Irã e SSL, Apache DoS, Morto Worm, RSA Hack, Exploit Kits e +..

Como o blog passou um tempo acima do normal sem atualizações (2 semanas), os assuntos interessantes se acumularam - por este motivo aí vai mais um post no estilo "Curtas e Boas":

• Mais uma vez (assim como no caso do ComodoGate de março deste ano) o Irã é suspeito de estar monitorando tráfego criptografado (SSL) através do uso de certificados digitais forjados - o Google alertou hoje sobre uma autoridade certificadora holandesa chamada DigiNotar que teria emitido os certificados falsos em nome de serviços do Google (como o Gmail).

• O Team Cymru publicou mais um ótimo episódio no Youtube - Email Forensics, DDoS Mitigation Steps & Animations  <= Já são mais de 100 episódios, vale a pena dar uma olhada nos assuntos e assistir alguns mais antigos..

• A Kaspersky publicou um interessante resumo com dados e estatísticas sobre ataques de DDoS ocorridos no 2o 'quarter' de 2011

• Morto Worm  - Depois de um bom tempo sem um worm digno de nota, apareceu um que se conectar à RDP (Remote Desktop - tcp 3389) em máquinas Windows usando o usuário "Administrator" e uma lista de senhas pré-definidas. O modus operandi é similar ao dos Worms que se propagam por SSH utilizando senhas fáceis. Veja detalhes no site da Microsoft e do ISC/SANS. Para fazer download do binário, siga este link.

• Web Exploitation Tools: Drive-By-Downloads são cada vez mais comuns.  o Dancho Danchev publicou alguns dealhes interessantes de alguns kits neste post  Mais informações sobre exploit packs podem ser vistos neste Whitepaper: http://www.team-cymru.com/ReadingRoom/Whitepapers/2011/Criminal-Perspective-On-Exploit-Packs.pdf

• O Raphael Mandarino - do Gabinete de Segurança Institucional da Presidência da República - publicou, através do site Convergência Digital, um curto artigo entitulado "Sobre bandidos e hackers" - apesar de não achar estas discussões etimológicas produtivas, vale a leitura..

• De carona com outros ataques/vulnerabilidades de negação de serviço a servidores web, como o slowloris do RSnake e o Owasp HTTP Post Tool, foi divulgada uma nova ferramenta pronta para os script kiddies usarem, que explora uma vulnerabilidade deste tipo no Apache,  Estar em dia com os patches do seu servidor web ajuda (enquanto não sai o patch, veja as recomendações de mitigação em "Range header DoS vulnerability Apache HTTPD 1.3/2.x"  - obrigado pelo comentário, Fernando!), uma outra dica é utilizar um Web Application Firewall como o modsecurity. Uma ferramenta que pode ser utilizada para checar pelos 3 tipos de vulnerabilidade é a slowhttptest (mais detalhes aqui).

• Detalhes de como a RSA foi comprometida em março foram divulgados pela F-Secure (incluindo o .xls que carrega o payload - 0day na época - e instala o backdoor Poison Ivy). Tudo indica que um funcionário da EMC/RSA enviou um arquivo de mensagem do outlook (.msg) contendo o .xls para o VirusTotal ainda em março..