MEGAPOST: 12 novidades para começar 2012 CCC, Stratfor, Wifi Protected Setup, HTTP DoS, BartPE, Post-Exploitation, IPv6, Teoria dos Jogos, Facebook, Salários em Infosec, Voip Forensics

Começando 2012 - 12 novidades na área Resposta a Incidentes e Forense Computacional:

• 1 - Segurança Wireless - Todos os fabricantes de Access Points que utilizam a tecnologia WiFi Protected Setup (também chamada de "Secure Easy Setup") estão vulneráveis  - incluindo a Cisco, DLink, TPLink - e infelizmente este é o default e a NetGear, que é a única que se preocupou em  implementar proteção contra força bruta, não adiciona intervalos  suficiente grandes entre os erros de senha e este ataque é capaz de recuperar a chave (WPA2, por exemplo - em menos de 24 horas - os demais fabricantes facilitaram a vida do atacante e dependendo do caso a chave pode ser recuperada em menos de uma hora..)  
• Resumindo: Desabilite o WPS AGORA no(s) seu(s) APs!
• Para checar: $ iw dev wlan0 scan | grep 'SSID\|Config methods:' < APs  "Label" ou "Display" provavelmente são vulneráveis
• Mais informações: http://bit.ly/w1PGBP
• Paper:  http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf - Wi-Fi Protected Setup PIN brute force vulnerability
• Blog + Ferramenta:  http://sviehb.wordpress.com/
• Twitter: @sviehb

• 2 - HTTP DOS - Ataques de Negação de Serviço inteligentes contra servidores HTTP continuam a aparecer - e devem ser utilizados em ataques neste começo de ano (assim como aconteceu no começo de 2011).
• Resumindo: Patch NOW. Tanto servidores ASP.NET quanto PHP e JAVA estão vulneráveis - ao "Hash Collision Denial of Service" 
• Link CVE:  http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3414
• Patch Microsoft: http://technet.microsoft.com/en-us/security/advisory/2659883
• Patch PHP: http://svn.php.net/viewvc?view=revision&revision=321040
• Mais info:  http://nakedsecurity.sophos.com/2011/12/28/large-percentage-of-websites-vulnerable-to-hashdos-denial-of-service-attack/

• 3 - CCC - A 28a edição da melhor conferência de Segurança do mundo acabou e as palestras já estão disponíveis para download - imperdível!
• Resumindo: Material excelente para meses de estudo.. 
• Link para download:  http://ftp.ccc.de/congress/2011/  

• 4 - StratFor Hack - A firma de inteligência privada Stratfor foi invadida - e dados de todos os usuários que já tiveram cadastro no site (860,000) vazaram. Além disto 75,000 números de cartão de crédito e dados completos de clientes também foram publicados. 
• Resumindo: os Cartões de Crédito e CVVs eram guardados EM CLARO e as senhas do usuário com hash MD5 sem salt! =/ Mais de 75% já foram "crackeados" com ferramentas open-source como o JTR e HashCat.
• Saiba mais: http://www.databreaches.net/?p=22542 - AntiSec dumps 860,000 Stratfor members’ details, including 75,000 credit card numbers
• Controvérsia na atribuição de autoria: http://www.abc.net.au/unleashed/3749898.html  - Anonymous imposters: hiding behind the AntiSec identity  

• 5 - Cuckoo Sandbox - Eu já havia testado esta solução open-source de análise de malwares em uma versão anterior. Mas a última (0.3.1) me impressionou pela sua evolução. Agora existem módulos para análise de: (exe, dll, pdf, doc, php, ie, firefox, assembler tracer ) - Testei a solução com múltipos malwares brasileiros em 4 máquinas virtuais simultâneas com Windows XP rodando em VirtualBox e a performance é impressionante - assim como os relatórios gerados.. 
• Resumindo: Mais do que recomendada e capaz de automatizar 90% do trabalho de uma análise dinâmica de malwares! 
• Link:  http://www.cuckoobox.org/
• Vídeo 1:  http://vimeo.com/23801978
• Vídeo 2:  http://vimeo.com/34230399

• 6 - Forensic Live CDs - Live CDs/USBs são fundamentais no trabalho de Forense Computacional - o Claus Valca publicou em seu blog um interessante passo a passo para a criação de um LIVE CD/USB dual boot  (BartPE).
• Resumindo: Quanto mais ferramentas no seu tool-set, melhor.
• Artigo: http://grandstreamdreams.blogspot.com/2012/01/make-dual-boot-winpe-cd.html

• 7 - IPv6 - O site DIS9 publicou o 3o artigo da série "Hacking IPv6" - desta vez tratando de spoofing em túneis 6in4 (Ipv6/Ipv4).
• Resumindo: Como esperado, o IPv6 não "resolverá" todos problemas existentes no IPv4, mas agora teremos que nos preocupar com ambos e suas áreas de sombra..
• Artigo:  http://www.dis9.com/attack/hacking-ipv6-iii-ipv6-spoofing-in-6in4-tunnels.html

•  8 - Pentest - Outra série (5 posts) que vale a pena ser vista é a de dump de hashes em Windows do Bernardo Damele:
• Resumindo: Existem mil maneiras de fazer dump de hashes em Windows, ou seja se alguém tem acesso local a uma máquina, game-over.
• Último post da série (parte 5):  http://bernardodamele.blogspot.com/2011/12/dump-windows-password-hashes_28.html
• Dica: o blog dele tem vários outros posts interessantes - leia!

• 9 - Teoria dos Jogos aplicada a CiberSegurança - O Schneier divulgou um paper interessante sobre o assunto: "A game theoretic framework for evaluation of the impacts of hackers diversity on security measures".

• Resumindo: Está na hora de assistir War Games de novo.. 
• Link:  http://www.sciencedirect.com/science/article/pii/S0951832011002389
• Fonte:  http://www.schneier.com/blog/archives/2012/01/applying_game_t.html
• + Referências:  http://spie.org/documents/Newsroom/Imported/0783/0783-2007-07-25.pdf
• + Referência:  http://dl.acm.org/citation.cfm?id=1852704

• 10 - Ataques ao Facebook - A CommTouch publicou um interessante infográfico descrevendo ataques ao Facebook em 2011 - vale a pena conferir.
• Resumindo: 
• Link:  http://blog.commtouch.com/cafe/web-security/infographic-facebook-attacks-in-2011/

• 11 - Salários em InfoSec - Uma ótima notícia pra quem trabalha na área, a InfoSec divulgou o artigo "Best Paying IT Security Jobs In 2012" que informa a previsão de aumento (real) de salário em 2012 de 5%.
• Resumindo: Apesar da crise econômica: a demanda por bons profissionais é muito maior que a oferta qualificada de mão de obra.. 
• Link:  http://www.informationweek.com/news/security/management/232200152

• 12 - Asterisk (VoIP) Forensics - O site SIPVicious publicou um excelente artigo com vídeos tratando de forense em servidores Asterisk comprometidos - vale a pena conferir!
• Resumindo: É importante estar sempre antenado à novidades, ou seja: Semper Gumby!
• Link:  http://blog.sipvicious.org/2012/01/asterisk-forensics-logs-vs-attackers.html