Mês: agosto 2013

Ataque utilizando QRCode

Diego PiffarettiDeixe um comentário

O QRCode têm gerado um novo vetor que pode ser explorada através de engenharia social. Como? O vetor de ataque para geração de QRCode permite que o usuário para criar este tipo de imagens que podem ser lidos e interpretados por aplicativos móveis. A engenharia social usando QRCode pretende usá-los para publicar essas imagens no maior número de sites, ou seja, a granel, e conseguir que, cada vez mais, os usuários de smartphones pode cair na armadilha. Geralmente, depois de um QRCode é um site malicioso, que também poderia ser montado com a opção do SET “Website Attack Vectors”, e nosso amigo Metasploit, sempre em segundo plano, em nossas intenções sombrias.

Exemplificando o Processo

Utilizaremos a posibilidade de gerar o QRCode a través de SET, Social Engineer Toolkit, para redirecionar o usuario a um site web malicioso. o Cenário é montado em uma rede local, onde todo dispositivo se encontra controlado.

 

A imagem é armazenada no caminho /pentest /exploits /set /reports /formato.PNG. Esta imagem serão colocados em outros sites ou enviados via e-mail para obter as acesso das vítimas depois de lerem o QRCode e conectar-se ao servidor web malicioso. Lembre-se que há leitores QRCode  que não informam o recurso ao qual eles estão conectados, ou seja, automaticamente tentar acessar o recurso apontado pelo QRCode. Na foto você pode ver o QRCode gerado usando SET.

Novos Teclado e Mouse Ergonômicos da Microsoft: Sculpt Ergonomic Desktop

Diego PiffarettiDeixe um comentário

Microsoft-Sculpt-Ergonomic-Desktop

Com 20 anos de experiência a Microsoft lançou sua nova linha de periféricos ergonômicos iniciada em 1994. Os novos periféricos foram criados e desenvolvidos tendo como base a pesquisa Microsoft Healthy Computing Survey, que aponta o desconforto de 85% dos entrevistados com os periféricos existentes.

Sculpt Ergonomic Desktop é formado de teclado e mouse. O Sculpt Ergonomic Keyboard For Business com layout Split e design único que segue as linhas naturais do corpo humano, proporcionando mais conforto e segurança. Acompanha um number pad separado e está disponível nas versões Windows ou Mac.

Sculpt Ergonomic Mouse parece uma bolinha, num formato que, segundo a Microsoft, é extremamente confortável, especialmente para o pulso, e ajuda a prevenir a lesão por esforço repetitivo.

O kit com mouse e teclado Sculpt Ergonomic Desktop tem preço sugerido de US$129,95 pelaMicrosoft.

Fonte:DigitaDrops

Descobrindo contas de usuário no Oracle com o Nmap

Diego PiffarettiDeixe um comentário

Olá a todos mais uma vez

Gostaria de passar hoje uma dica para quem for executar um pentest, ou apenas para aprendizado mesmo.

Com essa dica é possível obter informações como SID de um BD Oracle e também fazer o levantamento de contas de usuário disponíveis usando apenas o nmap.

 

basta fazer o seguinte:

Execute o comando:

nmap --script oracle-sid-brute 192.168.0.12

O resultado será algo semelhante ao abaixo onde no nosso caso o SID é o ORCL

ScreenHunter_06 Mar. 11 13.22

Feito isso basta executar o próximo comando:

nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL 192.168.0.12

ScreenHunter_06 Mar. 11 13.27

 

Com isso obtemos uma lista de contas disponíveis no servidor de banco de dados oracle.

Espero que tenham gostado da dica e não se esqueça de compartilhar

Fonte:Hernaneac

Site da Caixa Economica Federal hackiado

Diego PiffarettiDeixe um comentário

Parece que o final de semana foi bom, além do Flamengo ganhar do Fluminense! Pessoal de uma lista que faço parte divulgou o defacement no site da caixa, que ainda está dando para ser acessado via HTTPS (dia 12/08/2013):

https://webp.caixa.gov.br/urbanizacao/noticia/noticia_exibe.asp?codnot=73

Quem quiser acessar o mirror: http://zonehmirrors.org/defaced/2013/08/11/webp.caixa.gov.br/urbanizacao/noticia/noticia_exibe.asp%3Fcodnot=73

caixainvadida

CapsuleKong – Display para Cápsulas de Café Nespresso

Diego PiffarettiDeixe um comentário

CapsuleKong-01

Hologramer é uma empresa especializada em produzir displays para as cápsulas de caféNespresso e pelo jeito tem alguém fã de videogames por lá!

CapsuleKong é um display de parede das cápsulas Nespresso inspirado no clássico videogame arcade Donkey Kong. Os pods deslizam pelo display, como se fosse na tela do monitor, decorado com personagens do jogo cortado a laser. O display mede 44cm de altura por 36 cm de largura, é feito de alumínio anodizado e tem espaço para 50 cápsulas, incluindo dois pods favoritos separados.

O CapsuleKong custa US$170 na Hologramer Store.

CapsuleKong-03

CapsuleKong-02

 

Fonte:DigitalDrops

G-Shock: Clássico relógio ganha conectividade Bluetooth e app para iPhone e Galaxy S4

Diego PiffarettiDeixe um comentário

 

Casio G-Shock

O G-Shock, relógio que marcou a minha infância, está oficialmente adaptado aos dias de hoje com sua nova versão, que tem conectividade Bluetooth 4.0 de baixa voltagem e pode interagir com seu iPhone 5 (ou 4S) e o Galaxy S4 através de um aplicativo para controlar o playback das músicas, ativar o alarme, e outras funções do smartphone.

São dois modelos com nomes inintelegíveis, o GB-6900B que é um pouco menor e pesa 65 gramas, e o grandão GB-X6900B, que pesa 82 gramas. Os dois relógios G-Shock são à prova d’água e resistem até uma profundidade de 200 metros. O aplicativo deve ser lançado na App Store e Google Play do Japão, onde é compatível com alguns outros poucos aparelhos, resta saber se a estratégia vai mudar no lançamento global do relógio.

Fonte: DigitalDrops

Linux – Forçar Usuário a Trocar Senha Após Primeiro Login

Diego PiffarettiDeixe um comentário

É natural encontrar pessoas que utilizam linux a pouco tempo (ou que nunca utilizaram) questionando aspectos simples que seguem o jargão: “Mas no Windows eu consigo fazer isso, enquanto que no Linux….”

Isso não é novidade alguma e, de fato, é um comportamento esperado, embora demonstre apenas uma mera falta de boa vontade para pesquisar um pouco. O fato é que por vezes encontro pessoas me questionando sobre alguns destes recursos em falta no mundo Linux, quando na verdade eles, na grande maioria das vezes, não estão em falta.

Um exemplo recente disto se deu quando um colega (não se preocupe, seu nome está a salvo) me perguntou:

Porque o Linux não tem um recurso para forçar um usuário a alterar sua senha após o primeiro login? Isso me ajuda muito como SysAdmin em servidores Windows.

Devo concordar com ele no sentido de que este recurso ajuda muito a vida de um SysAdmin. Sejamos justos, as pessoas vivem esquecendo suas senhas. Segunda-feira? Dia mundial do “esqueci minha senha, você pode gerar outra por favor?”

Porém, devo acrescentar que o Linux possui sim este recurso (e não é uma novidade). O chage é apenas uma das formas de o fazer.

Supondo que seu usuário esqueceu sua senha e você deseja possibilitar que ele crie uma nova. Você pode mudar a senha dele para qualquer coisa que venha em sua mente, por exemplo: 123mudar456

Em seguida, digite o seguinte comando:

1
 
 # chage -d 0 {nome-do-usuário}

Supondo que eu tenha alterado a senha do usuário linus.torvalds para 123mudar456, o comando seria:

1
 
 # chage -d 0 linus.torvalds

O parâmetro -d determina quando a senha do mesmo expira, ou deverá ser trocada. Você pode determinar uma data específica, a qual deve ser indicada no formato AAAA-MM-DD, porém, ao invés da data, o 0 indica que a senha deverá ser trocada após o primeiro login daquele usuário.

Simples certo?!

 

Fonte: Marcelo Cavalcante