Thursday, May 23, 2013

China vs Google: Operação Aurora - Espionagem e Contraespionagem



[ Update: 23/05/2013 ]

A Operação Aurora voltou a ser notícia esta semana com a divulgação feita pelo Washington Post de que além das informações de propriedade intelectual do Google (uma dentre as várias empresas atacadas durante a campanha detalhada nos Updates abaixo), foram também acessadas informações extremamente sensíveis como um banco de dados que continha dados de vários anos acerca da vigilância telemática feita pelo Governo Americano em suspeitos de Terrorismo e Espionagem de vários países, incluindo a china.



As ordens judiciais que continham informações sobre contas do Gmail que estavam sendo monitoradas por agências de segurança e inteligência americanas foram acessadas, e este conhecimento pode ter proporcionado à Pequim uma vantagem de contraespionagem incluindo o término de operações e a mudança de modus-operandi e inclusão de informações falsas para confundir e controlar os esforços de inteligência do governo norte-americano.

Mais informações:

http://www.washingtonpost.com/world/national-security/chinese-hackers-who-breached-google-gained-access-to-sensitive-data-us-officials-say/2013/05/20/51330428-be34-11e2-89c9-3be8095fe767_story.html




[ Update: 28/11/2010 ]

Neste final de semana, foi feita a divulgação pela WikiLeaks de 250 mil documentos diplomáticos dos Estados Unidos(*), incluindo 15 mil secretos e 100 mil confidenciais (!!)

Muito material já havia sido enviado anteriormente pela WikiLeaks para diferentes jornais ao redor do mundo (The New York Times, Le Monde, Guardian e Der Spiegel).

O site do WikiLeaks sofreu um ataque de negação de serviço logo antes de publicar as informações. No caso do WikiLeaks são tantos os interessados na não divulgação dos dados que vai ser difícil atribuir a responsabilidade (mais sobre atribuição no final deste post).

Obviamente o impacto no mundo diplomático foi gigantesco. Nos primeiros momentos já foram digeridas e publicadas por vários jornais informações impactantes presentes nas comunicações diplomáticas norte-americanas que vazaram, como:
Mas o que mais nos chamou a atenção dentre todo este material são as informações bastante interessantes sobre a Operação Aurora - mais especificamente sobre a comunicação diplomática entre os Estados Unidos e a China logo após a Operação Aurora, da qual o resto deste post trata em detalhes.

Vejam este comentário do New York Times (link exige cadastro para visualização - sugiro usar omailinator ou o bugmenot =)

"A global computer hacking effort: China’s Politburo directed the intrusion into Google’s computer systems in that country, a Chinese contact told the American Embassy in Beijing in January, one cable reported. The Google hacking was part of a coordinated campaign of computer sabotage carried out by government operatives, private security experts and Internet outlaws recruited by the Chinese government. They have broken into American government computers and those of Western allies, the Dalai Lama and American businesses since 2002, cables said."

Finalmente temos a confirmação de que o governo norte-americano sabia que a alta cúpula do governo chinês estava por trás dos ataques ocorridos nas mais de 30 empresas americanas (incluindo o Google) que resultaram em vazamento de informações confidenciais e estratégicas (inclusive código fonte)..

Isto explica, inclusive, o infra-citado apoio irrestrito concedido ao Google pelo governo dos Estados Unidos, inclusive pela Agência de Segurança Nacional norte-americana (NSA).

Para mais detalhes, continue lendo abaixo..
[ Update: 07/03/2010 ]

Novidades liberadas durante a conferência RSA indicam - como era esperado - que houve possibilidade de roubo e alteração de código interno de aplicações do Google e das outras empresas (30-100) atingidas pelo ataque (via Wired).

A possibilidade era bem real baseado no que já conhecíamos, mas agora foi confirmada e temos detalhes de várias vulnerabilidades exploradas dentro da companhia, incluindo no Software Configuration Management (SCM) utilizado pelo Google (Perforce).

O paper da Mcafee não chega a ser muito marqueteiro, e sugere algumas boas contramedidas recomendadas para as vulnerabilidades exploradas. Baixe-o aqui.

Mais informações:



[ Update: 10/02/2010 ]



A HBGary - empresa especialista em Malware Analysis e Memory Forensics - acaba de lançar um relatório bastante completo incluindo dicas de deteção e remoção de variantes - utilizando técnicas fuzzy - sobre o principal malware utilizado nos ataques conhecidos como "Operação Aurora".

Vale ressaltar que desde o lançamento do boletim MS10-002 da Microsoft (e consequente publicação do módulo do metasploit framework para exploração da vulnerabilidade) - há uma crescente utilização deste vetor de ataque em outros incidentes pelo mundo.

No relatório da HBGary são fornecidas informações valiosas, incluindo um inoculation shot (nome marketeiro para vacina) para eliminar o malware e suas variantes (a taxa de ~90% de similaridade é recomendada) remotamente (via WMI / ePO / AD) em uma rede corporativa.


Além da já conhecida capacidade avançada de análise gráfica de instruções de códigos em execução - que pode ser vista acima em um parser do Command & Control do malware, existem outras as funcionalidades interessantes no principal produto da HBGary: Responder Pro 2.0.

Uma delas é a geração de um Digital DNA baseado no comportamento, idioma, algoritimos e métodos utilizados pelos desenvolvedores do malware (a partir das instruções executadas em memória). Isto pode pode facilitar o processo de atribuição de responsabilidade e separação de grupos distintos de desenvolvedores em ataques similares.

A capacidade de visualização da ferramenta se extende a outros usos, como pode ser visto abaixo, com o timeline em segundos da execução do Dropper (A), do serviço svchost.exe (B) utilizado para executar o payload do malware (C) e o .BAT que remove - a maioria - dos rastros (D):


Muitos outros detalhes podem ser verificados no excelente paper publicado pela HBGary há poucas horas.
[ Update: 03/02/2010 ]


Para os que acreditam que a Operação Aurora e a discussão sobre Cyber War "China vs US" já é assunto ultrapassado, é FUD, ou foi apenas uma manchete temporária, talvez valha a pena salientar o real impacto relacionado aos ataques e técnicas discutidas neste artigo.

Com este objetivo, fiz questão de adicionar este rápido update para ressaltar a real importância da questão em pauta. A operação Aurora e a escalada do cyber crime / cyberwar foi o primeiro e principal assunto que o chefe da inteligência americana, Dennis Cutler Blair levou ao Senado dos Estados Unidos em uma declaração preparada por todas as agências de segurança americanas - mais detalhes / video (a partir de 41m:45s) (Selected Committee on Intelligence SH-216 - "Open Hearing: Current and Projected Threats to the United States").

[ Update: 31/01/2010 ]

Em 2008, me deparei com a pergunta "Quais seriam os Procedimentos (incluindo a preparação) em alto nível para tratar um incidente de suspeita de vazamento de dados?"
Para responder de uma maneira mais completa ao problema proposto, o ideal é que a equipe de resposta a incidentes responsável possa contar com 4 tipos de soluções, listadas por ordem de importância para o caso em pauta:

I - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados ao ataque (ex: NetWitness NextGen / CA Network Forensics)

II - Uma solução de SIEM/SEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidor comprometido, ids/ips, dhcp, dns, aplicações internas, catracas de acesso, sistema de ponto, controle de acesso lógico, etc) (ex: ArcSight / ISM Intellitatics / Symantec SIM)

III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco (ex: Encase Enterprise / F-Response / AccessData Enterprise )
IV - Uma ferarmenta de monitoração de atividade de desktops (ex: SpectorCNE, WorkExaminer) [item incluído em 18/10/2009]

Tentarei exemplificar o porque do posicionamento de uma solução de Forense de Rede em primeiro lugar na lista acima, me aproveitando de dados um caso tão complexo e sério quanto a Operação Aurora.

Para facilitar este trabalho, chegou às minhas mãos um material da NetWitness descrevendo as ações que podem ser tomadas por seus usuários para verificar se foram afetados pelo ataque descrito e com informações OSINT (Open Source Intelligence) obtidas da internet:

I - criar filtros para verificar conexões entrantes e saintes a partir dos seguintes hosts:

yahooo.8866.org

sl1.homelinux.org

360.homeunix.com

li107‐40.members.linode.com

ftp2.homeunix.com

update.ourhobby.com


II - verificar conexões SSL vindas do domínio homelinux.org, utilizando o TLS parser

III - checar tráfego destinado aos endereços IP dos servidores de Comando e Controle utilizados durante o ataque:
69.164.192.40

125.76.246.220

210.202.197.225

IV - utilizar a capacidade da solução de misturar diferentes camadas em regras para detectar atividades de beaconing:

service
=
80
&&
action
=
put
&&
client
=
'lynx'


(service
=
80
&&
action
=
put
&&
tcp.dstport
=
8080)
&&
(payload
=
939
&&
extension
=
zip,rm,jpg)


(ip.src
=
125.76.246.220,210.202.197.225
||
ip.dst
=

125.76.246.220,210.202.197.225)
&&
(service
=
80
&&
action
=
put)


alias.host
=
yahooo.8866.org,
sl1.homelinux.org,
360.homeunix.com,

li107­40.members.linode.com,
ftp2.homeunix.com,update.ourhobby.com


ip.src
=
69.164.192.40,125.76.246.220,210.202.197.225
||
ip.dst
=

69.164.192.40,125.76.246.220,210.202.197.225

Para quem nunca viu a interface do Investigator da Netwitness (que tem versão free) - segue um snapshot de um dos filtros citados acima em uma rede comprometida pela Operação Aurora:


Além disto, as seguintes
 recomendações são dadas pela NetWitness:

1. Watchlist "usuarios" seguindo o seguinte critério:

a. Executivos e/ou Autoridades
b. Administradores de Sistemas com acesso privilegiado
c. Empregados que recentemente foram citados pela imprensa

2. Watchlist "extensões" contendo minimamente:

a. Executáveis (EXE, COM, BAT, 
SCR, CMD, PIF)
b. Documentos que exploram vulnerabilidades: PDF, DOC, XLS, PPT, CHM
c. Arquivos Compactados (zip,
rar,
etc)


3. Watchlist de estações, servidores e hosts relacionados aos usuários da watchlist 1.

4. Avaliar TODO tráfego por quesitos que envolvam a combinação destas entidades, procurando por variações do comportamento normal.

[ Post Original : 16/01/2010 ]


Antes de mais nada, é necessário perceber que o que foi divulgado pelo Google na última semana não chega a ser uma novidade, e nem uma tática nova utilizada pelo governo Chinês ou outros.

A mídia especializada tem feito alguns comentários sobre o anúncio de que mais de 30 (ou 100?) empresas americanas (Google, Adobe, Microsoft, Juniper, Symantec, Yahoo, Northrup Grumman, Dow Chemical, entre outras - ex: setor de energia) foram atacadas de forma coordenada e praticamente simultânea por hackers supostamente patrocinados pelo governo Chinês (Operação Aurora - FAQ).

O principal objetivo dos atacantes foi a permanência prolongada nas redes internas das empresas afetadas para obtenção de informações privilegiadas e propriedade intelectual.. A Inglaterra também divulgou que têm sido atacada pelos chineses de maneira semelhante.

A desconfiança do envolvimento do governo chinês nos ataques passou a ter contornos mais detalhados a partir da revelação de analistas de malware sobre a utilização de um algorítimo incomum de criptografia (CRC-16) em no principal trojans utilizados e sua similaridade com papers somente publicados em chinês. Hoje já se sabe - por exemplo - que os atacantes exploraram a infra-estrutura de acesso a a contas do Gmail que o Google montou especialmente para a Polícia acessar em casos de quebra de sigilo autorizado pela Justiça.

O incidente em pauta é muito útil para diferenciar ataques avançados e críticos de problemas comuns de segurança e para avaliar se as contra-medidas que possuímos estão adequadas para abordar ambos os tipos de ataques.

As análises que já foram publicadas sobre o caso incluem "erros" que foram cometidos pelos hackers - como executar o ataque de forma concomintante em múltiplas empresas e utilizar um só servidor dropbox para enviar os dados (código fonte, informações confidenciais) roubados - facilitando assim que os analistas do Google descobrissem as outras empresas atingidas.

A indústria de segurança e a opinião pública já tiveram várias diferentes reações sobre o ocorrido. O nosso objetivo é tecer alguns comentários sobre o assunto sob a luz de alguns conceitos apresentados em posts anteriores neste blog:
  • 7 (ou mais) Conceitos em Seguranca alem da Confidencialidade, Integridade e Disponibilidade
    O conceito de APT -"Advanced Persistent Threat" - se de ataques contínuos utilizando amplos recursos (muito tempo e dinheiro investidos com firme propósito/intenção), em ataques que são altamente sofisticados e claramente direcionados. Neste tipo de situação, as defesas tradicionais e genéricas são inúteis. Para mais detalhes sobre o termo APT, sugiro este link.

    Um Anti-Vírus e um IDS/IPS - por melhor que sejam - são tecnologias moribundas, baseadas em assinatura e dependentes de já conhecerem o ataque - e por isto mesmo não detectarão códigos maliciosos customizados, ainda mais com vários níveis de evasão e criptografia como foi o caso do ataque em pauta.

    Por melhor que seja um programa de gerenciamento de patches, um ataque utilizando uma vulnerabilidade 0-day como a que foi explorada nestes ataques direcionados funcionará em 100% das máquinas atacadas.

  • E quando o atacante usa uma combinação de engenharia social (email/IM) e técnicas de "Drive-By Download", nem mesmo um anexo (doc, exe, ou pdf) precisa ser utilizado. Basta que um funcionário da empresa acesse um site utilizando - no caso - um Internet Explorer (6,7,8) para que o ataque tenha sucesso. Mais detalhes sobre o exploit utilizado, aqui. (update - a Microsoft lançou uma correção para o bug - que ela já conhecia desde setembro - e outras 7 vulnerabilidades do IE - veja o boletim e baixe o patch aqui).
    Talvez você esteja pensando - então não há como escapar! E - adivinhe - você está certo. Fazendo uma comparação com crimes reais - se você está preocupado com batedores de carteira, é bom sair de casa sem muito dinheiro no bolso, poucos documentos e sem relógio, além de evitar horários e lugares perigosos. Isto equivale no mundo virtual a defesa tradicional de AV/IDS/etc.
  • Mas se há um grupo profissional de criminosos atrás especialmente de você, a única forma de reagir eficientemente a esta situação é expô-los às autoridades e torcer para que eles sejam preso. Bem vindo ao mundo das Ameaças Persistentes e Avançadas (APT). Uma boa descrição das fases normalmente encontradas em ataques avançados e persistentes pode ser encontrada aqui:
  • A melhor forma de iniciar um contra-ataque efetivo às Ameaças Persitentes e Avançadas é expor o inimigo adequadamente e assim avançar no campo de batalha - em outras esferas de contra-ataque - enquanto tentar minimizar o prejuízo em casa.

    No caso de uma empresa atacada pelo crime organizado, isto pode ser feito envolvendo a polícia e a justiça para prender os responsáveis. No caso de várias empresas de um país sendo atacadas por um outro - como é o caso da "China vs Google + 30"- o caminho é envolver oficialmente o próprio governo americano na resposta ao incidente.

    Em ambos os casos, uma resposta responsável envolve a divulgação - minimamente para as partes afetadas e idealmente para a opinião pública - do ocorrido. O próximo passo é analisar e categorizar os atacantes (mais detalhes sobre isto ao final deste post), ferramentas, vulnerabilidades, processos e erros cometidos e obviamente modificar suas defesas baseado no que você vai encontrar durante a sua resposta a incidentes / forense do ocorrido.

    A mensagem para todas as empresas e países é: não adianta se retrair e tentar abafar o ocorrido, é necessário concentrar esforços na reação adequada a este tipo avançado de incidente e revisar a postura de segurança do ponto de vista de ameaças e atacantes reais e avançados e não tentar se esconder confortavelmente atrás de checklists de itens de compliance e conformidade ou de qualquer sigla de norma da área de segurança.

  • O governo alemão já deu o primeiro passo - proibiu terminantemente o uso de Internet Explorer - iniciativa que já foi seguida pelo governo Francês. Já é um começo.. O Google anunciou que vai parar de censurar resultados na China. E o governo americano já começou a se movimentar lentamente...
  • Um outro desdobramento interessante deste evento será acompanhar como as empresas atacadas e o governo americano irão responder as respostas evasivas da China (e também contra-acusações), considerando a dificuldade de se atribuir a responsabilidade de um ataque cibernético a uma pessoa,quanto mais a um país!
  • Atribuição de responsabilidade envolve identificar a ameaça, com o máximo de detalhes do ponto de vista de seus desdobramentos (Capacidade/Intenção/Oportunidade).
  • Richard Beijtlich e Mike Cloppert sugerem 20 características para atribuição da responsabilidade (ou autoria) de ataques cibernéticos - e isto pode servir de ponto de partida para que iniciemos uma resposta a ataques persistentes e avançados (APT) em nossas organizações: 1)Timing, 2)Vítimas, 3)Origem, 4)Mecanismo de Entrada, 5)Vulnerabilidade ou Exposição, 6)Exploit ou Payload, 7)Weaponization, 8)Atividade pós-exploração, 9)Método de Comando e Controle, 10)Servidores de Comando e Controle, 11)Ferramentas, 12)Mecanismo de Persistência, 13)Método de Propagação, 14)Dados Alvo, 15)Compactação de Dados, 16)Modo de Extrafiltração, 17)Atribuição Externa, 18)Profissionalismo, 19)Variedade de Técnicas, e 20)Escopo. 

Na minha opinião, apesar de APT agora estar entrando na moda, a sigla não importa tanto. O fundamental é tentar aproveitar ao máximo deste tipo de incidente e discussão para avaliar seriamente a sua capacidade de visibilidade e estratégias de detecção e reação contra roubo de informações e espionagem industrial perpetrada seja por quem for.

有时,重要的是要怕!

Se interessou pelo assunto? Envie seus comentários!

10 comments:

  1. Bem completa a abordagem do assunto, parabéns pelo blog e pelos temas escolhidos - virei fã!

    ReplyDelete
  2. Melhor abordagem do assunto que li ate agora, ao mesmo tempo detalhada e no ponto - as empresas e paises precisam mudar de estrategia, porque estao perdendo o jogo... - Claudio A.P.S.

    ReplyDelete
  3. Parabéns pelo blog.
    Estou utilizando o seu post para escrever sobre o assunto no meu.

    O meu eu apenas faço comentários e deixo as pessoas que lêem pensarem, trazendo os links para as notícias e posts de verdade, caso a pessoa queira ler mais.

    Trabalho na área de TI e fiquei fã do seu blog.

    ReplyDelete
  4. Anônimo, Cláudio e Pensador, muito obrigado pelos comentários e elogios.

    Pensador, já acrescentei seu blog na minha lista de leituras diárias.

    [ ]s,

    S.S.

    ReplyDelete
  5. Bela abordagem Sandro, o conteudo do blog esta muito bom, parabens.

    ReplyDelete
  6. Obrigado pela visita ilustre, comentário e elogio Felipe!

    [ ]s,

    S.S.

    ReplyDelete
  7. Sandro, a empresa onde eu trabalho está participando das investigações sobre este incidente, e por isso mesmo eu tenho acompanhado muito do que a mídia tem escrito sobre isso e um pouco do que tem acontecido atrás das cortinas. Posso dizer, sem a mínima sombra de dúvida, que você escreveu a melhor, mais completa e mais correta cobertura sobre o incidente. Você está de parabéns, tanto por destacar os principais detalhes do acontecido, como por analisar o impacto com um ponto de vista mais macro.
    Este incidente, na minha humilde opinião, é um grande divisor de águas. Até então, a cyber espionagem industrial poderia parecer conto de ficção científica para muitos. Este incidente mostra que mesmo as maiores empresas do mundo podem ter todos os seus dados estratégicos roubados através da Internet, em questão de poucos dias ou horas. Poucas pessoas, na verdade, sequer perceberam a magnitude do fato.

    ReplyDelete
  8. Anchises,

    Seu feedback nos mostra que acertamos e estamos no caminho certo em nossos comentários e análises - especialmente por partir de um profissional gabaritado e respeitado como você.

    Muitíssimo obrigado!

    Sandro Süffert

    ReplyDelete
  9. realmente, a cobertura desse caso feita pelo blog está de parabéns! perfeita!

    ReplyDelete

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)