Tuesday, October 28, 2008

Cymru disponibiliza serviço gratuito para verificação de hashes de arquivos (md5/sha1) via Whois e Dns

Para análise de malwares via WEB, já são famosos os serviços VirusTotal e JottiScan.

Agora o Team Cymru divulgou um serviço muito interessante para verificação simples ou em lote de hashes de arquivos que pode ser utilizado por grupos de resposta a incidentes:

Funciona assim: você primeiro gera a lista de hashes (md5sum / sha1sum) dos seus arquivos suspeitos, depois basta utilizar um cliente whois ou dns para fazer as consultas:

whois input:
$whois -h hash.cymru.com e1112134b6dcc8bed54e0e34d8ac272795e73d74

whois output:

"1221154281 53"

whois interpretação:
A data de entrada do binário está em epoch / unix time.
para traduzir, o melhor comando é "date -d @1221154281" => Thu Sep 11 14:31:21 BRT 2008

depois do espaço, é apresentado o percentual de detecção, ou seja, no exemplo
53% dos anti-vírus utilizados detectaram o hash que você enviou como malware

Mais info aqui para saber como se consulta via DNS e para consultas de arquivos contendo múltiplos hashes (via netcat).

Tuesday, October 21, 2008

pdgmail: nova ferramenta para Forense de Memória do GMAIL

O Gmail é o webmail que mais incomoda um analista forense em uma investigação em que os vestígios do
uso do Webmail é requerida - isto cada vez mais será coisa do passado. Baseado no recente artigo de John McCash, Jeff Bryner acaba de lançar uma ferramenta em python para interpretar a saída do dump de memória (toda memória física ou do processo do browser utilizado - qualquer browser, qualquer sistema operacional) e provê como ouput as seguintes informações sobre o gmail:

* Contatos
* Registros de Acesso (IPs)
* Nomes de conta do Gmail
* Cabeçalhos de mensagens
* Corpo das mensagens

Acredito ser um excelente "extra" para investigações envolvendo utilização de Gmail - especialmente
porque os vestígios deixados em disco pelo Gmail são insuficientes e cada vez mais ele é usado sobre
HTTPS..

Mais informações aqui.

Atente para este parágrafo:

"I used the pd dump tool from www.trapkit.de, available here, and tested against my meager
GMail account, Windows XP, 2000, IE 6, IE 7 and Firefox 3. In all cases I was able to retrieve
contact data, last login times and IP addresses, basic email headers and email bodies. Even if
the browser was ‘logged out’ of GMail, they all still retained this data. Even for messages that
were not opened, contacts that weren’t used. Simply loading up the GMail UI loads all this data
in the memory image."

Verifiquei que realmente os dados continuam disponíveis em memória mesmo depois do usuário
efetuar logoff tanto para o Firefox no linux e Internet Explorer e Firefox no Windows .

O procedimento é simples:

No Linux:

1) ./pd -p > browser.dump
2) strings -el browser.dump | pdgmail > output.gmail

No Windows:

1) .pd.exe -p > browser.dump
2) strings -el browser.dump | pdgmail > output.gmail

Urls:

PD: http://www.trapkit.de/research/forensic/pd/index.html
PDGMAIL: http://www.jeffbryner.com/code/pdgmail - ta com problemas no momento mas dá pra pegar via cache do google:
http://209.85.173.104/search?q=cache:crZARiCZN5IJ:www.jeffbryner.com/code/pdgmail

* o PDGMAIL requer o interpretador do PYTHON instalado.. (no linux já vem, para windows: http://www.python.org/download/windows/)


Sunday, October 19, 2008

FBI prende 60 pessoas depois de 2 anos de operação de site-armadilha




O FBI prendeu mais de 60 pessoas depois de 2 anos de operação do site-armadilha "DarkMarket" - que era reconhecido pela comunidade criminosa como um dos maiores sites para compra e venda de dados pessoais roubados e negociação de equipamentos utilizados em crimes financeiros, especialmente ligados à cartões de crédito - site movimentava mais de US$ 10 milhões mensalmente.

Apesar de anunciar que o site era comandado a partir do leste europeu, e que seu líder era o famoso hacker "Master Splyntr" (lembra das tartarugas ninjas?) Na verdade o site era comandado pelo agente do FBI J. Keith Mulars, a partir de um prédio da agência em Pittsburgh (pode ser que o agente tenha se apoderado no nickname/email/icq do bandido em 2005).

Estas informações foram primeiramente divulgadas pela rádio alemã Südwestrundfunk, que descobriu que o site era operado pelo FBI / "National Cyber Forensics Training Alliance" (NCFTA).

Durante estes 2 anos, muitos bandidos morderam a isca que o FBI colocou, e pelo menos 61 incautos foram presos...

Friday, October 17, 2008

Sans Forensic Summit & afterthoughs

Gostaria de compartilhar alguns links com impressões interessantes e comentários sobre o recente "Summit" de Forensics que o Sans Institute organizou nos USA.

Site Oficial do evento: http://www.sans.org/forensics08_summit/

Comentários de palestrantes:

1) http://volatility.tumblr.com/post/54726443/f-response-sans-summit (Pra quem não conhece, o Volatility é um - excelente - programa open-source para forense de memória RAM)

2) http://www.f-response.com/index.php?option=com_content&task=view&id=80&Itemid=9

3) http://windowsir.blogspot.com/2008/10/sans-forensic-summit_15.html

4) http://taosecurity.blogspot.com/2008/09/bejtlich-keynote-at-sans-forensics.html (autor do livro "The Tao of Network Security Monitoring")


Friday, October 3, 2008

Edição de Outubro da INSECURE MAGAZINE

Apesar do excesso de propagandas, a Insecure Magazine é uma excelente leitura, como sempre, nesta edição de Outubro/2008 - além dos temas fixos (sugestões de livros, notícias, eventos, destaques de softwares e videos) existem artigos sobre os seguintes temas:

  • Segurança da Informação e Segurança de Rede na Europa hoje
  • Segurança em Navegadores Web
  • Análise passiva de tráfego com NetworkMiner
  • Lynis - introdução à auditoria de sistema Unix
  • Vulnerabildiades em Drivers Windows - METHOD_NEITHER
  • Removendo armoring de executáveis
  • Inseguranças em programas de proteção da privacidade
  • Uma abordages proativa para vazamento de informações
  • Compliance não é Segurança mas é um bom começo
  • Desenvolvimento seguro de aplicações WEB
  • Evitando ataques sem comprometer a segurança
  • O risco dos insiders
  • Segurança de aplicação para empresas - como balancear o uso de revisão de códigos e firewalls de aplicação para compliance PCI
  • Segurança de Aplicação Web - um negócio arriscado?

Thursday, October 2, 2008

Skype Chinês - Você está sendo vigiado... e suas conversas estão disponíveis na Internet!


Sabe-se que o programa Skype possui criptografia 128 bits (ou melhor) - qual a alternativa então para monitoração de conteúdo de mensagens de texto/conversas de audio ?

Solução encontrada pelo governo chinês: manter no software (antes de criptografar a mensagem a ser enviada e depois de descriptografar a mensagem recebida) uma lista (atualizável) de palavras chaves como "comunismo", "vou sair do partido","leite em pó", "democracia", "Tibet" - e capturar o conteúdo das conversas que contiverem estas palavras, guardando-as em servidores do "Tom-Group".

Apesar de já ser público que o programa Skype desenvolvido em parceria pelo Tom Group para os chineses (wikipedia: "TOM-Skype client has built in trojan capabilities used by the Chinese government for censorship")

Foi publicado hoje por Nart Villeneuve um paper chamado "Breaching Trust - An analysis of surveillance and security practices on China’s TOM-Skype platform" - onde detalhes do funcionamento da espionagem do Skype Chinês são publicados - e coisa pior, como são mal guardados os dados capturados (inclusive com a chave de descriptografia no mesmo servidor!!)

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) windows (13) ddos (12) vazamento de informações (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) privacidade (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)