para identificar remotamente as vulnerabilidades de injeção SQL. Ele faz isso através do envio de algumas cargas de injeção de SQL, e examina as respostas a sinais de "injetabilidade".
Johnny: Console gráfica para Jack, o estripador
De fato, desenvolvedores em todo mundo vêm criando ferramentas e consoles gráficas para facilitar a vida daqueles que gostam de brincar com segurança da informação. Agora nós temos o Johnny The Guy, uma console gráfica desenvolvida para o John the Ripper, uma das ferramentas de segurança mais utilizadas.
Testei a ferramenta e não tenho o que reclamar, parece bem detalhada explicando o funcionamento de cada opção.
Espere que gostem!
Script NMAP para verificar a presença de MS12-020 vulnerabilidade RDP
Ontem Sam Bowne estava trabalhando em um script para NMAP, que será capaz de verificar a presença de MS12-020 vulnerabilidade RDP em uma máquina através só de digitalização. Mas, infelizmente, era pouca a chance de sucesso, mais tarde a ea_foundation @ junta Sam Bowne desenvolveu o script Nmap funcionando.
O boletim da microsoft emitiu duas patches de vulnerabilidades MS12-020. CVE-2012-0152 , que corrige uma vulnerabilidade de negação de serviço dentro do Terminal Server, e CVE-2012-0002, que corrige uma vulnerabilidade no Protocolo.Both Remote Desktop fazem parte do Remote Desktop Services.
Os hackers trabalharam rapidamente sobre essa vulnerabilidade em particular e já vimos as tentativas de explorar a falha que existe em uma parte do Windows chamado de Remote Desktop Protocol.
O script funciona através da verificação de um sistema CVE-2012-0152 vulnerability.Patched e sem correção diferem nos resultados de whichwe pode-se concluir se o serviço é vulnerável ou não.
Download Nmap Script: MS12-020-rev.nse
quarta-feira, 28 de março de 2012
SQLMAP Gui – Console gráfica para o SQLMAP
Quem trabalha com testes de intrusão e gosta de procurar por falhas em aplicações, principalmente web, exploráveis via SQL Injection já deve ter ouvido e utilizado o SQLMAP, ferramenta que automatiza este/s tipo/s de ataque.
Mas que tal uma GUI/Console gráfica para facilitar ainda mais esse processo ? Well, essa é a proposta desta nova ferramenta, o SQLMAP Gui, desenvolvida em python.
Com exeção dos profissionais... Vai ter muita gente se dizendo 'racker' agora! kkkk.
Download: SQLMap GUI
terça-feira, 27 de março de 2012
Funcionários do Facebook pintam QR Code enorme que pode ser visto do espaço
Após incentivo de Mark Zuckerberg, colaboradores da empresa resolveram decorar a parte externa do escritório com o código, que tem quase 13 metros quadrados
No início do ano, o Facebook ganhou uma nova sede, localizada em Menlo Park, estado da Califórnia, nos Estados Unidos. Em meio à mudança, até mesmo Mark Zuckerberg pegou latas de spray e ajudou a decorar o novo quartel general da empresa.
Nesse mesmo período, com o intuito de estimular a criatividade de seus colaboradores, o chefão da rede social fez um post incentivando-os a personalizar as áreas de trabalho como bem entendessem.
O código é um link para esta página, que revela um possível novo projeto do site de relacionamento. Segundo o post feito pelo associado do Facebook, o QR Code pintado é tão grande que pode ser fotografado pelos satélites que sobrevoam a Terra.
Desenvolvedores Afirmam: Cavalo de Tróia "Duqu" Ainda Está Ativo
"Duqu", o cavalo de Tróia de acesso remoto descoberto pela primeira vez em novembro de 2011, e que teria sido criado pelos mesmos autores do worm Stuxnet, ainda está sendo modificado por seus desenvolvedores e, obviamente, sendo utilizado em ataques. Uma variante recém-descoberto do arquivo Loader, utilizado para carregar o resto da carga de "Duqu", foi encaminhado para ser analisado por pesquisadores da Symantec, que descobriu que este componente foi compilado em 23 de fevereiro de 2012.
As principais alterações no carregador envolvem um novo algoritmo de criptografia, usado para encriptar os outros componentes, e a falta de uma assinatura com um certificado roubado. De acordo com Costin Raiu da Kaspersky Lab, as alterações que visam evitar a sua detecção pelo toolkit detector foi lançada pela CrySyS Lab, que é um laboratório sediado em Budapeste. O Laboratory of Cryptography and Systems Security foi quem avistou o malware pela primeira vez.
Visão dos Especialistas e Dimensão dos Alvos do Trojan
De acordo com os comentários dos pesquisadores da especialista em segurança Symantec, "embora não tenhamos todas as informações sobre esta infecção, o surgimento deste novo arquivo mostra claramente que os atacantes virtuais ainda estão ativos. Sem os outros componentes do ataque, é impossível dizer se todos os novos desenvolvimentos foram adicionados ao código, desde a última vez que foi visto um comunicado do grupo em novembro de 2011.
Muitos pesquisadores e especialistas, acreditam que o trojan "Duqu" foi criado pelos mesmos autores como o Stuxnet, ou por desenvolvedores que tiveram acesso a seu código fonte. E ao que tudo indica, parece ter sido desenvolvido na mesma plataforma.
As principais alterações no carregador envolvem um novo algoritmo de criptografia, usado para encriptar os outros componentes, e a falta de uma assinatura com um certificado roubado. De acordo com Costin Raiu da Kaspersky Lab, as alterações que visam evitar a sua detecção pelo toolkit detector foi lançada pela CrySyS Lab, que é um laboratório sediado em Budapeste. O Laboratory of Cryptography and Systems Security foi quem avistou o malware pela primeira vez.
Visão dos Especialistas e Dimensão dos Alvos do Trojan
De acordo com os comentários dos pesquisadores da especialista em segurança Symantec, "embora não tenhamos todas as informações sobre esta infecção, o surgimento deste novo arquivo mostra claramente que os atacantes virtuais ainda estão ativos. Sem os outros componentes do ataque, é impossível dizer se todos os novos desenvolvimentos foram adicionados ao código, desde a última vez que foi visto um comunicado do grupo em novembro de 2011.
Muitos pesquisadores e especialistas, acreditam que o trojan "Duqu" foi criado pelos mesmos autores como o Stuxnet, ou por desenvolvedores que tiveram acesso a seu código fonte. E ao que tudo indica, parece ter sido desenvolvido na mesma plataforma.
 |
| Segundo os Desenvolvedores, Trojan Duqu Continua em Plena Atividade |
Todavia, enquanto o principal objetivo do Stuxnet estiver voltado a interrupção das operações na instalação nuclear iraniana de Natanz, "Duqu" está voltado para comprometer sistemas de controle industrial, a fim de coletar informações a partir deles. Os ambientes domésticos e escritórios, onde são utilizados computadores, não devem ficar temerosos diante dessas duas ameaças. Pragavas virtuais dessa natureza tem metas muitos maiores para colocar em prática, devido a dimensão de seus alvos.
Esta conclusão também foi recentemente validada, quando os especialistas da Kaspersky Lab pediram e receberam ajuda de especialistas e programadores de malware, em relação a linguagem e ao módulo de comunicação através do qual Duqu C & C foi escrito.
Opiniões Colaborativas, Compilação e Linguagem C
Através da colaboração de uma variedade de comentários e e-mails enviados a sua maneira, a linguagem foi finalmente identificada como uma linguagem C orientada a objetos (OO C), com extensões especiais compiladas com o Microsoft Visual Studio 2008. Como o resto dos componentes de "Duqu" foram escritos em C + + e compilados com o Microsoft Visual C + + 2008, a questão que a descoberta tem levantado é "por que" nem todos componentes foram escritos e compilados com ele.
Levando esses fatos em consideração, duas possíveis (e úteis) respostas foram dadas pelos programadores: os autores do componente queriam ter certeza de que ele iria funcionar como deveria (enfatizando que código C + +, quando compilado, é imprevisível), e que seria bem melhor, sempre trabalhar com qualquer compilador, em qualquer plataforma.
Através da colaboração de uma variedade de comentários e e-mails enviados a sua maneira, a linguagem foi finalmente identificada como uma linguagem C orientada a objetos (OO C), com extensões especiais compiladas com o Microsoft Visual Studio 2008. Como o resto dos componentes de "Duqu" foram escritos em C + + e compilados com o Microsoft Visual C + + 2008, a questão que a descoberta tem levantado é "por que" nem todos componentes foram escritos e compilados com ele.
Levando esses fatos em consideração, duas possíveis (e úteis) respostas foram dadas pelos programadores: os autores do componente queriam ter certeza de que ele iria funcionar como deveria (enfatizando que código C + +, quando compilado, é imprevisível), e que seria bem melhor, sempre trabalhar com qualquer compilador, em qualquer plataforma.
Ref: Under Linux
Sistemas Móveis: Exploits e Ataques de Injeção de Comandos Shell
A IBM divulgou os resultados de sua X-Force Trend Report e Risk 2011, que mostra melhorias surpreendentes em diversas áreas de segurança relacionadas a Internet. Dentre os progressos, está a redução das vulnerabilidades de segurança do aplicativo, o código de exploração e spam. Os invasores de hoje estão sendo obrigados a repensar suas táticas, visando mais as vulnerabilidades que existem na área de TI e tecnologias emergentes, envolvendo as redes sociais e o uso de dispositivos móveis.
 |
| Mudança no Cenário de Ameaças Requer Maior Atenção Relacionada a Segurança |
O relatório revelou uma queda de 50% no número de e-mails de spam em relação ao ano de 2010. Além disso, foram registrados os patches de vulnerabilidades de segurança, aplicados pelos fornecedores de software, com apenas 36% de vulnerabilidades restantes sem correção em 2011 em comparação aos 43% em 2010, e maior qualidade de código de aplicativo de software. Mas, devido a essas melhorias, parece que os atacantes estão evoluindo as suas técnicas. Isso é o que mostra o relatório, ao revelar um aumento de tendências de ataques emergentes, incluindo exploits móveis, adivinhação de senha de modo automatizado, e uma onda de ataques de phishing.
A expansão de ataques automatizados de injeção de comando shell contra servidores Web, pode ser uma resposta aos esforço bem sucedidos para fechar os outros tipos de vulnerabilidades em aplicações da Internet. De acordo com as declarações de Nick Bradley, gerente sênior de Operações de Segurança Glogal da IBM, "embora os resultados do nosso relatório tenha mostrado dados surpreendentes em diversas áreas de segurança da Internet, as novas tecnologias, sistemas móveis e computação em nuvem também continuam a criar desafios para a segurança da empresa. O cenário de ameaças mudou, e isso mostra que há a necessidade de uma nova abordagem holística, com uma camada de inteligência e análise mais aprofundada".
A expansão de ataques automatizados de injeção de comando shell contra servidores Web, pode ser uma resposta aos esforço bem sucedidos para fechar os outros tipos de vulnerabilidades em aplicações da Internet. De acordo com as declarações de Nick Bradley, gerente sênior de Operações de Segurança Glogal da IBM, "embora os resultados do nosso relatório tenha mostrado dados surpreendentes em diversas áreas de segurança da Internet, as novas tecnologias, sistemas móveis e computação em nuvem também continuam a criar desafios para a segurança da empresa. O cenário de ameaças mudou, e isso mostra que há a necessidade de uma nova abordagem holística, com uma camada de inteligência e análise mais aprofundada".
Ref: Under Linux
Descobertas Sobre o Trojan "Georbot"
A ESET divulgou uma análise referente ao Trojan Georbot. Essa praga cibernética é especialista em roubar informações e vem se espalhando na Geórgia (o que origina o nome da botnet). No início deste ano de 2012, a equipe de pesquisa global da ESET descobriu o Win32/Georbot, um botnet que apresenta algumas características muito interessantes de comunicação. Entre outras atividades, ele tenta roubar documentos e certificados, além de ser capaz de criar gravações em áudio e vídeo, e ainda pode navegar em uma rede local para obter informações.
De forma curiosa, esse trojan utiliza um site governamental georgiano para atualizar o seu sistema de "Comando e Controle" (C & C) e por causa disso, os pesquisadores da ESET acreditam que o "Georbot" tem como alvo prioritário, usuários de computador na Geórgia. Outra característica incomum do programa malicioso, é que ele procura "Remote Desktop Configuration Files" e, portanto, permite que atacantes roubem esses arquivos para enviá-los para máquinas remotas sem explorar qualquer vulnerabilidade.
De forma curiosa, esse trojan utiliza um site governamental georgiano para atualizar o seu sistema de "Comando e Controle" (C & C) e por causa disso, os pesquisadores da ESET acreditam que o "Georbot" tem como alvo prioritário, usuários de computador na Geórgia. Outra característica incomum do programa malicioso, é que ele procura "Remote Desktop Configuration Files" e, portanto, permite que atacantes roubem esses arquivos para enviá-los para máquinas remotas sem explorar qualquer vulnerabilidade.
Desenvolvimento do Trojan e Comprometimento de Sistemas
Nesse cenário de ameaça, o fator mais preocupante é que o desenvolvimento deste malware está em curso. Além disso, todas as variantes que foram encontradas pela ESET são muito recentes, pois sua descoberta ocorreu no dia 20 de março de 2012. De acordo com as considerações de Pierre Marc-Bureau, Security Manager do Programa de Inteligência da ESET, "isso não significa, automaticamente, que o governo da Geórgia esteja envolvido. Muitas vezes as pessoas não estão conscientes de que seus sistemas estão comprometidos por essas pragas do mundo virtual".
Nesse cenário de ameaça, o fator mais preocupante é que o desenvolvimento deste malware está em curso. Além disso, todas as variantes que foram encontradas pela ESET são muito recentes, pois sua descoberta ocorreu no dia 20 de março de 2012. De acordo com as considerações de Pierre Marc-Bureau, Security Manager do Programa de Inteligência da ESET, "isso não significa, automaticamente, que o governo da Geórgia esteja envolvido. Muitas vezes as pessoas não estão conscientes de que seus sistemas estão comprometidos por essas pragas do mundo virtual".
 |
| Trojan Georbot é mais uma Ameaça Desenvolvida pelos Cibercriminosos |
Há a grande necessidade de perceber, que a Agência de Intercâmbio de Dados do Ministério da Justiça da Geórgia e sua CERT nacional, estavam conscientes da situação desde o início de 2011 e, em paralelo, cooperou com o ESET nesta matéria. De todas as máquinas infectadas, 70 por cento delas foram localizadas na Geórgia. Nessa sequência, foram encontradas máquinas infectadas nos Estados Unidos, na Alemanha e na Rússia.
Painel de Controle e Características do Trojan
O "Georbot" possui um mecanismo de atualização de se transformar em novas versões, e isso acontece como uma tentativa de passar despercebido pelos scanners anti-malware. Além disso, o bot também possui um mecanismo de fallback , não podendo alcançar o servidor C & C, situação na qual ele irá se conectar a uma página especial que foi colocada em um sistema oferecido pelo governo georgiano.
Os pesquisadores da ESET também foram capazes de obter acesso ao painel de controle do bot, dando informações claras sobre o número de máquinas afetadas, a sua localização e seus possíveis comandos. A informação mais interessante encontrada no painel de controle foi uma lista, contendo todas as palavras-chave que foram alvo nos documentos sobre os sistemas infectados. Entre as palavras-chave, todas elas no idioma Inglês, estão: ministry, service, secret, agent, USA, Russia, FBI, CIA, weapon, FSB, KGB, phone e number.
A funcionalidade de gravar vídeo através da webcam, tirar screenshots, e lançar ataques DDoS foi usada diversas vezes. "O fato do trojan usar um site georgiano para atualizar o seu C & C, provavelmente sendo o mesmo site usado para a sua propagação, sugere claramente, que pessoas na Geórgia possam ser um alvo primário. Por outro lado, o nível de sofisticação para esta ameaça é baixa. Os investigadores da ESET acham, que se esta operação fosse patrocinada por um Estado, teria características mais profissionais e furtivas. A hipótese mais provável é que o Win32/Georbot tenha sido criado por um grupo de criminosos que tentam encontrar informações sigilosas, a fim de vendê-las para outras organizações.
Sagacidade e Sofisticação do Cibercrime
Conforme um pronunciamento do pesquisador sênior da ESET, Righard Zwienenberg, "o cibercrime está se tornando cada vez mais profissional e orientado, como se fosse uma partida de futebol decisiva, onde os melhores jogadores entram em campo". O pesquisador também acrescentou que "o Win32/Stuxnet e Win32/Duqu são exemplos de crimes cibernéticos de alta tecnologia e serviram a um propósito específico, mas a Win32/Georbot, (surgindo com um nível de sofisticação ainda inferior), tem características únicas e métodos para chegar exatamente aonde os seus desenvolvedores planejaram.
Painel de Controle e Características do Trojan
O "Georbot" possui um mecanismo de atualização de se transformar em novas versões, e isso acontece como uma tentativa de passar despercebido pelos scanners anti-malware. Além disso, o bot também possui um mecanismo de fallback , não podendo alcançar o servidor C & C, situação na qual ele irá se conectar a uma página especial que foi colocada em um sistema oferecido pelo governo georgiano.
Os pesquisadores da ESET também foram capazes de obter acesso ao painel de controle do bot, dando informações claras sobre o número de máquinas afetadas, a sua localização e seus possíveis comandos. A informação mais interessante encontrada no painel de controle foi uma lista, contendo todas as palavras-chave que foram alvo nos documentos sobre os sistemas infectados. Entre as palavras-chave, todas elas no idioma Inglês, estão: ministry, service, secret, agent, USA, Russia, FBI, CIA, weapon, FSB, KGB, phone e number.
A funcionalidade de gravar vídeo através da webcam, tirar screenshots, e lançar ataques DDoS foi usada diversas vezes. "O fato do trojan usar um site georgiano para atualizar o seu C & C, provavelmente sendo o mesmo site usado para a sua propagação, sugere claramente, que pessoas na Geórgia possam ser um alvo primário. Por outro lado, o nível de sofisticação para esta ameaça é baixa. Os investigadores da ESET acham, que se esta operação fosse patrocinada por um Estado, teria características mais profissionais e furtivas. A hipótese mais provável é que o Win32/Georbot tenha sido criado por um grupo de criminosos que tentam encontrar informações sigilosas, a fim de vendê-las para outras organizações.
Sagacidade e Sofisticação do Cibercrime
Conforme um pronunciamento do pesquisador sênior da ESET, Righard Zwienenberg, "o cibercrime está se tornando cada vez mais profissional e orientado, como se fosse uma partida de futebol decisiva, onde os melhores jogadores entram em campo". O pesquisador também acrescentou que "o Win32/Stuxnet e Win32/Duqu são exemplos de crimes cibernéticos de alta tecnologia e serviram a um propósito específico, mas a Win32/Georbot, (surgindo com um nível de sofisticação ainda inferior), tem características únicas e métodos para chegar exatamente aonde os seus desenvolvedores planejaram.
domingo, 25 de março de 2012
Aplicativo bloqueia o rastreamento dos seus dados pessoais
Programa desenvolvido por ex-funcionários da Google evita que serviços online, como Facebook, Twitter e Yahoo!, acessem as suas informações de navegação.
Não é de hoje que o quanto as empresas invadem a nossa privacidade e quais tipos de informações elas têm sobre nós são motivos de discussões e polêmicas. Para evitar que serviços online rastreiem os dados dos internautas, Brian Kennish e Austin Chau criaram um aplicativo chamado Disconnect.
Como informado pelo site Tech Crunch, o mais irônico nessa história é que esses dois desenvolvedores são ex-funcionários da Google, uma das organizações mais criticadas por suas políticas de privacidade.
Esse programa possibilita que as pessoas controlem todo o tráfego de dados offline dos seus computadores. Dessa forma, serviços como o Facebook, Twitter, Yahoo! e Google não conseguem ter acesso as suas informações de navegação. Clique aqui para baixar o Disconnect.
sexta-feira, 23 de março de 2012
Ameaça que roubou mais de 45 mil senhas do Facebook surge em nova versão.
De acordo com um recente relatório divulgado pelo laboratório da ESET – companhia global de soluções de segurança – na América Latina, em janeiro de 2012, foi identificada uma nova versão do worm Ramnit, responsável pelo roubo de mais de 45 mil senhas de acesso dos usuários do Facebook de todo o mundo, principalmente na França e na Inglaterra.
“Essas ações confirmam a tendência de que, cada vez mais, serão criados malwares voltados às redes sociais, por conta do grande impacto que causam nos usuários e por seu poder de propagação. Uma vez que uma conta é violada, torna-se muito fácil que o cibercriminoso espalhe a ameaça entre todos os contatos dessa vítima e, assim, aumente potencialmente o número de pessoas afetadas”, afirma Raphael Labaca Castro, especialista de Awareness & Research da ESET na América Latina.
O pesquisador aponta ainda que a ação do Ramnit não se restringe apenas ao Facebook. Isso porque, caso a vítima reutilize a mesma senha em outros serviços na internet, os cibercriminosos têm condições de ampliar seus ataques para ambientes fora das redes sociais.
O relatório sobre as ameaças de janeiro de 2012 da ESET aponta ainda que o malware Win32/Dorkbot tornou-se a ameaça com maior índice de detecção na América Latina, desde o seu surgimento, há apenas seis meses. Esse código malicioso transforma os equipamentos infectados em parte de uma rede botnet, além de roubar as senhas de acesso dos usuários e realizar ataques de phishing contra clientes de bancos da região.
Segundo o sistema de estatística ThreatSense.Net, da ESET, as dez principais ameaças à segurança da informação detectadas durante o mês de janeiro foram:
1. HTML / ScrInject.B - Porcentagem total de detecções: 4,98%
Infecção de páginas web HTML que contêm script ou Iframe que são redirecionados automaticamente para o download do malware.
2. INF/Autorun - Porcentagem total de detecções: 4,41%
Arquivo utilizado para executar e propor ações automaticamente, quando uma mídia externa, como um CD, DVD ou dispositivo USB, é lido pelo equipamento.
3. HTML/IFrame.B - Porcentagem total de detecções: 2,74%
Iframe malicioso encontrado em páginas HTML que, posteriormente, são redirecionados para uma URL específica com conteúdo malicioso.
4. Win32/Conficker - Porcentagem total de detecções: 2,01%
É um worm que se propaga com o uso da internet como plataforma de ataque, aproveitando de diferentes vulnerabilidades nos sistemas operacionais Microsoft Windows que já foram corrigidos, além de outras tecnologias como os dispositivos de armazenamento removível e recursos compartilhados de rede. Dessa maneira, um cibercriminoso pode controlar o sistema de forma remota e realizar ações maliciosas sem a necessidade de utilizar senhas de acesso de usuários válidas.
5. Win32/Dorkbot - Porcentagem total de detecções: 1,31%
Worm que é propagado por meio de mídias removíveis e que contém um backdoor. Pode ser controlado remotamente. Obtém as senhas de acesso dos usuários quando utilizam determinados sites.
6. Win32/Autoit - Porcentagem total de detecções: 1,08%
Trata-se de um worm que é propagado geralmente por meio de mídias removíveis, embora algumas variantes sejam enviadas via MSN. Pode chegar ao sistema como um arquivo baixado desde um site malicioso e, em seguida, realiza o download de um novo malware. Após o ataque, procura por todos os arquivos executáveis e os troca por uma cópia da própria ameaça. É propagado tanto no disco local como nos recursos da rede.
7. JS/TrojanDownloader.Iframe.NKE - Porcentagem total de detecções: 0,96%
É um trojan que redireciona o navegador para uma URL específica com código malicioso. Geralmente, é encontrado em páginas HTML.
8. Win32/Sality - Porcentagem total de detecções: 0,92%
O Sality é um vírus polimórfico. Quando é executado, inicia um serviço e cria ou elimina registros relacionados com as atividades de segurança no sistema. Modifica os arquivos .exe e .scr, além de desativar os serviços e processos referentes às soluções de segurança.
9. JS/Frame.As - Porcentagem total de detecções: 0,70%
É um script malicioso programado em JavaScript que redireciona o navegaddor para uma URL específica com código potencialmente malicioso. Geralmente, é encontrado em páginas HTML, HTM ou PHP.
10. Win32/Spy.Ursnif.A - Porcentagem total de detecções: 0,70%
O Win32/Spy.Ursnif.A se refere a uma aplicação do tipo spyware que “rouba” as informações do equipamento atacado e as envia para uma localização remota, criando uma conta de usuário oculta para permitir a comunicação entre as conexões remotas.
Bankers Russos Utilizam Trojan "Carberp" para Roubar £ 2.750.000.
 |
| Criminosos Usaram Trojan Carberp para Realizar Fraudes Bancárias |
Ontem, dia 22 de março, oito elementos foram detidos em Moscou, sob suspeita de ter feito um roubo de £ 2.750.000 com a utilização de um trojan bancário. Conhecido como "Carberp" e descoberto no Outono de 2010, este perigoso toolkit trojan é especializado em interceptação de dados bancários dos usuários e posteriormente, em transferir esses dados para um servidor C & C (Comando e Controle). O trojan também conseguiu contornar a tecnologia User Account Control (UAC), que foi introduzida junto com o Windows Vista.
CA Technologies Alerta Sobre Vulnerabilidade DoS.
A CA Technologies está fazendo um alerta sobre algumas versões do CA ARCserve Backup para sistemas Windows. O motivo do alerta é que essas versões, contém uma vulnerabilidade de segurança ( CVE-2012-1662 ) que pode ser explorada por um atacante remoto causando uma condição de negação de serviço (DoS), com a intenção de desativar os serviços de rede. De acordo com as declarações da empresa, o problema ocorre devido à validação insuficiente de certos tipos de solicitações de rede.
 |
| Atacantes Remotos Poderiam Explorar Falhas e Causar um Denial-of-Service (DoS) |
Por causa dessa vulnerabilidade, as versões r12.0 e r12.0 SP1, SP2 r12.0, r12.5, r12.5 SP1, r15, r15 e r16 SP1 são afetadas, entretanto, o CA ARCserve Backup para Windows r12.5 SP2 e R16 SP1 não apresentou vulnerabilidade. Todas as correções necessárias foram liberadas, para sanar o problema relacionado às versões atingidas. Demais informações sobre a vulnerabilidade, incluindo instruções sobre como determinar se uma instalação foi afetada e links para download de patches, podem ser encontrados em um alerta de segurança, emitido pela empresa.
Página que promete ‘tirar vírus do face’ traz vírus para o Facebook.
Uma fraude na rede Facebook tenta enganar os usuários com a promessa de remover vírus no perfil do internauta. O golpe, porém, instala uma extensão no navegador web que irá realizar atividades fora do controle do usuário.
O funcionamento da fraude é semelhante a outras que já estão ocorrendo no Facebook. A extensão é distribuída para usuários dos navegadores Firefox e Chrome.
Uma novidade dessa fraude é que a extensão para o Chrome está na Chrome Store, a loja oficial de extensões do browser do Google. Normalmente, as extensões encontram-se em sites controlados diretamente pelos responsáveis.
 |
| Extensão falsa distribuida na Chrome Web Store |
A extensão possui privilégios para acessar vários dados do usuário em páginas e após instalado utiliza os perfis infectados para enviar mensagens promovendo a fan page maliciosa e outros perfis.
 |
| Comentários em páginas feitos por perfis infectados |
Monitore vários servidores ao mesmo tempo com Apache + shellscript.
O sistema tem por objetivo de realizar determinado teste e retornar o erro, publicando em uma página web que fica atualizando de segundo em segundo, ficando assim um monitoramento em tempo real.
- Instale o apache
- Crie uma pasta dentro de /var/www/monitor
- Verifique as permissões da pasta criada, certifique-se que está com permissão de escrita..
- Instale no diretório /var/www/ os arquivos “html” fornecidos no artigo..
- Crie uma pasta dentro de /var/www/monitor
- Verifique as permissões da pasta criada, certifique-se que está com permissão de escrita..
- Instale no diretório /var/www/ os arquivos “html” fornecidos no artigo..
Copie os scripts para /bin
Certifique as permissões 555 para os scripts..
Observe se a página no apache apareceu no navegador http://192.168.0.1/monitor/index.html
Modo de uso:
Chame o script tester no terminal da mesma máquina com o script, com a seguinte sintaxe..
$ tester [nome do servidor] [ip] [service] [status] [tabela1.html]
$ tester [nome do servidor] [ip] [service] [status] [tabela1.html]
Obs: vc criará para cada teste a saída com nome diferente, está configurado no arquivo index.html o link da tabela1.html até tabela20.html,
EX:
teste monitoramento 1 : $tester “proxy server” 10.12.0.1 Proxy tabela1.html
teste monitoramento 2 : $tester “apache server” 10.12.0.2 Apache tabela2.html
teste monitoramento 3 : $tester “SQLserver” 10.12.0.3 Sql tabela3.html
teste monitoramento 1 : $tester “proxy server” 10.12.0.1 Proxy tabela1.html
teste monitoramento 2 : $tester “apache server” 10.12.0.2 Apache tabela2.html
teste monitoramento 3 : $tester “SQLserver” 10.12.0.3 Sql tabela3.html
Nesta primeira versão o tester somente está realizando um teste de ping com 3 saltos, o tester repassa o resultado do teste para o monitor que desenha a tabela X linkada a página index.html
Estarei analisando outras metodologias para conseguir monitorar determinados serviços, assim podendo ficar mais completo e usual, este sistema pode ser muito útil a provedores.
Façam bom proveito!!!
By Roberto Fettuccia
------------Script monitor--------------#!/bin/bashclearsemntr="$1"ipmntr="$2"stmntr="$4"scmntr="$3"Xouthtm="$5"wwwroot="/var/www/monitor"varmktemp="$(echo $$)"main(){if [ "$1" == "--help" ]; thenfun.helpfiif [ -z "$semntr" ] || [ -z "$ipmntr" ] || [ -z "$scmntr" ] || [ -z "$stmntr" ] || [ -z "$Xouthtm" ]; then if [ -z "$semntr" ] ; then echo "Error change NAME string valid!...." fi if [ -z "$ipmntr" ]; then echo "Error change IP string valid!...." fi if [ -z "$scmntr" ]; then echo "Error change SERVICE string valid!...." fi if [ -z "$stmntr" ] || [ "0" =! "$stmntr" ] || [ "1" =! "$stmntr" ] ; then echo "Error change STATUS vallue valid!.... 0 = service error or offline 1 = service ok, online" fi if [ -z "$Xouthtm" ]; then echo "Error change OUTFILE string valid!...." fifun.helpelsefun.publicafi}fun.publica(){unset vxhtmunset updownservice#verify return status for fized color string to $stmntrif [ $stmntr == "0" ]; then updownservice="#FFFF00" # Yellow Vallue varSTATUS="ERROR" # message error strBEG="<b>" # Apply Bold "negrito" strEOF="</b>" # Xcontrast="#000000" else updownservice="#0000FF" # blue Vallue varSTATUS="OK" strBEG="" strEOF="" Xcontrast="#FFFFFF"fiexport vxhtm='<META HTTP-EQUIV="REFRESH" CONTENT="5"><body><!--tabela dados inicio--><TABLE WIDTH=100% CELLPADDING=4 CELLSPACING=0 #0000ff> <COL WIDTH=85*> <COL WIDTH=85*> <COL WIDTH=85*> <TR VALIGN=TOP> <TD WIDTH=25% STYLE="border-top: 1px solid #000000; border-bottom: 1px solid #000000; border-left: 1px solid #000000; border-right: none; padding-top: 0.1cm; padding-bottom: 0.1cm; padding-left: 0.1cm; padding-right: 0cm"><!--Servidor--><P STYLE="background: '$Xcontrast'"><FONT COLOR="'$updownservice'">'$strBEG''$semntr''$strEOF'</P> </TD> <TD WIDTH=25% STYLE="border-top: 1px solid #000000; border-bottom: 1px solid #000000; border-left: 1px solid #000000; border-right: none; padding-top: 0.1cm; padding-bottom: 0.1cm; padding-left: 0.1cm; padding-right: 0cm"><!--IP--><P STYLE="background: '$Xcontrast'"><FONT COLOR="'$updownservice'">'$strBEG''$ipmntr''$strEOF'</P> </TD> <TD WIDTH=25% STYLE="border: 1px solid #000000; padding: 0.1cm"><!--Serviço--><P STYLE="background: '$Xcontrast'"><FONT COLOR="'$updownservice'">'$strBEG''$scmntr''$strEOF'</P> </TD> <TD WIDTH=25% STYLE="border: 1px solid #000000; padding: 0.1cm"><!--Status--><P STYLE="background: '$Xcontrast'"><FONT COLOR="'$updownservice'">'$strBEG''$varSTATUS''$strEOF'</FONT></P> </TD> </TR></TABLE><!--tabela dados fim--></body>'echo "$vxhtm" > $wwwroot/tmp/$varmktemp.tmpmv $wwwroot/tmp/$varmktemp.tmp $wwwroot/"$Xouthtm"}fun.help(){echo "Usage ..monitor [name] [ip] [service] [status] [outfile HTML]mail contact : rpaulafettuccia@yahoo.com.brby Roberto Fettuccia"exit}main------------fim script monitor-----------------------------script tester----------------#!/bin/bashping -c 3 $2 && vtest="1"if [ -z $vtest ] || [ $vtest =! "1" ]; thenvtest="0"fi./monitor "$1" "$2" "$3" "$vtest" "$4"--------------fim script tester--------------arquivo para colocar no apache /var/www/monitor--------arquivo cabecalho.html--------<BODY LANG="pt-BR" DIR="LTR"><P ALIGN=CENTER><BR></P><P ALIGN=CENTER><B>MONITOR Web</B></P><P ALIGN=CENTER><B>Ver 1,0 By Roberto Fettuccia</B></P><P ALIGN=CENTER><BR><BR></P><!--tabela cabeçalho inicio--><TABLE WIDTH=100% CELLPADDING=4 CELLSPACING=0> <COL WIDTH=85*> <COL WIDTH=85*> <COL WIDTH=85*> <TR VALIGN=TOP> <TD WIDTH=25% STYLE="border-top: 1px solid #000000; border-bottom: 1px solid #000000; border-left: 1px solid #000000; border-right: none; padding-top: 0.1cm; padding-bottom: 0.1cm; padding-left: 0.1cm; padding-right: 0cm"> <P><B>SERVIDOR</B></P> </TD> <TD WIDTH=25% STYLE="border-top: 1px solid #000000; border-bottom: 1px solid #000000; border-left: 1px solid #000000; border-right: none; padding-top: 0.1cm; padding-bottom: 0.1cm; padding-left: 0.1cm; padding-right: 0cm"> <P><B>IP</B></P> </TD> <TD WIDTH=25% STYLE="border: 1px solid #000000; padding: 0.1cm"> <P><B>SERVIÇO</B></P> </TD> <TD WIDTH=25% STYLE="border: 1px solid #000000; padding: 0.1cm"> <P><B>STATUS</B></P> </TD> </TR></TABLE><!--tabela cabeçalho fim--></body>--------fim arquivo cabecalho.html----------------inicio arquivo index.html---------<HTML><HEAD> <META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=utf-8"> <META HTTP-EQUIV="REFRESH" CONTENT="3"> <TITLE>monitoramento de servicos</TITLE> <STYLE TYPE="text/css"> </STYLE></HEAD><FRAMESET ROWS="45%,10%,10%,10%,10%,10%,10%,10%,10%,10%,10%,10%,10%,10%,10%,10%,10%,10%,10%,10%,10%" FRAMEBORDER="0" FRAMESPACING="0"><FRAME SRC="./cabecalho.html" NAME="superior" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela1.html" NAME="tb1" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela2.html" NAME="tb2" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela3.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela4.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela5.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela6.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela7.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela8.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela9.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela10.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela11.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela12.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela13.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela14.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela15.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela16.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela17.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela18.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela19.html" NAME="tb3" NORESIZE SCROLLING="NO"><FRAME SRC="./tabela20.html" NAME="tb3" NORESIZE SCROLLING="NO"></FRAMESET></BODY></HTML>--------fim arquivo index.html---------Ref: Vivao Linux
quinta-feira, 22 de março de 2012
Gerador de falsos access points.
O vídeo abaixo é contem uma excelente explicação de como se gerar falsos access points. A galera que trabalha com segurança da informação adora fazer isso, principalmente dentro de shoppings, grandes magazines (nem sei se isso ainda existe ) e aeroportos.
Daí a importância de utilizar vpns para acessar à Internet a partir de locais que você não não confia, quer dizer, qualquer local fora a sua casa.
Download: FakeAP
Ref: Coruja de Ti
Nova Rede Social criada por um dos fundadores do Twitter.
Branch é o nome da nova Rede Social que será lançada por um dos fundadores do Twitter. O projeto tem o objetivo de proporcionar “uma forma inteligente e elegante para se discutir publicamente“, diz Biz Stone sobre esta nova aventura.
“O Branch ainda é um protótipo, cujo nome oficial será RoundTable. Nele vamos discutir questões públicas em soluções web brilhantes e elegantes, com a criação de grupos onde as pessoas irão ter a oportunidade de debater diversos aspectos e assuntos.”
No momento, ela ainda está em alfa e não se sabe muito sobre como irá funcionar ao certo. Logo as pessoas irão ser convidadas a se cadastrar na nova rede. Se você já quiser realizar o pré-cadastro do seu email, acesse o branch.com e insira seu email no campo “Your Email address”, clicando após em “Tell me more”.
Só um detalhe interessante: se você, ao abrir o branch.com, passar o mouse sobre estes círculos vermelhos, irá reparar que eles se movimentam e podem se reconectar com outros círculos na tela.
Não sei o que podemos esperar da rede social em si, mas o design e a elegância da página inicial do projeto está show de bola!
Joomla! 2.5 Corrige Vulnerabilidades de Segurança
Os responsáveis pelo projeto Joomla!, lançaram a versão 2.5.3 de seu sistema aberto de gerenciamento de conteúdo (CMS) de fonte aberta. Esta é uma atualização de segurança que trata de duas vulnerabilidades de “alta prioridade”, e a primeira delas é causada por um erro de programação não especificado, que poderia permitir a um usuário mal-intencionado a obtenção de privilégios de escalonamento. O outro problema de segurança, trata-se de um erro na geração de números aleatórios. Isso ocorre quando a redefinição de senhas poderia ser explorada por um invasor para alterar a senha de um usuário.
As versões 2.5.0 a 2.5.2, bem como todas as versões dos ramos 1.7.x e 1.6.x são afetadas por essa falha de natureza grave. Dessa forma, os desenvolvedores aconselham todos os usuários a atualizar para a versão 2.5.3, com a intenção de corrigir esses problemas. Outros detalhes adicionais sobre essa atualização, podem ser encontrados no anúncio de lançamento oficial e nos alertas de segurança. Aos usuários interessados em baixá-lo, Joomla! 2.5.3 está disponível para download a partir do próprio site do projeto.
quarta-feira, 21 de março de 2012
Configurando o Firefox para Web Testing Pen App.
Você conhece a rotina: você recebe um show fazendo uma web app pen test. Você sair Burp (ou proxy o que menos você preferir), e prepare-se para estragar algum dia desenvolvedor. E então, como você começa pronto para carregar o URL de destino e começar, isso acontece:
É chato. Seus logs estão poluídas, e se você tiver a entregá-los para o cliente, as tiras de ruído extras alguns do profissionalismo de sua imagem (como um sidenote: Burp "apenas salvar no âmbito de itens" recurso ajuda muito muito com isso) .
Aqui, então, é um guia rápido sobre como ajustar o Firefox para que ele não vomitar porcaria estúpida em seus web app caneta arquivos de log de teste. Eu posso voltar e explicar o "porquê" por trás de alguns destes mais tarde, mas por agora, apenas o "como" vai ter que fazer. (Nota:.. Algumas dessas configurações reduzir a segurança do navegador Minha presunção aqui é que o Firefox só serão utilizadas para testes, não para a navegação de propósito geral As definições abaixo refletem isso.)
1) Abra about: config
Aqui, então, é um guia rápido sobre como ajustar o Firefox para que ele não vomitar porcaria estúpida em seus web app caneta arquivos de log de teste. Eu posso voltar e explicar o "porquê" por trás de alguns destes mais tarde, mas por agora, apenas o "como" vai ter que fazer. (Nota:.. Algumas dessas configurações reduzir a segurança do navegador Minha presunção aqui é que o Firefox só serão utilizadas para testes, não para a navegação de propósito geral As definições abaixo refletem isso.)
1) Abra about: config
2) Desativar Navegação segura:
3) Desabilite Pipelining:
4) Desativar pré-busca:
5) Remova todos os bookmarks :
6) Definir página inicial para about: blank para o arranque:
7) Fazer história está ativado, mas desativar as sugestões de pesquisa:
8) Desativar a verificação de atualizações:
9) Diga não a ajudar os desenvolvedores:
10) Desativar as atualizações para sincronização:
É isso aí. Agora você pode ir por diante, e quebrar todas as coisas, sabendo que seus arquivos de log será agradável e arrumado depois.
Assinar:
Postagens (Atom)
