Monday, March 30, 2009

Conficker / DownadUp / Kido: De um erro de programação a um WORM Global

[imagem: infecções do conficker no mundo - fonte: Conficker Working Group]

[ 02/11/2009 - Update ]

No aniversario de um ano do Conficker, analistas da ShadowServer divulgaram que detectaram atraves de sinkhole servers mais de 7 milhoes de IPs unicos estao infectados atualmente com o worm, que apesar de nao estar mais chamando tanta atencao tem infectado no minimo 500.000 novos computadores por mes!


[ 08/05/2009 - Update ]

Hoje uma atualização está sendo feita nos milhares de computadores infectados com a variante .C do Conficker. Está sendo instalado um spambot (para envio de spam) e uma ferramenta de segurança falsa chamada Spyware Guard 2009 (dicas para remoção).

Com esta atualização, o objetivo de ganho financeiro dos criadores do Conficker fica bem claro, pois além do envio maciço de spams (que normalmente é um serviço contratado), a falsa ferramenta de segurança cobra $49.95 (quase cinquenta dólares) do usuário infectado para não fazer nada.

[ 01/04/2009 - Update ]

Vários acessos via buscas no Google tem chegado à este post sobre o Conficker. Foram mais de 700 IPs únicos no dia 31/03. Por este motivo irei sumarizar abaixo as informações mais procuradas. Caso você queira saber de mais detalhes sobre o Worm, desde seu surgimento, continue a ler os demais [ Updates ].


Informações Gerais:

  • O Conficker (também chamado de DownadUp e Kido) é um Worm sofisticado que já infectou mais de 15 milhões de máquinas no mundo inteiro, desde Novembro de 2008.
  • Ele explora máquinas Windows que não possuem a correção MS08-67 da Microsoft
  • Outras formas de propagação são os compartilhamentos windows sem senha (ou com senhas fracas) e dispositivos externos como pendrives USB.
  • Existem 3 variantes conhecidas até o momento (A, B e C), sendo que a variante C no dia de hoje (01/04) modificou sua forma de comunicação com seus criadores, antes eram gerados 250 domínios aleatóriamente, e para dificultar o bloqueio destes domínios a partir de hoje estão sendo gerados 50.000 domínios dentre os quais as máquinas infectadas tentam contactar 500.

Testes e Remoção:
  • Para remoção do Conficker, acesse de uma máquina não infectada uma das ferramentas a seguir: [ F-Secure MSRT da Microsoft, SunBelt ] e execute na máquina afetada.
  • Para verificar se seu computador está infectado, visite esta página e confira o resultado (serão carregadas imagens de domínios bloqueados pelas variantes do Conficker, caso você utilize proxy pode haver falso-negativo).
  • Para detecção do Conficker em uma rede interna, hoje a melhor técnica é utilizar a última versão da ferramenta nmap (4.85BETA7), com os seguintes parâmetros: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [redes_alvo]. Caso você tenha uma rede grande para testar, veja aqui como utilizar output xml no nmap e um script em perl para facilitar o seu trabalho.
  • Para mais dicas de como se proteger, procure ao final deste post o título "Defesa em profundidade".

Mais detalhes técnicos sobre o assunto, incluindo o funcionamento do worm e defesas propostas estão descritos nos Updates abaixo (listados do mais recente ao mais antigo):


[ 29/03/2009 - Update ]

Como os senhores sabem, estamos acompanhando o desenvolvimento do Conficker / DownadUp / Kido há algum tempo (vejam os updates no decorrer deste post).

É raro, mas hoje temos boas notícias sobre o Worm mais bem sucedido dos últimos tempos:

Algumas ferramentas inovadoras (e gratuitas) para auxiliar a detecção / contenção do Conficker foram disponibilizadas para download por pesquisadores da Universidade de Bonn na Alemanha. Veja também o post sobre o assunto do Dan Kaminsky - que auxiliou os pesquisadores.

Os alemães publicaram um paper bastante completo com vários detalhes e novidades sobre o Conficker - na série Know Your Enemy do Projeto HoneyNet.

Dê uma olhada nas novas ferramentas disponibilizadas, certamente se você é responsável pela segurança de uma rede grande, se interessará por várias delas:

  • scs.zip - ferramenta de varredura de rede (scanner) que busca por máquinas infectadas com o conficker em redes internas (pré-requisitos: Python e biblioteca "Impacket"). Esta é a maior contribuição dos alemães - pois independentemente da forma de exploração (pen-drive infectado, compartilhamento de rede, vulnerabilidade RPC referente ao boletim MS08-67, etc..), o computador infectado irá responder de forma detectável (por isto é possível o fingerprinting) a mensagens RPC especialmente construídas para este fim - Isto se deve à forma que a função NetpwPathCanonicalize() passa a funcionar depois que o Conficker se instala na máquina.
  • regnfile_01.exe / conficker_names.zip (código fonte) - ferramenta para encontrar arquivos e entradas de registro criados pelo Conficker (os nomes aparentemente randômicos são baseados no hostname da máquina).

  • nonficker.zip / conficker_code.zip (código fonte) - ferramenta "vacina" para "enganar" o Conficker criando um mutex igual ao que é criado pelo Conficker (faz o código malicioso acreditar que a máquina já está infectada).
  • downatool2 - nova ferramenta de geração de domínios que serão utilizados pelo Conficker (variantes A, B e C) Vale ressaltar que na variante "C" o ele pode gerar domínios brasileiros (.com.br)
  • collisions_april - lista de colisões previstas para abril. A partir do próximo mês serão 5000 domínios gerados diariamente e além disto nesta variante os domínios podem possuir somente 4 letras, o efeito de colisão com domínios existentes será mais preocupante (imagine o dono de um domínio destes recebendo a comunicação de milhões de máquinas ao mesmo tempo..)
Segue a lista de colisões para domínios .com.br, dia a dia do mês de abril:

c_lookups_20090401.txt

cibi.com.br -> 75.119.205.170
aasv.com.br -> 189.107.67.131
aebs.com.br -> 75.125.94.122
clts.com.br -> 201.81.16.57
uili.com.br -> 74.220.215.83
tiat.com.br -> 75.126.176.66
sesd.com.br -> 75.126.203.16
nesb.com.br -> 72.233.57.166
ctur.com.br -> 189.38.80.25
hkdf.com.br -> 200.199.201.32
piss.com.br -> 201.76.47.133
mapc.com.br -> 200.234.220.117
arre.com.br -> 74.52.178.66
bejo.com.br -> 200.234.196.100
eama.com.br -> 75.126.176.78
shou.com.br -> 66.135.39.22
dude.com.br -> 189.38.57.226
mapim.com.br -> 74.53.43.162
rahl.com.br -> 200.185.126.118
ekto.com.br -> 189.21.116.35
adpe.com.br -> 201.20.20.79
cgdp.com.br -> 66.135.42.153
yale.com.br -> 217.151.193.164
essa.com.br -> 82.98.86.169
gedd.com.br -> 209.162.188.193
jfly.com.br -> 200.234.196.208
inec.com.br -> 216.32.92.218
guru.com.br -> 189.1.1.232
dotl.com.br -> 200.185.109.100
uvcb.com.br -> 189.45.245.2
carz.com.br -> 200.98.197.8
ebcv.com.br -> 67.15.84.68
artz.com.br -> 70.85.168.173
kras.com.br -> 82.197.131.24
asac.com.br -> 200.234.200.125
cgam.com.br -> 201.48.251.238
lako.com.br -> 200.215.118.16
icia.com.br -> 200.155.10.120
gnac.com.br -> 198.106.36.245
ctbl.com.br -> 67.205.85.70
apbp.com.br -> 200.201.133.25
sier.com.br -> 200.229.199.197
mrbee.com.br -> 66.7.214.84
acip.com.br -> 201.76.50.48
winb.com.br -> 201.76.50.45
fria.com.br -> 64.38.46.204
rota.com.br -> 200.212.239.136
faem.com.br -> 200.98.196.20

c_lookups_20090402.txt

nabs.com.br -> 64.22.71.89
konb.com.br -> 208.97.180.123
sdbp.com.br -> 74.55.137.226
idda.com.br -> 200.234.196.88
lebl.com.br -> 70.85.180.226
hmvb.com.br -> 200.202.210.168
ncbb.com.br -> 82.98.86.171
sophy.com.br -> 200.219.245.132
oney.com.br -> 195.64.164.87
rptv.com.br -> 200.169.230.163
agos.com.br -> 200.234.200.30
hmvs.com.br -> 200.169.97.82
aapc.com.br -> 189.38.24.3
cshg.com.br -> 200.160.117.37

c_lookups_20090403.txt

gtbr.com.br -> 200.219.214.21
wrun.com.br -> 200.192.130.184
ricz.com.br -> 74.55.91.194
bhil.com.br -> 69.93.129.194
ziph.com.br -> 209.85.101.11

c_lookups_20090404.txt

tdma.com.br -> 64.38.46.203
ghap.com.br -> 200.234.196.144
damy.com.br -> 66.45.240.106
isexp.com.br -> 200.196.238.46

c_lookups_20090405.txt

edaj.com.br -> 70.84.37.212
mrol.com.br -> 66.7.202.150
ildv.com.br -> 74.55.65.190
bmlaw.com.br -> 200.234.196.177
evix.com.br -> 200.234.196.231

c_lookups_20090406.txt

ynai.com.br -> 200.234.200.30
inat.com.br -> 200.157.225.252
kwtv.com.br -> 189.126.193.11
mobs.com.br -> 69.89.31.103

c_lookups_20090407.txt

hong.com.br -> 200.143.10.138
iboa.com.br -> 70.85.181.50

c_lookups_20090408.txt

ictc.com.br -> 174.133.129.152
suun.com.br -> 200.169.230.165
ceem.com.br -> 200.234.220.47
nyhx.com.br -> 189.38.90.14
rrvm.com.br -> 200.234.200.89

c_lookups_20090409.txt

emtd.com.br -> 75.125.40.202
kria.com.br -> 200.154.100.210
pfoa.com.br -> 200.234.200.162

c_lookups_20090410.txt

tupy.com.br -> 200.193.75.1
gdurp.com.br -> 200.142.86.14
gbeb.com.br -> 204.3.187.130

c_lookups_20090411.txt

gata.com.br -> 66.154.35.211
mueb.com.br -> 74.53.178.114
theg.com.br -> 200.186.48.99
sesa.com.br -> 200.234.203.76
escd.com.br -> 200.234.196.102
jecp.com.br -> 200.226.246.22
bait.com.br -> 200.234.196.152

c_lookups_20090412.txt

mgbv.com.br -> 200.98.196.57
omaa.com.br -> 98.131.74.166

c_lookups_20090413.txt

wini.com.br -> 189.21.116.35
acir.com.br -> 189.50.206.9

c_lookups_20090414.txt

itix.com.br -> 67.228.166.162
kron.com.br -> 74.55.22.50
kruf.com.br -> 200.226.246.40
veda.com.br -> 208.113.213.132

c_lookups_20090415.txt

peek.com.br -> 67.205.45.53
qtec.com.br -> 67.19.213.82
pman.com.br -> 198.106.30.194
coll.com.br -> 208.109.252.178

c_lookups_20090416.txt

bnvc.com.br -> 74.53.3.4
keal.com.br -> 66.135.39.22
quer.com.br -> 174.133.228.82
ystv.com.br -> 200.98.197.2
kelf.com.br -> 82.98.86.167

c_lookups_20090417.txt

crsb.com.br -> 200.196.44.131
bmgi.com.br -> 74.55.201.34
etec.com.br -> 200.219.245.132
padd.com.br -> 208.43.200.244
cibi.com.br -> 75.119.205.170

c_lookups_20090418.txt

aasv.com.br -> 189.107.67.131
aebs.com.br -> 75.125.94.122

c_lookups_20090419.txt

clts.com.br -> 201.81.16.57
uili.com.br -> 74.220.215.83
tiat.com.br -> 75.126.176.66

c_lookups_20090420.txt

sesd.com.br -> 75.126.203.16
nesb.com.br -> 72.233.57.166
ctur.com.br -> 189.38.80.25
hkdf.com.br -> 200.199.201.32
piss.com.br -> 201.76.47.133
mapc.com.br -> 200.234.220.117
arre.com.br -> 74.52.178.66

c_lookups_20090421.txt

bejo.com.br -> 200.234.196.100
eama.com.br -> 75.126.176.78
shou.com.br -> 66.135.39.22
dude.com.br -> 189.38.57.226
mapim.com.br -> 74.53.43.162
rahl.com.br -> 200.185.126.118

c_lookups_20090422.txt

ekto.com.br -> 189.21.116.35
adpe.com.br -> 201.20.20.79
cgdp.com.br -> 66.135.42.153
yale.com.br -> 217.151.193.164

c_lookups_20090423.txt

essa.com.br -> 82.98.86.169
gedd.com.br -> 209.162.188.193
jfly.com.br -> 200.234.196.208
inec.com.br -> 216.32.92.218
guru.com.br -> 189.1.1.232

c_lookups_20090424.txt

dotl.com.br -> 200.185.109.100
uvcb.com.br -> 189.45.245.2
carz.com.br -> 200.98.197.8
ebcv.com.br -> 67.15.84.68
artz.com.br -> 70.85.168.173

c_lookups_20090425.txt

kras.com.br -> 82.197.131.24

c_lookups_20090426.txt

asac.com.br -> 200.234.200.125

c_lookups_20090427.txt

cgam.com.br -> 201.48.251.238
lako.com.br -> 200.215.118.16
icia.com.br -> 200.155.10.120
gnac.com.br -> 198.106.36.245
ctbl.com.br -> 67.205.85.70
apbp.com.br -> 200.201.133.25
sier.com.br -> 200.229.199.197

c_lookups_20090428.txt

mrbee.com.br -> 66.7.214.84
acip.com.br -> 201.76.50.48
winb.com.br -> 201.76.50.45
fria.com.br -> 64.38.46.204
rota.com.br -> 200.212.239.136
faem.com.br -> 200.98.196.20
nabs.com.br -> 64.22.71.89

c_lookups_20090429.txt

konb.com.br -> 208.97.180.123
sdbp.com.br -> 74.55.137.226
idda.com.br -> 200.234.196.88
lebl.com.br -> 70.85.180.226

c_lookups_20090430.txt

hmvb.com.br -> 200.202.210.168
ncbb.com.br -> 82.98.86.171
sophy.com.br -> 200.219.245.132
oney.com.br -> 195.64.164.87
rptv.com.br -> 200.169.230.163
agos.com.br -> 200.234.200.30
hmvs.com.br -> 200.169.97.82
aapc.com.br -> 189.38.24.3


  • Além disto, os pesquisadores alemães disponibilizaram assinaturas atualizadas do snort para detectar as variantes A e B do Conficker (para regras de IDS para a variante .C, siga este link)


Conficker.A
Conficker.A:y any -> $HOME_NET 445 (msg:
"conficker.a shellcode"; content: "|e8 ff ff ff ff c1|^|8d|N|10
80|1|c4|Af|81|9EPu|f5 ae c6 9d a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c
cc|IrX|c4 c4 c4|,|ed c4 c4 c4 94|&
Conficker.B
alert tcp any any -> $HOME_NET 445 (msg: "conficker.b shellcode";
content: "|e8 ff ff ff ff c2|_|8d|O|10 80|1|c4|Af|81|9MSu|f5|8|ae c6 9d
a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c cc|Ise|c4 c4 c4|,|ed c4 c4 c4
94|&


[ 23/03/2009 - Update ]

No próximo dia primeiro (1o de Abril), a variante "C" do Conficker (que é a menos comum) irá modificar a forma de contactar os servidores de Command & Control do Worm (veja no FAQ abaixo) - não é esperado nenhum ataque específico neste dia.

Simplificando o que vai ocorrer é que as máquianas infectadas irão passar a utilizar um novo algorítmo que gera 500 domínios em 50.000 possíveis (versus os atuais 250 que já estão "marcados" pelos White Hats).

[ 16/03/2009 - Update ]

Novas versões do worm são criadas, e a Mcafee lançou um interessante documento PDF contendo dicas atualizadas de como detectar e remover o Conficker.

[ 13/02/2009 - Update ]

1 -
A Microsoft, a ICANN e outros tomaram uma medida interessante no combate ao Worm Conficker - já que se trata de uma ameaça global muitíssimo bem sucedida que já infectou dezenas de milhares de computadores mundo afora, utilizando técnicas avançadas (veja o próximo ítem). O contra-ataque perfeito: Recompensa de U$ 250.000,00 - no estilo "Velho Oeste" para quem dedurar ou entregar o(s) autor(s) do worm (vivos ou mortos) ...

Antes de criticar, lembre-se: funcionou com o Sasser em 2005 (o artifício foi usado tb contra o Mydoom em 2004)

2 -
Uma excelente análise do Conficker (variantes .A e .B) foi publicada no site da SRI - MUITO bem escrito... Vale a leitura! (Estão desconfiando que o autor é Ucraniano).

3 -
A Microsoft registrou um redirecionador para o site que centraliza as informações sobre o worm: http://www.microsoft.com/conficker. O Sans Institute também está centralizando informações (de mais origens e por isto mais interessantes) sobre o worm no seguinte link: http://isc.sans.org/diary.html?storyid=5860

4 - A Microsoft está fazendo desde ontem o que a F-Secure já faz a mais de um mês - Divulgando uma lista dos domínios (.zip) que poderão ser usados para contactar o cérebro do Worm. A vantagem é que esta lista tem 113501 domínios, listados por variante e dias em que serão utilizados (de 01/10/2008 a 30/06/2009)

5 -
Michael Ligh disponibilizou (código fonte e executável) um interessante utilitário chamado Downatool (funciona bem com o Wine), que serve para a) listar os domínios utilizados a cada dia; b) gerar os IPs a serem "atacados" com o mesmo algorítimo do Worm, c) mostrar os ranges de IPs que já entraram em blacklist por ação das entidades de segurança envolvidas no caso (CERT, Microsoft, Avira, Symantec, etc..)

[ 07/02/2009 - Updates ]

1 -
O Conficker continua crescendo, e o Brasil agora é o segundo da lista de países com mais novas infecções (atrás somente da China). Uma boa explicação para isto é que o Brasil possui muitas cópias piratas de windows (xp,vista,...) e por isto milhares de máquinas sem atualizações de segurança.

2 - Até agora o impacto maior é a infecção dos mais de 15 milhões de máquinas, mas um impacto maior devido ao USO deste exército de máquinas não vai demorar, já que já se detectou uma associação entre o Conficker e a conhecida rede de Bots "ASPROX".

3 - Há um UPDATE interessante nos métodos de defesa, pois a OPENDNS se uniu à Kaspersky e agora está bloqueando os domínios utilizados pelo Conficker (gerados à cada dia pelo Worm).
Para mais informações de como utilizar o serviço da OpenDNS - e de quebra ter uma navegação mais rápida e segura - clique aqui.

4 - A Microsoft lançou dois guias de proteção ao Conficker, um para usuários domésticos, e outro para Administradores de T.I.

5 - Alguns detalhes técnicos das inovações utilizadas pelo Conficker, como o modelo de injeção na memória, para bypassar FW e HIPS - tem sido publicadas.

[ 15/01/2009 - Post Original ]

No último post sobre categorização de erros de programação relacionados à segurança de softwares, apontamos que não é fácil manter um nível adequado de segurança quando se desenvolve softwares complexos.

O problema:

A Microsoft não é exceção, e apesar das grandes evoluções com relação a segurança - incluindo uma abordagem madura de desenvolvimento seguro chamada "Secure Development Lifecycle (SDL)" - um erro de programação permitiu que hackers começassem no final de 2008 a explorar o "Server Service" via RPC (Remote Procedure Calls) em todas as versões do Windows (XP a 2008), sendo que em XP, 2000 e 2003 a exploração pode ser feita por um usuário não autenticado.

De volta ao passado:

Worms que se utilizam de exploits de RPC costumam ser muito bem sucedidos:

Sasser - http://www.secureworks.com/research/threats/sasser/
Blaster - http://www.cert.org/advisories/CA-2003-20.html

Depois destes dois, muita gente acreditou que seriam os últimos grandes "worms de rede". A lição é: Nunca diga nunca.

Complexidade + Conectividade:

Existe um post interessante na MSDN avaliando por que esta vulnerabilidade "passou batida" pelo processo de revisão de código e fuzz tests previstos no SDL - simplificando, a complexidade de uma função específica em C++ e a falta de controle estrito de seus argumentos em um loop permitiu a vulnerabilidade, que não é facilmente detectada por analisadores automatizados de qualidade de código.

Já em seu boletim de segurança MS08-67, publicado em 23/10/2008, a Microsoft alertou que a correção era emergencial e que a falha poderia ser exploradas transformar por WORM, pelas suas características e grande conectividade dos componentes envolvidos. Vale ressaltar que a vulnerabilidade já estava sendo utilizada por atacantes (até aquele momento, era um "0-day" - possivelmente muito valioso).

Simplicidade de Exploração:

Apenas duas horas depois da divlugação do boletim MS08-67, pesquisadores conseguiram codificar exploits 100% efetivos - dada a simplicidade de exploração da vulnerabilidade.

A partir de então, registrou-se um crescimento constante na exploração da vulnerabilidade (incluindo exploits públicos). Neste interim, o foco do mundo de segurança se voltou para outra vulnerabilidade crítica - desta vez afetando o Internet Explorer (MS08-78).

Enquanto isto os Worms (como o coreano Gimmiv) que exploram esta vulnerabiliade se sofisticaram, e nos últimos dias temos visto muitos alertas sobre o crescimento do WORM "Conficker" - também chamado de "Downadup" e "Kido".

Expansão Global:

O Worm Conficker / DownadUp está em plena expansão, em um ritmo de mais de um milhão de máquinas infectadas por dia (note que cada IP roteável na lista da F-Secure abaixo pode indicar uma rede com muitos computadores). O último cálculo feito indica que quase 4 milhões de máquinas estão infectadas, sendo que em suas análises iniciais, o Brasil era o segundo país com mais infecções!

Update (16/01/2009): A F-Secure divulgou novos números: 8976038 computadores infectados (9 milhões!) e 353495 endereços IPs envolvidos. A F-Secure detalhou mais tarde como chegou a estes números...

A Qualys divulgou que 30% dos computadores do mundo ainda estão vulneráveis ao vetor de exploração principal do WORM (Vuln. Windows RPC MS0867)


Sofisticação
:

O Conficker / DownadUp utiliza algumas técnicas interessantes e bem sucedidas para garantir sua efetividade / propagação:

Além de explorar a vulnerabilidade RPC referente ao boletim MS08-67 (a) , ele :

(a) utiliza o exploit publicado pelo projeto metasploit, otimizando assim as taxas de infecções para diferentes versões e linguagens do Windows (usando fingerprinting smb).
(b) se copia para compartilhamentos sem senha,
(c) faz força bruta de senhas nos demais compartilhamentos (inclusive ADMIN$),
(d) se copia para dispositívos USB com uma interessante técnica de obsfuscação.
(e) se utiliza de métodos de engenharia social para se propagar
(f) impede a comunicação com vários sites de segurança/anti-virus para dificultar sua limpeza.
(g) utiliza nomes e extensões randômicas em seus arquivos, para evitar detecção
(h) usa técnicas de mudança de timestamp (iguala datas e horas de acesso/modificação/criação às do arquivo %System%\kernel32.dll)
(i) inicia um servidor HTTP em uma porta randômica da máquina infectada para garantir a atualização de seu código.
(j) Faz um hook na API NetpwPathCanonicalize para evitar que ele ou malware explore a vulnerabilidade RPC (MS08-67) novamente.
(k) Manda informações para seu dono de quantas máquinas conseguiu infectar (ex: 129 máquinas para a requisição "GET /search?q=129 HTTP/1.0") Mais info aqui.
(l) Utiliza uma variante simples do método "fast-flux" - garantindo a sobrevivência de atualizações (*)

* o endereço de atualização é escolhido dentre 250 possíveis dominios gerados por dia (seguindo um algorítimo interno). Desta forma o controlador do Worm precisa registrar apenas um destes domínios para comandar as maquinas (que consultam todos). A F-Secure aproveitou e registrou um dos domínios, conseguindo assim medir o tamanho do problema.

Identificação de Hosts Vulneráveis:


Uma sugestão minha para identificar o grau de infecção e quais IPs de uma rede local grande estão comprometidas: acompanhe HOJE E AMANHÃ as resoluções DNS para os domínios listados pela F-Secure ou registre em seu DNS interno os domínios utilizados pelo Worm, e faça com que eles resolvam um IP interno de um honeypot simples (ou deixe rodando um tcpdump que registre as tentativas de acesso ao domínio.

Defesa em profundidade:

1 - A mais óbvia defesa, esteja certo de que o PATCH - referente ao boletim MS08-67 - esteja aplicado em todas as máquinas sob sua responsabilidade.

2 - Esteja certo que as regras de Firewall estão com "default-deny" e bloqueand oacesso externo às portas 139/tcp e 445/tcp.

3 - Encontre e feche os compartilhamentos sem senha da sua rede antes do Worm

4 - Caso você tenha IDS/IPS internos, atualize suas regras e monitore pela tentativa de exploração desta vulnerabilidade.

5 - Usando uma solução SIM - Security Information Management, monitore os logs das suas máquinas Windows, usando regras de correlação para detectar a exploração da vulnerabilidade RPC MS08-067 e para detectar tentativas sucessivas de logon com falha (força bruta) em máquinas Vista e 2008.

6 - Inclua em seu Logon-Script alguma ferramenta de remoção automática do Conficker / DownadUp (F-secure F-Downadup.zip ou Microsoft Malicious Software Removal Tool).

7 - Desabilite USB Autoplay e Autorun em suas máquinas, e evite esta forma de propagação de vários malwares, dicas nestes links.

8 - Bloqueie (via dns, controle de conteúdo ou proxy) os possíveis domínios que serão utilizados futuramente (até o dia 16/01/2009) pelo Worm. Update (16/01/2009): A F-Secure divulgou o uma nova lista contendo 3749 domínios que podem ser utilizados pelo Worm até o dia 31/01/2009. Update 13/02/2009 - use esta lista de domínios mais atualizada (até 30/06/2009)
9 - Um bom anti-virus atualizado ajuda.

10 - Soluções de Segurança "In-The-Cloud" como a da Prevx, tem alardeado sucesso em bloquear todas as variantes deste Worm até o momento.

Thursday, March 26, 2009

BluePill - Ataques à BIOS e Bots em Modems Linux


Alguns colegas e leitores (obrigado Lincoln, Marcelo e Otávio) me enviaram links sobre dois "novos" vetores de ataques bastante comentados nos últimos dias pela comunidade de segurança:

1) ataques e rootkits que agem na BIOS; e

2) bots que infectam modems Linux

Ambos os vetores têm um alcance e escalabilidade potencialmente pequenos, porém são interessantes do ponto de vista da inovação, pois nos tiram do lugar comum de ataques envolvendo buffer overflows em executáveis de arquitetura x86 para windows ou linux, vulnerabilidades em browsers /plugins e engenharia social.

Vamos detalhar um pouco as duas novidades:

Vetor (1) ataques e rootkits que agem na BIOS;

Há mais de 10 anos atrás o temido vírus "Chernobyl" sobrescrevia parte da BIOS, deixando o computador inutilizável (aliás, o que motivou as BIOS com proteção de escrita - que está sendo "bypassada" agora).

Ainda no campo dos ataques ao "Basic Input Ouput System" (1), há mais de três anos (pdf 1, pdf 2, pdf 3 ) alguns pesquisadores de segurança (Loïc Duflot, John Heasman, Joanna Rutkowska, Rafal Wojtczuk e Greg Hoglund - autor do mais famoso livro sobre Rootkits) alertam sobre a viabilidade de exploits e rootkits na BIOS (persistentes à formatação/wipe do HD).

Recentemente os poloneses Joanna Rutkowska (que introduziu o conceito de "BluePill") e Rafal Wojtczuk- da InvisibleThings - publicaram mais um paper (pdf 1) / (pdf 2) demonstrando - com código de prova de conceito - um ataque à memória SMRAM via cache-poisoning em CPUs Intel - dois exploits foram desenvolvidos, um para fazer o dump e o outro para execução arbitrária de código, ambos na memória "protegida" SMRAM , durante a operação do SMM - System Management Mode.

A dificuldade na exploração da vulnerabilidade descrita se deve à necessidade de chegar à memória SMRAM a partir de acesso a registradores específicos para o modelo do processador (daí a necessidade de ser root/administrador ou possuir acesso físico à máquina). Uma boa descrição deste ataque foi feita recentemente no blog "Microsoft Malware Protection Center".

Os argentinos Anibal Sacco e Afredo Ortega (da empresa Core Security - fabricante do ótimo software de PenTest "Core Impact") fizeram uma apresentação há poucos dias (pdf) na conferência Consecwest chamada "Persistent BIOS Infection", na qual são detalhados os métodos de persistência de códigos maliciosos, e são apresentados backdoors stealths em nível de BIOS (por isto independentes de sistema operacional).

Os exemplos que foram demonstrados pelos hermanos são a modificação do shadow em Unix (ou seja, mudança de senha de qualquer usuário, inclusive root) e injeção de código em binários windows - tudo isto é executado a partir de recursos disponíveis ao backdoor rodando na BIOS (shellcodes em 16 bits).

Outro detalhe interessante: como as máquinas virtuais também tem BIOS, foram demonstradas técnicas para infectar múltiplas máquinas virtuais (atenção administradores de VMWare Servers) .

Alguma água vai rolar ainda sobre este tópico - segundo a MMPC, a Intel já sabia destas vulnerabilidades e inclusive a documentou no data sheet de um chipset vulnerável (5100 MCH): "The chipset/platform cannot protect against processors who attempt to illegally access SMM space that is modified in another processor's cache".


Vetor (2): bots que infectam modems MIPS e outros rodando Linux

Para um hacker, invadir computadores isoladamente não é a única abordagem possível de se controlar máquinas remotamente. Como já colocamos anteriormente em duas ocasiões, pode ser mais proveitoso para um atacante ter controle de um roteador que é responsável por distribuir IPs (DHCP) em uma rede, resolver nomes de sites (DNS), etc..

Nos nossos post "linkados" acima, descrevemos o código malicioso ZLOB ou DNSChanger - que depois de infectar uma máquina Windows, direciona seus esforçous de invasão (força bruta de senhas padrão) em roteadores no IP registrado como gateway desta máquina infectada.

Já no caso do PsyB0t - personagem das notícias recentes sobre a botnet rodando em modems Linux (como o Netcomm NB5 ADS, openwrt e dd-wrt), a infecção ocorre de modem linux a modem linux.

Em dezembro de 2008 o pesquisador australiano Terry Baume descobriu a botnet, e uma primeira análise (pdf) do Psyb0t 2.5L foi feita por ele em janeiro deste ano. Uma vulnerabilidade em várias revisões deste modem permitiu que o criador utilizasse exploits para invadir os modems - quando isto não é possível, a botnet tenta senhas padrão (a la ZLOB) para tentar acesso à interface administrativa dos modems.

Falando em história mais uma vez e em exploração de vulnerabilidades de modems: em 2001 o pesquisador Tsutomu Shimomura (sim aquele que prendeu o Kevin Mitnick) - achou e divulgou uma falha no modem ADSL Speed Touch Pro da Alcatel - esta falha não foi corrigida em modems distribuídos em vários países, e juntando ao enredo a famosa prática da "senha padrão" - acabou ocasionando a invasão em massa de modems na Itália (2001) e no Brasil (2003), por exemplo.

Adequando o ataque à realidade de hoje, voltamos à botnet PsyB0t - a primeira a ter como alvo modems ADSL e roteadores - já possui mais de 100 mil modems linux zumbis, é controlada via IRC e já está sendo utilizada para ataques de DDOS (um dos ataques que mais repercutiu foi ao site DRONEBL (ainda sob ataque) - que possui um serviço de listagem para bloqueio (DNSBL) de botnets e possivelmente está atrapalhando o seu crescimento). O ataque tem sido chamado de "Network BluePill" - por sua característica Stealth (as máquinas da rede que confiam no Gateway estão completamente à mercê).

É o primeiro caso de uma botnet tão bem sucedida em Linux, e o primeiro caso de uma botnet em "embedded devices". Certamente é preocupante, e pode ficar pior (nada como um bom FUD) - se somarmos este tipo de ataque (usando senhas default em modems/routers) a DNS Rebinding - veja descrição e video de 2008 no site do Dan Kaminsky.

Percebe-se pelas várias análises publicadas que o PsyBot é um malware perigoso e bem desenvolvido :
  • contém shellcode para vários devices de arquitetura mipsel (mips little-endian)
  • não está atacando computadores ou servidores
  • utiliza múltiplas estratégias de exploração de modems, incluindo força-bruta de senhas
  • extrai / rouba usuários e senhas através de deep packet inspection
  • varre por servidores com phpMyAdmin e MySQL vulneráveis e os ataca
  • faz o modem se juntar a uma botnet via protocolo IRC, porta tcp 5050.
  • desabilita o acesso à interface administrativa do modem (SSH, Telnet, and HTTP) - o que dificulta sua remoção, pois a conexão continua a funcionar, mas você perde a habilidade de configurar o seu router (pode ser um indicativo de que você está infectado).
Para garantir sua segurança - tome estes cuidados com seu modem/router (adsl/cabo):
  1. troque a senha padrão da interface de administração do modem;
  2. se certifique que ela não está aberta para a Internet; e
  3. faça um upgrade de firmware para a última versão.

Conclusões:

É verdade que a grande maioria dos ataques a que estamos expostos são perpetrados explorando falhas simples como engenharia social e utilização de exploits públicos para vulnerabilidades antigas, porém os dois vetores de ataques que descrevemos nos lembram da importância do conceito de segurança em profundidade. Se você puder escolher, utilize placas-mãe não vulneráveis aos ataques de BIOS (veja a lista aqui) e upgrade de firmware e configuração segura de modems de banda larga [ADSL/Cabo]).

Os vetores de ataques descritos não são prevalentes, porém são viáveis e tem um perigoso componente stealth. Este tipo abordagem permite ao atacante um controle de posições privilegiadas (seja no router, seja na BIOS) e como não atuam na camada de sistema operacional dos computadores da rede, podem permanecer sem detecção por muito tempo.

É claro que uma "percepção situacional" apurada e atualizada é fundamental para nos defendermos de novos ataques e de adversários bem preparados, pois a pesquisa de ontem que virou a prova de conceito de hoje pode se transformar no ataque que você pode sofrer ou terá que analisar amanhã...

Tuesday, March 24, 2009

10.000 page-views - Audiência do Blog e Pesquisas no Google sobre segurança


Este é um post comemorativo pela marca de 10.000 (DEZ MIL) page-views alcançada por este blog desde seu lançamento em junho passado!

O gráfico acima mostra um mapa com a localização "Geo-Ip" dos visitantes deste blog desde ontem (0h de 23/03/2009) até agora (11h de 24/03/2009). Estamos tendo uma média de visita de mais de 100 IPs únicos por dia, de diferentes países - muito obrigado pela audiência e contribuições / comentários!

Dentre os 73 posts já publicados, o ranking dos 10 mais populares é o seguinte:

Conficker / DownadUp / Kido: De um erro de programação a um WORM Global

A Saga de se manter seguro usando Windows - Capítulo Adobe Flash e Reader

Chrome é o único browser a sobreviver à desafio 0-day

Encase + Memscript + Memoryze - facilitando a analise forense de memória em Windows

Forense de Memória - Uma comparação de Ferramentas Disponíveis

NSA paga Bilhões por grampo no Skype

Blogs de seguranca em português - links

(In)Segurança em Desenvolvimento de Software e o modelo BSIMM

Dicas para Gerenciar Segurança durante a Recessão

Wargaming na Intel


Muitas das visitas são diretas (digitando o endereço diretamente no browser), outras várias são via leitores de RSS Feed como o Google Reader e NetVibes e muitas outras são através de buscas no Google - os termos de pesquisa mais usados nos últimos 3 dias que levaram internautas a conhecerem este blog foram os seguintes:
  • basiléia, pci
  • blog crimes eletrônicos
  • blog segurança
  • blog do marcapasso
  • botnet spam
  • certificado ssl xp nao funciona
  • chrome é invadido
  • cnasi 2009
  • codigo fonte downadup conficker
  • coldboot attack exe how to
  • como detectar conficker
  • como identificar o dns da maquina
  • Conficker codigo fonte
  • Conficker firewall blocking ports
  • conficker hash technical firewall
  • conficker kido worm erro
  • conficker proteção
  • criptografia utilizada malwares
  • definição colisão md5
  • disco rigido criptografado Forense site:blogspot.com
  • DNSChanger
  • downadup ou kido
  • download backtrack 3
  • é possível grampear a internet fisicamente?
  • fazendo um ataque usando o back/track4
  • forense notícias
  • f-secure kido
  • grampo no skype
  • invadir maquinas pelos browsers?
  • iphone forensics
  • kaspersky remove o conficker
  • lei 84/99 Segurança da Informação
  • leni de abreu neto
  • live cd forensics brasil
  • logs skype
  • Metodologia BSS-IM
  • remover o conficker do dominio
  • resposta a incidentes segurança
  • sandro suffert
  • segurança da informação NSA
  • sha1sum legal justica
  • sistema ENCASE
  • skype is insecure
  • solução espionagem industrial
  • suffert
  • vazar informacoes de cliente de site de compras e crime
  • windows downadup
  • Zlob.DNSChanger
Ainda falando de pesquisas no Google, para quem se preocupa com a privacidade de suas pesquisas (sim, o Google sabe de tudo sobre você) - eu recomendo um ótimo Google scrapper via SSL chamado Scroogle - confira.

Os browsers mais utilizados para acesso a este blog têm sido Firefox 3 (54%), IE 7 (20%), Chrome (17%) e IE 8 (9%). Dentre os mais incomuns estão o Iphone o Opera, o Safari e um administrador de sistemas maluco que usa lynx na linha de comando de uma máquina Unix =)

Eu estou utilizando o serviço gratuito do statcounter.com para acompanhar as visitas ao blog - o número de "page-views" que recentemente ultrapassou os 10 mil vai ficar aí ao lado.

Para encerrar o post comemorativo de 10.000 page-views, segue listagem dos posts publicados até o momento:

Monday, March 23, 2009

CNASI RJ 2009

Senhores, um post curto para informar que hoje tivemos a oportunidade de apresentar no evento do CNASI RJ uma palestra sobre automatização de procedimentos de resposta a incidentes e forense computacional.

Mais informações sobre o evento no site oficial e mais comentários no blog do Tony.

Wednesday, March 18, 2009

Mil e uma maneiras de invadir uma máquina com um PDF



Caso você ainda não tenha atualizado seu Adobe Reader, o faça agora! A ISS (IBM) alertou que os ataques utilizando este vetor de exploração (vulnerabilidade JBIG2Decode) começaram a se tornar cada vez mais comuns e já estão sendo usados por spammers.

Dependendo das configurações do seu leitor de email, ou browser, basta abrir um email com um PDF malicioso anexado para ser afetado. Se o PDF estiver em um diretório, basta selecionar o arquivo para acionar o ataque (veja video e detalhamento). Importante: o usuário pode perceber algo estranho porque o Internet Explorer vai travar por alguns segundos. Isto se deve à técnica de exploração utilizada, veja aqui mais detalhes [ heap spraying - printf() and collectEmailInfo() via javascript em um mesmo PDF ]

Para piorar, existem alguns vetores comprovados assustadores para exploração desta vulnerabilidade em redes locais: caso um PDF malicioso chegue a um diretório local ou mapeado por uma máquina XP, 2000, 2003 que rode o "Windows Indexing Service", nada mais precisa ser feito - o código malicioso irá executar o que quiser sem nenhuma interação ou conhecimento do usuário.

Para ficar de olho: o Nelson Brito prometeu uma análise detalhada em português da exploração desta vulnerabilidade. Se você ainda não viu, há pouco ele postou uma explanação e um vídeo de uma exploração também utilizando heap spraying (vulnerabilidade do Internet Explorer
referente ao boletim MS08-078).

Tuesday, March 17, 2009

(IN)SECURE MAGAZINE 20a EDICAO


Como já fizemos nas últimas duas edições desta excelente revista (PDF) de Segurança da Informação, segue um pequena tradução resumida dos artigos de destaque publicados nesta edição de março de 2009:
  • Técnicas de reconhecimento remoto - sobre as técnicas utilizadas em reconhecimento / fingerprinting de sistemas operacionais, sistemas e serviços de rede e apresentação de uma nova versão do Xprobe2 (GPL), incluindo arquitetura experimental P2P.
  • Construindo um penDrive bootável com a distribuição Linux de pentest Back Track 4 - how to muito útil com passo a passo detalhado.
  • Ponto de Vista em Segurança - O ano em que a Segurança da Internet Falhou - artigo muito completo contemplando os principais acontecimentos de 2008 no mundo da segurança, como as fragilidades dos protocolos DNS e BGP, os ataques a certificados SSL assinados com MD5, novos ataques como clickjacking e quebra de CAPTCHAS
  • Introdução do conceito "tokenization" - Novo modelo de segurança de dados que busca proteger as informações sem alterar as aplicações, isto é alcançado ao se substituir a informação sensível criptografada por tokens que a representam entre as aplicações internas da empresa.
  • Segurança no Mac OS X - entrevista com o especialista italiano Vicenzo Iozzo.
  • Review do livro "Hacking VoIP" - do autor Himanshu Dwivedi
  • Framework de avaliação quantitativa de privacidade - apresentação do Privacy Measurement Framework (PMF), que se propõe a medir o nível de privacidade de um ambiente, aplicação, produto ou serviço.
  • Entrevista sobre a cena hacker chinesa com Scott Henderson
  • Apresentação do software para Iphone de guarda de informações seguras "Data Guardian".
  • Implementação faseada de NAC ou "Network Access Control" - dicas para salvar tempo e dinheiro durante a tarefa. Sete fases são listadas: 1) Monitoração de usuários e devices, 2) Monitoração de Compliance dos end-points, 3) Violações baseadas em assinaturas e de comportamento, 4) Notificação de usuários finais e administradores, 5) Isolamento de rede para máquinas desconhecidas, 6) Quarentena e Auto-Remediação e 7) Isolamento de rede para máquinas "não compliance"
  • Colisões MD5 em binários assinados em plataforma Windows (authenticode) - por Didlier Stevens.
  • Estudos de caso de vulnerabilidades em aplicações WEB 2.0 - Ajax, Flex, SOA, RSS Feeds, JSON...
  • Filtragem de código malicioso no nível dos Provedores de Acesso - o assunto/conceito de "clean pipe" revive mais uma vez, alguns exemplos bem sucedidos na Inglaterra e Suécia.
Boa leitura!

Saturday, March 14, 2009

(In)Segurança em Desenvolvimento de Software e o modelo BSIMM


[ Update: 29/09/2010 ]

O Fabrício Braz divulgou sua tradução para o português do BSSIM:


[ Post Original: 14/03/2009 ]

O Marcelo Souza fez um post muito interessante sobre segurança em desenvolvimento e o modelo BSIMM, publicado por Gary McGraw, Brian Chess e Sammy Migues.

"O BSIMM (Building Security In - Maturity Model), um modelo de maturidade focado em segurança de software. O modelo foi elaborado com base em iniciativas de segurança de 9 empresas diferentes, entre elas Adobe, EMC, Google e Microsoft. Utilizando um arcabouço de sua autoria denominado SSF (Software Security Framework), que aponta domínios e práticas comuns das iniciativas em segurança de software, o grupo conduziu pesquisas nas empresas participantes e utilizou os dados obtidos para construção do modelo.

O modelo lista 110 atividades divididas em 12 práticas dos 4 domínios do SSF. Cada prática pode receber até o nível 3 de maturidade. Totalmente livre (licença Creative Commons), o modelo pode ser obtido neste link (requer registro), ou acessado interativamente aqui."

Normalmente estes modelos são muito teóricos, mas o BSIMM me pareceu suficientemente específico e mais próximo da realidade. Me lembrou em certos aspectos os guias do NIST e do CERT, - cuidado você pode desanimar quando ler o primeiro ítem da lista: "Apoio da Alta Administração"...

O BSIMM é um esforço de organização e categorização de um problema complicadíssimo que é o desafio em desenvolver, manter, comprar, integrar e utilizar softwares de forma segura. Isto é tão difícil que é necessário todo interesse, apoio, priorização e investimento para que uma empresa alcançe um nível real razoável em qualquer das 12 práticas dos 4 domínios do Software Security Framework (Governança, Inteligência, Ciclo de Desenvolvimento e Implementação). Para uma empresa grande e com processos viciados é quase como um idoso aprender a falar outra língua fluentemente - pode demorar décadas (que ele não viverá).

Segundo o BSSIM, uma medição máxima de "maturidade" do modelo seria 12*4*3 = 144. O perigo é que as pessoas tenderão a se basear nesta medida para considerar mais seguro um projeto/software/empresa que alcance uma pontuação alta em um assessment do BSSIM.

Isto funciona até o próximo deslize mínimo de uma destas empresas envolvidas que estão implementando o modelo e todos os esforços, conquista de "compliance" e melhores práticas ou "nível de maturidade" vão embora. Alguns exemplos: SDL Microsoft, ex-PCI da Heartland (obtido em Abril e revogado ontem), ou a metodologia de outros participantes do BSSIM - Adobe por exemplo - que deixou o Reader PDF sem correção crítica por 15 dias...

Isto nos mostra quão longe realmente estamos de uma melhora significativa, e quanto este esforço - apesar de louvável - tem como maior mérito a conscientização dos próprios responsáveis e envolvidos pela segurança do desenvolvimento de softwares, e talvez uma falsa sensação de segurança para quem tem o "seu" na reta (CSO, CIO, C[A-Z]O), que ficarão felizes com uma pontuação alta no BSSIM.

Se compararmos este cenário com a facilidade que um atacante - bem preparado, com tempo e alvo fixo em mente - consegue explorar falhas de design, implementação, configuração e/ou programação de um destes controles, entendemos o porque do uso do termo "guerra assimétrica" para descrever ataques perpetrados por hackers.

Parafraseando o Kevin Mitnick: Uma empresa precisa conhecer, encontrar e corrigir todos os erros de segurança (e ainda detectar, encontrar e tentar prender o atacante) , um hacker só precisa encontrar e explorar uma falha. Ou seja, do ponto de vista do atacante, 143 = 0.

E pra piorar, já que a "Alta Administração" não vai apoiar por falta de interesse, investimento, compreensão e prioridade, enquanto você não consegue se esmerar nas 110 atividades listadas, se prepare para continuar a responder a muitos incidentes de segurança e esteja com sua equipe de computação forense sempre a postos e bem treinada... =)

Thursday, March 12, 2009

BBC aluga botnet para Spam e DDOS


Os canais tradicionais de comunicação tem dado cada vez mais atenção à questões relacionadas à segurança na internet. Um exemplo foi a ação protagonizada pelo blogger de segurança Brian Krebs, do Washington Post em novembro de 2008, que desembocou na desativação de uma infra-estrutura construída para prática de cyber-crime - especialmente SPAM (McColo) - esta ação derrubou o nível de spam mundial em quase 33%, diminuindo sensivelmente o volume de spam mundial por um tempo considerável.

Hoje, a rede de TV inglesa BBC nos brinda com a divulgação de um experimento arriscado que foi recentemente praticado com o objetivo de expor a maneira que os spams chegam às caixas postais dos usuários, demonstrar a facilidade de efetuar ataques de phishing e negação de serviço na internet.

A intenção era chamar a atenção dos usuários para o perigo e gerar conscientização, mas muitos especialistas têm se oposto aos métodos utilizados e alguns levantam questões éticas e legais (Computer Misuse Act) do experimento.

O que eles fizeram: arrendaram uma parte de uma botnet em um forum underground (22 mil computadores) e a utilizaram para envio de spam para duas caixas previamente criadas (hotmail e gmail) para demonstrar a facilidade do uso, além disto eles também (com conhecimento da empresa) fizeram um ataque de DDOS (negação de serviço distribuído) em um site backup da PrevX (apenas 60 máquinas foram necessárias para derrubar o site). Para complicar, a BBC trocou o fundo de tela (desktop) das máquinas envolvidas - mais detalhes aqui. Ao final do experimento, a BBC desinstalou o botnet das máquinas envolvidas.

Mais informações:

http://blogs.zdnet.com/security/?p=2868

http://www.theinquirer.net/inquirer/news/387/1051387/the-bbc-hacked

http://www.pogowasright.org/article.php?story=20090312080107414

http://www.h-online.com/security/The-BBC-acquired-a-botnet-but-was-it-legal--/news/112834/from/rss

http://www.out-law.com/default.aspx?page=9863

http://www.virusbtn.com/news/2009/03_12.xml?rss

Sunday, March 8, 2009

CyberWar Russia vs Estônia : a confirmação


O conceito de CyberWar existe há muitos anos, e é crescente a preocupação dos governos com a fragilidade de infra-estruturas críticas, mas ainda não havia uma confirmação de envolvimento de governos nos ataques que objetivam desabilitar as capacidades de comunicação de outros países.

Isto mudou. Há dois dias um deputado russo (Sergei Markov) admitiu sua responsabilidade e de um de seus subordinados pelos ataques direcionados à Estônia em Abril de 2007 - estes ataques tiraram do ar e desfiguraram sites de organizações deste país, incluindo o parlamento, bancos, ministérios, jornais e redes de TV.

Até recentemente, muitos analistas acreditaram que os ataques fossem uma reação do povo russo, que tiveram ajuda de hackers que forneceram kits de ataque como ferramentas de negação de serviço (DDOS).

Outros movimentos internacionais relacionados à CyberWar têm ocorrido, como:

Mais informações sobre a "confissão" da Rússia sobre o envolvimento nos ataques à Estônia:

http://www.rferl.org/Content/Behind_The_Estonia_Cyberattacks/1505613.html

http://isc.sans.org/diary.html?storyid=5974

http://blogs.zdnet.com/security/?p=2828

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)