segurança

PCs infectados com DNSChanger são desconectados

Diego PiffarettiDeixe um comentário

Nesta segunda-feira, 09 de julho, máquinas infectadas com o malware DNSChanger sofrerão uma espécie de apagão por conta do FBI. Os servidores que disponibilizam internet para as máquinas infectadas serão desligados, e isto não só no Brasil, mas também no mundo todo.

Para quem ainda não conhece o malware DNSChanger, terão a breve oportunidade de verificar se ele esta alojado em sua máquina e também conhecer um pouco dele. A princípio, vamos verificar se o malware esta alojado em seu computador ou notebook, usando um recurso online do McAfee.

Para isto, clique aqui e logo após, clique em Check Now.

Aguarde a verificação ser finalizada. Se seu computador ou notebook estiver infectado, aparecerá na tela do site uma notificação o alertando, porém, caso ele não estiver, irá aparecer que esta tudo OK, como na imagem abaixo.

 

Mas o que o DNSChanger faz?

O malware DNSChanger tem, como função, alterar toda configuração do Sistema de Nome de Domínio (DNS) da máquina, redirecionando o usuário à páginas consideradas proibidas na internet (páginas com relação ao crime e afins). Há também a possibilidade de seus dados pessoais serem roubados. O malware só tem a capacidade de infectar computadores ou notebooks com os sistemas operacionais Windows ou MacOS. Para os utilizadores do sistema operacional livre GNU/Linux (Ubuntu, Fedora, Linux Mint, Slackware, OpenSUSE, Debian etc.) podem ficar tranquilos, pois o DNSChanger não foi feito para infectar este abençoado sistema operacional.

Fonte;Infomaniaco

Capturando conversas do MSN com Wireshark

Diego PiffarettiDeixe um comentário

Oi tudo bom?, o uso do MSN se torna menos importante, parte da culpa das redes sociais com o seu bate-papo, gtalk e muitos outros serviços de mensagens instantâneas que surgiram nos últimos anos. No entanto, o MSN é usado ainda por uma grande maioria das pessoas, tanto pessoal e uso comercial.

As pessoas usam essas redes abertas que normalmente não pensam que a segurança e que podem ser conectados ao mesmo tempo (e intenções). Um conehcido do FlupRoject, la da Espanha, esteve em um parque da França  e não foi uma exceção … :), por isso achei interessante fazer upload de um vídeo que foi salvo com uma demonstração sobre a captura conversas do MSN pelo Wireshark (para ver se ele serve para aumentar um pouco sobre os perigos do Wifis abrir).

Como muitos de vocês sabem, ver conversas do MSN é tão simples como a filtragem por MSNMS protocolo com uma intoxicação sniffer e ARP (se a rede está ligado), pois  conversas do MSN passam em texto simples.

Deixo-vos com o vídeo:

Link

Podem ver mais artigos sobre hackear o MSN aqui: LINK

Desafio Hacker V3 – Dicas

Diego Piffaretti4 Comentários

A um tempo atrás comentei aqui no blog sobre o Desafio Hakcer, criado pelo Alan Sanches..Hoje com um tempinho de sobra resolvi brincar e fechei os 10 niveis do desafio, q eh bem bacana. Tive um pouco de dificuldade em alguns, mais depois que vc acha a resposta vc pensa: Nossa, era isso? rsrsrss

Vou compartilhar com vcs dicas ( é dica! e nao resposta!) para chegarem nas respostas! Espero que o Alan não fique bravo comigo!

Nivel1

Basta achar o CPF do cidadao na internet!

Nivel2

Esse codigo que vcs estao vendo eh um hash em MD5! quem sabe um decripter nao resolva? http://www.md5decrypter.co.uk/

Nivel3

Procure exatamente o que está sendo pedido, na internet não é dificil achar essa informação

Nivel4

Mesmo esquema do Nivel 2, so que agora ao contrario! Vc ao inves de decriptar, vc vai emcriptar!

Nivel5

O IP está em hexa!

Nivel6

Vc vai precisar do Firebug. Veja o codigo fonte, passe os valores de usuario e senha no form!

Nivel7

Quem ja fez treinamentos da MS sabe.. usuari e senha padrão utilziado pela Microsoft em seus treinamentos, labs virtuais e etc.. Descubra o suuario e a senha e utilize o msm metodo do nivel 6, crie um formulario na mao para passar esses valores!

Nivel8

Esse nivel eh viagem total! a resposta está numa tatoo de um video do Alan Sanches no youtube.. essa eu vou deixar a resosta pq achei muita viadagem!

44414e49454c
417274687572

Nivel9

Esse é foda!  De uma olhada na pagina http://www.desafiohacker.com.br/wargame/cookie.php

Confeso que levei uma manhã inteira! rsrsrs..mas depois que vc descobre a resposta! Vish! D’á raiva! Mas vamos pras dicas:

1º – Lembre que vc procura duas coisa.

2º – O que tem dentro do cookie..é texto = !Ik ben op zoek naar is wat ik zie.!.! (usei tradutor para complicar senao iria ficar mto facil) – (Do: Holandês – For: Pt_Br).

3º – Nao pensar fora do cookie… se vc fizer isso vc vai pra longe, muito longe do qe vc procura.. para de pensar em cryptografica…descryptografia…var_dump($_COOKIE),…etc…!

4º – Leia o texto acima bebe pouco de agua, respire, PENSE, olhe para a tela e RACIOCINE com a 1ª e 2ª dica acima.

5º – Lembre-se.!
– Procuro algo — estou vendo algo.
– Procuro outro algo — estou vendo outro algo.

Nem todas as informações q aparcem na pagina do cookie são relevantes! (dica quente!)
Ou seja, entenda o que um array primeiro, lendo o link AQUI… Com um pokinho de paciencia vc entende o que é usuario e o que é a senha!

Dica chave: Um array no PHP é atualmente um mapa ordenado. Um mapa é um tipo que relaciona valores para chaves.

Detalhe: Não é preciso ter nenhum cnhecimento diferencial para resolver este enigma 9… É sério! Pense no simples!

Nivel10

Nivel bonus, se chegou até ele, já venceu!

Abraços galera, espero ter contribuido! Se tiverem duvidas, deixem nos comentarios que eu tento ajudar!

Falha em chips Intel abre brecha para ataque a sistemas operacionais e de virtualização

Diego PiffarettiDeixe um comentário

Dica do meu amigo Daniel Cordeiro

Alguns sistemas operacionais de 64-Bit e software de virtualização são vulneráveis a ataques locais de elevação de privilégio quando executados em alguns processadore da Intel. A informação foi divulgada pelo U.S. Computer Emergency Readiness Team (US-CERT) em um boletim de segurança nesta quarta-feira, 13/06.

A vulnerabilidade foi identificada como CVE-2012-0217 e é resultado da forma como os processadores Intel implementaram a instrução SYSRET em suas extensões de 64-Bit, conhecidas como Intel 64.

Malfeitores podem explorar esta vulnerabilidade para forçar processadores Intel a retornar uma falha geral de proteção (GPF – General Protection Fault) em modo privilegiado. Isto permitiria e eles executar códigos com privilégios do kernel em uma conta menos privilegiada, ou escapar de uma máquina virtual e ganhar controle do sistema operacional hospedeiro.

A vulnerabilidade só pode ser explorada em processadores Intel quando as extensões Intel 64 estão em uso. Isso significa que sistemas operacionais ou software de virtualização em 32-Bit não são vulneráveis.

Até o momento, a lista de sistemas operacionais confirmados como vulneráveis inclui as versões de 64-Bit do Windows 7 e Windows Server 2008 R2, do FreeBSD e NetBSD, do software de virtualização Xen e também dos sistemas operacionais Red Hat Enterprise Linux e SUSE Linux Enterprise Server, que incluem o Xen por padrão.

Fonte:Linux.org

Checklist de auditoria para o PCI-DSS

Diego PiffarettiDeixe um comentário

O checklist  foi produzido pelo pelo pessoal do pentestite trás uma série de informações e pontos de checagem para quem trabalha com PCI-DSS.

O download deste documento poderá ser feito pelo seguinte link, tendo a senha pentestit para escrita e edição do arquivo.

Well, falando um pouco mais em PCI-DSS, este é um mercado promissor em nosso país, estou me referindo ao mercado de certificação para o PCI-DSS.

Queria ou não queria, as empresas que trabalham com cartões de crédito são obrigadas a se certificarem todos os anos, por este motivo, consultorias autorizadas a auditar essas empresas terão renda constante.

O mercado de auditoria e certificação em PCI-DSS em nosso país está com um sério problema, a escassez de boas consultorias e bons profissionais para esta tarefa.

Espero que isso mude e rápido.

Versão III do Desafio Hacker no ar

Diego Piffaretti1 comentário

O projeto DesafioHacker foi criado por Alan Sanches em novembro de 2010 com a ideia de praticar ataques direcionados ao VPS com um hardening básico.
Até o momento, ninguém conseguiu invadi-lo e nesta nova versão, a ideia é diferente.– :)

O DesafioHacker agora disponibiliza um Wargame nível 1 (básico) para que usuários possam colocar em prática seus conhecimentos e discutir estratégias.

Assim que 10 pessoas finalizarem o nível básico, um outro Wargame será lançado com questões de níveis moderados, valendo prêmios e cursos.

Quando essa fase for superada, teremos um Wargame de nível avançado, onde irá valer dinheiro vivo aos ganhadores.

Neste Wargame envolve conhecimentos de manipulação de conteúdo à engenharia social.

Faça um teste de seu conhecimento em www.desafiohacker.com.br

P.S.: Comentário do autor deste blog.

A primeira versão do desafio hacker chamou e muito a atenção da comunidade de segurança. O pessoal tentou várias vezes invadir o projeto do Alan, mas todos sabem que foi sem sucesso. Depois, começaram os ataques DDoS e disseram que o site dele não parava no ar. Piada né. Po, se não consegue invadir, então pare com a babaquice de executar um ataque desses.

Agora, o pessoal está pegando o Alan para cristo – Estão executando uma série de defacements por aí e colocando a culpa nele. O estranho disso tudo é que o cara é acessível e na dele. Acredito que o problema que o Alan esteja passando seja o fato dele não fazer parte da patotinha e nem puxe o saco de ninguém.

Fonte:CorujaDeTI

Teste de sua máquina está infectada com o Flame

Diego PiffarettiDeixe um comentário

Você provavelmente já ouviu falar sobre Flamer, Flame ou Flamy, como algumas empresas de antivírus chamam o malware. O Flamer foi descoberto recentemente, apesar de indícios de que ele vem sendo espalhado desde 2010 isso por si só já destaca o seu perigo. Mesmo que alguns especialistas discordam é definitivamente um dos mais complexos se você comparar o tamanho de Flamer com o Stuxnet, um outro vírus relacionado, você vai notar que todos os módulos flamer têm um tamanho de cerca de 20 Megabytes enquanto Stuxnet teve apenas 500Kb de código.

O vírus possui uma máquina virtual e a capacidade de captar screenshots de sua tela, áudio do microfone, imagens da webcam e todas as informações digitadas para ao final enviar todo este material aos servidores do malware. Ele tem duas formas de se espalhar: dispositivos USB e também se replica através de redes locais.

Ele só foi identificado em computadores de vários países do Oriente Médio, incluindo Irã, Israel, Palestina, Sudão, Síria, Líbano, Arábia Saudita e Egito. Isso não significa que os computadores de outros países são seguros, na verdade é mais provável que o malware foi projetado para alvos específicos nesta região geográfica.

A BitDefender criou uma ferramenta de remoção para o trojan que denominado como Trojan.Flamer.A/B. Tudo que você precisa fazer é baixar a versão 32-bit ou 64-bit do programa no site da BitDefender, e executá-lo depois em seu sistema.

Basta clicar no botão Start Scan e aguardar o processo terminar. É definitivamente uma ótima ideia executar a ferramenta para se certificar que seu computador não está infectado pelo malware. Embora improvável, é melhor prevenir do que remediar especialmente se você estiver na região do Oriente Médio. ;)

Fonte:UltimoClick

Entenda o que é o Flame

Diego PiffarettiDeixe um comentário

Flame é um dos vários módulos da praga de ciberespionagem. (Foto: Reprodução / Kaspersky)

Especialistas de seguranças divulgaram a descoberta de uma nova praga digital “direcionada” – usada contra apenas alguns alvos específicos. Batizado de Flame ou Skywiper, o código é um avançado software de roubo de informações, sendo capaz de capturar teclas, tirar screenshots, monitorar dispositivos Bluetooth e ligar um microfone conectado ao PC para gravar conversas.

O anúncio foi feito separadamente nesta segunda-feira (28) pelas fabricantes de antivírus Kaspersky Lab e McAfee, pelo CERT do Irã (Maher) e pelo Laboratório de Criptografia e Segurança de Sistemas (Crysys) da Universidade de Budapeste de Tecnologia e Economia, na Hungria.

A maior parte dos detalhes técnicos foi fornecido pelo Crysys e pela Kaspersky Lab, com outras informações fornecidas pela McAfee. O vírus é capaz de detectar a presença de 100 softwares de segurança (antivírus, anti-spywares e firewalls), adequando seu comportamento para não acionar nenhum mecanismo de proteção.

Os pesquisadores também destacaram o tamanho do Flame, que pode chegar a 20 MB. A extensão do código cria dificuldades para a análise, que pode levar “anos” para ser completada.

A estrutura da praga é “modular”, ou seja, funciona com “plug-ins”. Cada “plug-in” tem uma função diferente, como a capacidade de se espalhar para outros computadores ou diferentes técnicas de roubo de dados e contato com os servidores de controle. Cada instalação do Flame pode usar um número diferente de plug-ins.

A praga foi encontrada no Oriente Médio, principalmente no Irã e em Israel, segundo a Kaspersky Lab. Mesmo assim, os alvos eram bastante específicos – instituições, empresas e até indivíduos, não sendo possível traçar um objetivo claro para o ataque. A praga, porém, não é programada para se espalhar automaticamente – ela precisa receber um comando explícito do servidor de controle antes de fazê-lo.

A sofisticação do vírus é tal que os laboratórios acreditam que ele só pode ter sido “patrocinado por um governo”, pois não há nenhuma intenção financeira clara para o código.

A Kaspersky descobriu o vírus enquanto investigava outra praga digital, chamada Wiper, capaz de apagar todos os dados de um sistema. O Wiper ainda “é desconhecido”.

Algumas informações sobre o Flame ainda estão desencontradas. Confira algumas diferenças e outros fatos, abaixo:

Fatos sobre o Flame

Característica Informações Fonte
Nome Flame Kaspersky
Flamer Maher (Irã)
Skywiper McAfee / Crysys
Primeiro uso Março 2010 ou Agosto de 2010 Kaspersky
2007 ou 2010 Crysys
Janeiro de 2011 McAfee
Servidores de controle  10 Maher (Irã)
 80 Kaspersky
Alvos  Oriente Médio Kaspersky
 Oriente Médio + Europa Crysys
Relação com o Stuxnet Provável Maher (Irã)
Improvável Kaspersky
Improvável Crysys
Improvável McAfee

Captura de Dados

  • Captura de teclas (keylogging)
  • Captura de telas (screenshot), ativada somente quando telas “interessantes” estão abertas (e-mails, mensagens instantâneas)
  • Monitoramento da rede (sniffing)
  • Uso de microfone conectado ao PC
  • Monitoramento de dispositivos Bluetooth para coleta de informações e recebimento de instruções

Disseminação

  • Método inicial de infecção é desconhecido
  • Capaz de infectar dispositivos USB usando a mesma técnica do Stuxnet
  • Capaz de se disseminar (possivelmente) para compartilhamentos de rede

Análises

Fonte:Linha Defensiva

Certificação para Auditores de Segurança – Parte 2

Diego PiffarettiDeixe um comentário

Oi tudo bom, no post de hoje vai continuar a série de artigos sobre certificações de segurança que falam sobre quatro novas certificações geralmente tendem a perguntar aos auditores / consultores de segurança da informação:

  OSCP: siglas de Offensive Security Certified Professional. É uma certificação do povo de Segurança Ofensivo, criadores de Backtrack, que já lhe dá uma pista sobre o que a certificação de crédito. É obtido de uma forma diferente de outras certificações, testes de múltipla escolha, sem dúvida, dar (como indicado de seu site) ea revisão é puramente prática. É realizada em um laboratório e envolve a passagem de uma série de testes de hackers que propiciem pontos, o que poderíamos chamar de desafio CTF ou Hacking, mas apenas em obter um certificado em vez de um iPhone ou um saco de ganchos . Não é como se eu pudesse ser conhecido como o CEH, por exemplo, mas você certifica que a certificação é realmente um especialista em segurança a nível técnico.

CISSP: siglas de Certified Information Systems Security Professional. É uma certificação da International Information Systems Security Certification Consortium (ISC) 2, que tem como objetivo reconhecer os profissionais com formação na área de segurança da informação. Tem uma gama de genérico e inclui em sua agenda, aspectos muito técnicos que vão da segurança criptografia e aplicação de aspectos legais e regulamentares. Das certificações de segurança exclusivos, é um dos mais valorizados.

CRISC: siglas de Certified Risk & Information System Control. ISACA é uma certificação (como CISA e CISM, do que discutimos no artigo anterior), criado em 2010, e destina-se a reconhecer as competências profissionais para projetar, implementar e manter sistemas de informação para mitigar os riscos. Certificação requer as mesmas condições de CISA e CISM para a sua produção (múltipla escolha de teste e experiência mínima de 5 anos).

 ITIL siglas de Information Technologies Infrastructure Library. É um conjunto de melhores práticas de gestão e operação de serviços de tecnologia da informação criada pelo OGC (Office of Government Commerce). ITIL é dividido numa série de livros destinados a melhorar a qualidade dos serviços de tecnologia da informação que fornece uma organização. Ao contrário dos padrões ITIL ISO, como os modelos CMMI como o SEI não certifica organizações, mas certifica as pessoas, o que prova como especialistas na gestão e direção de tecnologia da informação. A certificação não é exclusivo de segurança, mas é muito maior (como CISA), mas é um dos auditores de certificação mais procurados. Tem vários níveis que começam na “ITIL Foundation”, o mais fácil para chegar ao “ITIL Master”

E você tiver quaisquer certificações que falamos hoje? Você acha útil? Qual que você recomendaria?

Certificação para Auditores de Segurança

Diego Piffaretti1 comentário

Oi tudo bem? quando completamos os nossos estudos e vamos saltar para o mundo do trabalho a maioria de nós teve a idéia ingênua de que o estudo ia acabar. Em muitas profissões é assim , mas na nossa, e pela nossa eu quero dizer a segurança da informação e informática em geral, nada é mais longe da realidade. Quando você terminar seus estudos, se a formação académica ou profissional e saltar para o mercado de trabalho (deixando de lado o doutorado), percebemos que neste mundo exigente, teremos de permanecer no atual nosso negócio para ser competitivo, e não é apenas os custos para atualizar, mas você tem que provar, como?, tão simples, com graus e certificações. Hoje tivemos outra vantagem, é que, vendo o cenário de emprego , há muito mais concorrência para conseguir um emprego, e os títulos e certificações pode ser a nota que você faz estar dentro ou fora do processo de seleção que separa você de ver o dólar para sobreviver ou para manter a ver as mesmas pessoas na fila do INEM. É altamente provável que as certificações não definir se você é bom ou ruim em seu cargo, mas ter em mente ao selecionar as pessoas. Além disso, uma vez que você entrou em uma empresa, você vai ver como os clientes estão exigindo que o pessoal que executa o trabalho estão buscando certificados em X ou Y, então será necessário que você está obtendo novas certificações. Em suma, pode ser muito bom em seu trabalho, mas se você tem uma chance de provar … ou você precisa de cartas de recomendação ou certificados comprovativos da propriedade e sua bondade.

Hoje começamos por quatro das certificações mais comumente solicitados, CISA e CISM, ISACA e CEH e CHFI, EC-Council.

CHFI (Computer Hacking Forensic Investigator sigla) é uma das certificações mais valorizadas do EC-Council e creditado a um investigador forense. Esta certificação está focada em garantir que o profissional que possui, pelo menos, ele tem o conhecimento necessário para extrair evidências digitais de um cenário que pode incluir diferentes sistemas de informação. A boa coisa sobre ser uma certificação EC-Council é que são credenciados ANSI 17024, por isso é garantido para ser uma organização séria e processos garante um alto nível de certificação e avaliação. A certificação é obtida por meio de um exame em Inglês.

    CEH (Certified Ethical Hacker sigla) é outra certificação oficial EC-Council projetado para acreditar um hacker profissional ético, para lidar com a realização de tentativas de invasão em redes e sistemas. Nesta certificação, muito técnico, quando comparado, por exemplo, CISM, certificando que o titular tem um conhecimento bastante completo em segurança de computadores, que vão desde ataques a redes de dados para ataques web e criptografia.

CISA (Certified está para Auditor de Sistemas de Informação) é provavelmente uma das certificações mais valorizadas na empresa. Criado pela ISACA, esta certificação é operacional desde 1978 (sim anos) e obrigados a ter uma experiência mínima de cinco anos em Controle, Auditoria e / ou Segurança de Sistemas de Informação para obtê-lo. Você pode introduzir-lhe o exame sem atingir cinco anos de experiência, aprovar, e uma vez que você tem cinco anos para obter novas verificações. Como profissional você pode mudar até dois anos de experiência se você tem uma raça superior, ou uma técnica e um mestrado. A certificação CISA é baseado na norma ISO 17024:2003 não é só ir para cima como se por exemplo com CEH, CHFI, ou CISM, e inclui outra auditoria importa mais genérico do que vale a pena conhecer. Você pode encontrar-se durante os exames com perguntas que você, com sua experiência, que respondem de forma diferente (como já foi discutido em profundidade em vários blogs e fóruns da Internet), mas mesmo de ler o livro sem lê-lo, fazendo testes vai aprender a “visão da ISACA” e responder corretamente a mais suavemente.

CISM (Certified fica para o Gerenciador de Informações de Segurança), também da ISACA, é baseado na norma ISO 17024:2003 (como o CISA). e ao contrário de antes, este, concentrando-se exclusivamente na gestão de segurança da informação. A certificação é mais direccionado para a gestão de aspectos técnicos. Os aspectos técnicos que cobrem dominaréis sem problemas se você passar deste mundo (por exemplo, saber que é um SQLI, XSS, um MITM, um firewall ou de uma chave pública / privada). Como no CISA requer cinco anos de experiência que podem ser reduzidos a três com engenharia superior ou tecnologia e um mestre.