[ Update - 19/07/2011 ]
Uma boa notícia - a MoonSols acabou de tornar pública uma versão simplificada e única para dump de memória de máquinas Windows (32 e 64 bit): Dumpit
"DumpIt - v1.3.2.20110401 - One click memory memory dumper"
(No material publicado abaixo, as ferramentas da MoonSols são demonstradas nos slides 75 a 78)
[ Post Original - 10/06/2011 ]
Estou iniciando a reformulação de material sobre Forense Windows e Linux e nos últimos dias em contato com alguns profissionais da área recebi algumas solicitações para envio da última versão do capítulo sobre Aquisição e Análise de Memória em ambientes Windows. Depois de enviar o material para alguns, resolvi divulgar publicamente a parte teórica aqui no blog. Fico desde já a disposição para esclarecimentos e para recebimento de críticas e sugestões.
Tuesday, July 19, 2011
Thursday, July 7, 2011
Mais 10 Cutas e Boas
- Técnicas de análises de artefatos gerados pela utilização do Facebook e do Google Plus foram divulgadas recentemente;
- Novo password cracker usando GPU, chamado Durandal, se diz mais rápido que o EDPR (já falamos sobre ele aqui);
- Depois das análises de ataques e defesas a marcapassos e outros dispositivos médicos que usam comunicações Wireless (veja mais aqui) - segue um caso de um pentester criativo pensando em como invadir os equipamentos usados em exames cardiológicos ("Exploits that can Kill");
- O blog JIIR publicou um guia para verificação de vulnerabilidades e incidentes envolvendo a sua empresa utilizando o Google como fonte de pesquisa;
- JailBreakMe.com está de volta com o "One-Click iOS Jailbreaking" para iPods, iPhones e iPads, explorando uma vulnerabilidade PDF - até que a Apple corrija a vulnerabilidade, quem faz JailBreak está mais seguro (pode instalar o pacote "PDF Patcher 2";
- Malwares que infectam a MBR (Master Boot Record) estão de volta - veja a Análise da Sophos sobre o Popureb (.pdf). E leia sobre o TDL4 no site da Kaspersky. (Vale a pena também ler uma comparação entre os dois no que tange à alteração da MBR). Para finalizar, dicas práticas para analisar um sistema com a MBR alterada podem ser lidas no post "MBR Analysis";
- Um paper recentemente publicado (.pdf) por uma série de Pesquisadores da Califórnia faz uma interessante análise da eficiência de técnicas utilizadas para fazer takedown (derrubada) de botnets. A conclusão: o bom e velho "Follow the Money" - inviabilizar o recebimento de dinheiro (3 bancos eram responsáveis por mais de 90% do movimento) é muito mais eficiente do que focar esforço em derrubada de domínios, sites web, servidores DNS, etc.. ;
- Em análise publicada sobre proliferação de código malicioso no ano de 2011 (.pdf), a BlueCoat afirma que hoje a maior fonte de infecção se dá através de "Search Engine Poisoning" (SEP);
- Para quem já está com preguiça de acompanhar os eventos #AntiSec - segue um bom resumo aqui;
- Ainda sobre o assunto "hacktivism" foram publicados alguns logs de chats do Bradley Manning (soldado norte-americano que foi a fonte de informação/vazamento inicial do Wikileaks);
Monday, July 4, 2011
Defacement de Site da Microsoft Brasil
O site da Microsoft Brasil (http://www.microsoft.com.br) foi "desfigurado" neste Domingo à noite. No momento em que escrevo este post, o site continua com sua home page alterada:
Para um site parecer alterado para o usuário, o servidor pode ser invadido e sua home page modificada, ou o DNS/redirecionamento que aponta para o site pode ser modificado indevidamente. No caso em pauta, tudo indica que foi o último caso - como já aconteceu, com o Twitter, e o site do Nmap, entre outros..
[ Update: por volta de 1h da manhã de 2a o site voltou ao normal ]
A última vez que o site da Microsoft Brasil havia sido desfigurado foi em 04/06/2000 - Segue Mirror: http://zone-h.org/mirror/id/12061
Para um site parecer alterado para o usuário, o servidor pode ser invadido e sua home page modificada, ou o DNS/redirecionamento que aponta para o site pode ser modificado indevidamente. No caso em pauta, tudo indica que foi o último caso - como já aconteceu, com o Twitter, e o site do Nmap, entre outros..
[ Update: por volta de 1h da manhã de 2a o site voltou ao normal ]
A última vez que o site da Microsoft Brasil havia sido desfigurado foi em 04/06/2000 - Segue Mirror: http://zone-h.org/mirror/id/12061