Tuesday, February 11, 2014

Campanha de espionagem "Careto / The Mask" e o Brasil


Hoje a Kaspersky divulgou um relatório descrevendo uma campanha de ataque persistente e avançada (APT) utilizando métodos relativamente sofisticados, denominada "Careto" / "The Mask" - as análises preliminares indicam que a autoria possívelmente foi de um país e não de um grupo criminoso, hactivistas ou hobistas. O Brasil é um dos países atacados.

Antes de mais nada, sobre os "Advanced Persistent Threats": prefiro definí-los como ataques continuados, utilizando amplos recursos (tempo e dinheiro), e claramente direcionados. O direcionamento somado aos amplos recursos de tempo resulta na persistência, e o direcionamento somado a muito dinheiro permite ao atacante desenvolver (ou adquirir) métodos diferenciados de infecção, bypass, delivery, comando e controle e roubo de informações. Por isto os atores por trás deste tipo de ataque são normalmente considerados países. Neste tipo de situação, as defesas tradicionais - configuradas de forma a evitar ameaças genéricas - são inúteis.

Vale a pena lembrar que não se trata de algo inédito, ou mesmo incomum. Nos últimos 10 anos (com clara intensificação nos últimos 5), cerca de 30 (TRINTA) longas campanhas de Ameaças Persistentes e Avançadas (APTs) foram analisadas e divulgadas, entre elas: Byzantine Haydes, Titan Rain, Rep Wolf, Ghost Net, Aurora, Shadow Net, Stuxnet, Shady RAT, Duqu, Gauss, Nitro, Flame, Taidoor, Shamoon, Elderwood, RedOctober, Icefog, APT1, Beebus, etc.. E estou listando apenas as campanhas conhecidas e "nomeadas", fora as que ainda não foram descobertas e/ou divulgadas..

Voltando ao "Careto" ou "The Mask" (ativo desde 2007):

Além da possível detecção dos binários utilizados, várias mitigações e detecções em outros "domínios", como no Backbone, na Rede, no Email, nos Gateways, em servidores DNS, Proxies e também Endpoints são possíveis e precisam ser desenvolvidas e implementadas.

Na Apura nós acreditamos nisto e buscamos desenvolver tecnologias e capacidades, além de buscar parcerias - idealmente com transferência de tecnologia - para tornar este objetivo uma realidade palpável às empresas públicas e privadas do Brasil.

A tarefa não é simples, especialmente porque além de desenvolver processos e técnicas de deetcção e reação a este tipo de ataque, é necessário aceitar que a forma como nos defendemos hoje não é suficiente. ou mesmo aceitável. Sobre este assunto, recomendo o material que o governo da Austrália preparaou sobre o assunto: Estratégias para mitigar intrusões direcionadas.

Caso você seja responsável pela segurança de uma organização que foi ou poderia ser alvo de uma campanha como estas, dê uma olhada na lista presente no link acima e perceba que a grande maioria não requer necessariamente grandes investimentos ou novas tecnologias, e sim um foco no que realmente importa ao invés de seguir fórmulas e receitas de investimento de recursos (novamente tempo e dinheiro) em tecnologias comoditizadas e ineficientes como Firewalls, IDS e Anti-vírus:
  1. Whitelisting de Aplicações
  2. Patching de Aplicações
  3. Patching de Sistemas Operacionais
  4. Minimizar os usuários com permissões administrativas locais ou de domínio
  5. Desabilitar contas de administrador locais
  6. Autenticação de múltiplos fatores
  7. Segmentação e segregação de redes
  8. Firewall de Aplicação em Estações de trabalho para negar tráfico 'entrante'
  9. Firewall de Aplicação em Estações de trabalho para negar tráfico 'sainte'
  10. Sistema Virtualizado não persistente para atividades arriscadas como leitura de email e navegação na internet.
Para conhecer as outras 25 estratégias, veja o post original sobre o assunto.

Voltando para as informações divulgadas sobre o "Careto / The Mask" - seguem alguns trechos relevantes do paper lançado pela Kaspersky sobre o assunto (65 páginas):

http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf

' What makes “The Mask” special is the complexity of the toolset used by the
attackers. This includes an extremely sophisticated malware, a rootkit, a bootkit, 32-and 64-bit Windows versions, Mac OS X and Linux versions and possibly versions for Android and iPad/iPhone (Apple iOS).

The Mask also uses a customized attack against older versions of Kaspersky Lab products to hide in the system, putting them above Duqu in terms of sophistication and making it one of the most advanced threats at the moment. This and several other factors make us believe this could be a nation-state sponsored campaign.

When active in a victim system, The Mask can intercept network traffic, keystrokes,

Skype conversations, PGP keys, analyse WiFi traffic, fetch all information from Nokia devices, screen captures and monitor all file operations.

The malware collects a large list of documents from the infected system, including encryption keys, VPN configurations, SSH keys and RDP files. There are also several extensions being monitored that we have not been able to identify and could be related to custom military/government-level encryption tools.

Based on artifacts found in the code, the authors of the Mask appear to be speaking the Spanish language.'

During our research, we observed the following exploit websites:

- linkconf.net
- redirserver.net
- swupdt.com

The malware is digitally signed with a valid certificate (since 2010) from an unknown or fake company, called TecSystem Ltd

Full list of stolen files extensions:

*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,*.ENC,*.GMG,*.GPG,*.HSE,*.KEY,*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,*.P7Z,*.PAB,*.PDF,*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,*.SKR,*.SSH,*.SXC,*.SXW,*.VSD,*.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX

Inside the main Careto binaries there is a CAB file with two modules - 32 and 64-bit.
shlink32.dll
shlink64.dll

The malware extracts one of them depending on the system architecture and installs it as "objframe.dll".

Inside the backdoor there are three executable files, once again, packed with CAB and having the .jpg extension:
dinner.jpg
waiter.jpg
chef.jpg.

The attackers call the more sophisticated malware SGH. We discovered the attackers trying to install multiple plugins for it.

Also we have found traces of lateral movement tools, such as a module for Metasploit with the “win7elevate” artifact. '

O Apêndice 1 do relatório da Kasperksy nos oferece uma lista de indicadores de comprometimento (IOCs) que podem ser utilizados para verificar se máquinas e redes foram afetadas pela campanha. 

"
Filenames:

%system%\objframe.dll
%system%\shlink32.dll
%system%\shlink64.dll
cdllait32.dll
cdllait64.dll
cdlluninstallws32.dll
cdlluninstallws64.dll
cdlluninstallsgh32.dll 
cdlluninstallsgh64.dll 
%system%\c_50225.nls
%system%\c_50227.nls
%system%\c_50229.nls
%system%\c_51932.nls
%system%\c_51936.nls
%system%\c_51949.nls
%system%\c_51950.nls
%system%\c_57002.nls
%system%\c_57006.nls
%system%\c_57008.nls
%system%\c_57010.nls
%system%\cdgext32.dll
%system%\cfgbkmgrs.dll
%system%\cfgmgr64.dll
%system%\comsvrpcs.dll
%system%\d3dx8_20.dll
%system%\dllcomm.dll
%system%\drivers\wmimgr.sys
%system%\drvinfo.bin
%system%\FCache.bin
%system%\FFExtendedCommand.dll
%system%\gpktcsp32.dll
%system%\HPQueue.bin
%system%\LPQueue.bin
%system%\mdwmnsp.dll
%system%\rpcdist.dll
%system%\scsvrft.dll
%system%\sdptbw.dll
%system%\slbkbw.dll
%system%\skypeie6plugin.dll
%system%\wmspdmgr.dll
%temp%\~DF01AC74D8BE15EE01.tmp
%temp%\~DF23BF45A473C42B56.tmp
%temp%\~DFA0528CD81300F372.tmp
%temp%\~DF8471938479DA49221.tmp 
%appdata%\microsoft\c_27803.nls
%appdata%\microsoft\objframe.dll
%appdata%\microsoft\shmgr.dll

Registry keys:
[HKLM\Software\Classes\CLSID\{E6BB64BE-0618-4353-9193-0AFE606D6F0C}\InprocServer32]

C&C and exploit staging server IPs:

190.10.9.209 
190.105.232.46 
196.40.84.94 
200.122.160.25 
202.150.211.102
202.150.214.50 
202.75.56.123 
202.75.56.231 
202.75.58.153 
210.48.153.236 
223.25.232.161 
37.235.63.127 
75.126.146.114 
81.0.233.15 
82.208.40.11 
62.149.227.3
75.126.146.114

Domains and hostnames:

nthost.shacknet.nu
tunga.homedns.org
prosoccer1.dyndns.info
prosoccer2.dyndns.info
nav1002.ath.cx
pininfarina.dynalias.com
wqq.dyndns.org
pl400.dyndns.org
services.serveftp.org
sv.serveftp.org
cherry1962.dyndns.org
carrus.gotdns.com
ricush.ath.cx
takami.podzone.net
dfup.selfip.org
wwnav.selfip.net
fast8.homeftp.org 
ctronlinenews.dyndns.tv
mango66.dyndns.org
gx5639.dyndns.tv
services.serveftp.org
*.redirserver.net
*.swupdt.com
*.msupdt.com
*.appleupdt.com

*.linkconf.net
"

Muitos outros detalhes podem ser vistos no relatório original da Kaspersky (PDF)

Vale lembrar que apesar deste caso - especialmente no que tange o bypass de soluções de anti-vírus - o malware foi considerado mais "avançado" que o Flame e o Duqu, não significa - necessariamente - que todo ataque bem sucedido é sofisticado. A persistência e o direcionamento muitas vezes são mais importantes para o sucesso neste tipo de campanha que quantos "0days" ou novas técnicas de bypass de proteções de sandbox e memória foram utilizadas..

Em uma primeira leitura do relatório, percebe-se que o Brasil é o segundo país com mais "IPs infectados" pelo malware, atrás apenas do Marrocos. Esta análise foi feita a partir do registro de "debug" de vários servidores de comando e controle do malware. Quando o que foi avaliado foram as novas conexões únicas (por ID de máquina) a sinkholes recentes que receberam conexões direcionadas a servidores de C&C, da Kaspersky - o resultado é diferente: Cuba e Espanha são os países com mais "vítimas". Uma possível conclusão é que a infraestrutura de espionagem do "Careto" já foi muito utilizada para monitorar alvos no Brasil, mas não recentemente.

Dito isto, o que podemos fazer? Além da adoção de grande parte das estratégias citadas no início deste artigo, é fundamental que o governo brasileiro, com apoio da academia e da iniciativa privada, busque ATIVAMENTE entender a real extensão desta (e de outras) campanhas deste tipo. Até mesmo porque muito além do vazamento de informações sensíveis (inclusives secretas / estratégicas), a maior ameaça está na possível alteração e até mesmo destruição física - especialmente em infraestruturas críticas como usinas, hidrelétricas, aeroportos, etc.

Report e download de um dos samples "The Mask" disponíveis publicamente no momento (via Malwr):

https://malwr.com/analysis/MGZlYjQ0OTBjOGQ0NDBmYzgwODJiNTBhNzVkMGU2MGY/


FILE SIZE345480 bytes
FILE TYPEPE32 executable (GUI) Intel 80386, for MS Windows
MD55cfd31b1573461a381f5bffa49ea1ed6
SHA10081e20b4efb5e75f9ce51e03b2d2d2396e140d4
SHA25619e818d0da361c4feedd456fca63d68d4b024fbbd3d9265f606076c7ee72e8f8
SHA51206d45ebe50c20863edea5cd4879de48b2c3e27fbd9864dd816442246feb9c2327dda4306cec3ad63b16f6c2c9913282357f796e9984472f852fad39f1afa5b6b
CRC32A210FDD8
SSDEEP6144:Szbcv49dLbVfOTAlsQrxvWGY5Kbt6FfrrkEoSdEBSkqFzDdj0lMGYk:d6/OTAlsQsGAKbt6hXkEoSgtqFzhj0lz


Dropped File:

FILE NAMEshmgr.dll
FILE SIZE114688 bytes
FILE TYPEPE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD596aee2389c325343f6db3be500a8a962
SHA17c30dc5d96023a1aa018921b4f01e98960992cb9
SHA25602ae1226b817cf2a7022b2d5c934f26a46233d822f2bfe3a488c885ff1121c4e
CRC32B3141A56
SSDEEP3072:60aBz3pbanFnyRc2A8DHjAQlZcmJ7IYXn1:60aBz3MFuc+HjA1y

O binário listado acima possui uma taxa de detecção no Virustotal de apenas 4 anti-virus no dia 10/02/2014 Panda, Kaspersky, Bkav e Symantec.

Outros links relevantes sobre o assunto:

2 comments:

  1. Mauro C. Fransoni2/11/2014 8:12 AM

    O momento que vivemos hoje no Brasil sugere a necessidade de lidar com ataques persistentes com seriedade e constância. A informação é e sempre será a melhor entre todas as armas de defesa. Muito mais importante do que ter consciência de que se está sendo atacado por esta ou aquela ameaça é saber quais as maneiras adequadas para dificultar o sucesso destes ataques. De um lado temos mentes criminosas manipuladas por interesses pessoais e até maiores, com tempo suficiente para estudar ataques bem específicos. Do outro lado temos equipes de Segurança da Informação fazendo o possível para lidar com ataques específicos e inespecíficos sem condições de parar para respirar. As ferramentas tradicionais que implicam métodos conhecidos, conforme o artigo, ajudam a criar perímetros de defesa. A segmentação da rede, políticas de acessos restritos baseados em permissões mínimas, controles rígidos em contas de administradores e bloqueio das mesmas ajudam a diminuir riscos. Todos os elementos de segurança possuem papéis importantes, mesmo os citados como "não tão eficientes". A exemplo disto Firewalls são mencionados devido à importância no controle do tráfego de entrada e saída e Antivírus por reconhecerem assinaturas em códigos utilizados nos ataques. O fato é que não podemos baixar a guarda e estamos diante de uma realidade "interessante". É possível perceber que o nível de conhecimento dos atacantes é incomodamente grande. Cabe às equipes de Segurança da Informação buscar dados consistentes que apoiem estratégias eficientes de defesa. A união das equipes de segurança pode ser a melhor resposta para este momento. O fato é que ataques com estas características podem causar prejuízos difíceis de calcular e que estar na "linha de fogo" não é algo confortável. É preciso conduzir investimentos para diminuir os riscos e tornar pequenas, possíveis perdas. Infelizmente obter 100% de segurança ainda é uma "utopia", contudo, o maior erro seria baixar a guarda e aceitar passivamente as possíveis consequências.

    ReplyDelete
  2. muito legal o texto e os comentários................ mas e aí? QUEM NO GOVERNO TÁ SE PREOCUPANDO COM ISTO DE VERDADE?

    ReplyDelete

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)