tag:blogger.com,1999:blog-16822418222281486122024-02-18T23:25:10.434-03:00SSegurança #infosec #DFIR<p align="left"><b>Incident Response, Computer Forensics and Hot topics on Security, by <a href="http://twitter.com/suffert"><u>Sandro Süffert</u></a></b>.</p>SShttp://www.blogger.com/profile/16456034990657036324noreply@blogger.comBlogger273110tag:blogger.com,1999:blog-1682241822228148612.post-52770253639914202772018-06-28T14:01:00.002-03:002018-06-28T14:01:27.039-03:00Aniversário de 10 anos do Blog.Apenas um post comemorativo. Viva! ;)<br />
<br />
S.S.<div class="blogger-post-footer"><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml"><img src="http://www.feedburner.com/fb/images/pub/feed-icon32x32.png" alt="" style="border:0"/></a><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml">Inscreva-se no RSS Feed e receba atualizações automáticas</a></div>SShttp://www.blogger.com/profile/16456034990657036324noreply@blogger.com0tag:blogger.com,1999:blog-1682241822228148612.post-20177128518967788832017-01-31T23:33:00.000-02:002018-06-28T14:05:36.177-03:00Powershell Forensics FrameworkUma ótima dica para quem busca alternativas (e elas são sempre boas, por mais bem equipado que você esteja) para investigações em sistemas de arquivo NTFS (em breve ext4 tb):<br />
<br />
<a href="https://github.com/Invoke-IR/PowerForensics/">https://github.com/Invoke-IR/PowerForensics/</a><br />
<br />
"PowerForensics is a PowerShell digital forensics framework. It currently supports NTFS and is in the process of adding support for the ext4 file system." <br />
<span style="font-size: x-small;"><span style="font-family: "courier new" , "courier" , monospace;"><br />Boot Sector:</span></span><br />
<br />
<span style="font-size: x-small;"><span style="font-family: "courier new" , "courier" , monospace;">Get-ForensicMasterBootRecord - gets the MasterBootRecord from the first sector of the hard drive
Get-ForensicGuidPartitionTable - gets the GuidPartitionTable from the first sector of the hard drive
Get-ForensicBootSector - gets the appropriate boot sector (MBR or GPT) from the specified drive
Get-ForensicPartitionTable - gets the partition table for the specified drive
<br /><br />New Technology File System (NTFS):</span></span><br />
<br />
<span style="font-size: x-small;"><span style="font-family: "courier new" , "courier" , monospace;">Get-ForensicAttrDef - gets definitions of MFT Attributes (parses $AttrDef)
Get-ForensicBitmap - determines if a cluster is marked as in use (parses $Bitmap)
Get-ForensicFileRecord - gets Master File Table entries (parses $MFT)
Get-ForensicFileRecordIndex - gets a file's MFT record index number
Get-ForensicUsnJrnl - getss Usn Journal Entries (parses $UsnJrnl:$J)
Get-ForensicUsnJrnlInformation - getss UsnJrnl Metadata (parses $UsnJrnl:$Max)
Get-ForensicVolumeBootRecord - gets the VolumeBootRecord from the first sector of the volume (parses $Boot)
Get-ForensicVolumeInformation - gets the $Volume file's $VOLUME_INFORMATION attribute
Get-ForensicVolumeName - gets the $Volume file's $VOLUME_NAME attribute
Get-ForensicFileSlack - gets the specified volume's slack space
Get-ForensicMftSlack - gets the Master File Table (MFT) slack space for the specified volume
Get-ForensicUnallocatedSpace - gets the unallocated space on the specified partition/volume (parses $Bitmap)
<br /><br />Windows Artifacts:</span></span><br />
<br />
<span style="font-size: x-small;"><span style="font-family: "courier new" , "courier" , monospace;">Get-AlternateDataStream - gets the NTFS Alternate Data Streams on the specified volume
Get-ForensicEventLog - gets the events in an event log or in all event logs
Get-ForensicExplorerTypedPath - gets the file paths that have been typed into the Windows Explorer application
Get-ForensicNetworkList - gets a list of networks that the system has previously been connected to
Get-ForensicOfficeFileMru - gets a files that have been recently opened in Microsoft Office
Get-ForensicOfficeOutlookCatalog - gets a Outlook pst file paths
Get-ForensicOfficePlaceMru - gets a directories that have recently been opened in Microsoft Office
Get-ForensicOfficeTrustRecord - gets files that have been explicitly trusted within MicrosoftOffice
Get-ForensicPrefetch - gets Windows Prefetch artifacts by parsing the file's binary structure
Get-ForensicRunKey - gets the persistence mechanism stored in registry run keys
Get-ForensicRunMostRecentlyUsed - gets the commands that were issued by the user to the run dialog
Get-ForensicScheduledJob - gets Scheduled Jobs (at jobs) by parsing the file's binary structures
Get-ForensicShellLink - gets ShellLink (.lnk) artifacts by parsing the file's binary structure
Get-ForensicSid - gets the machine Security Identifier from the SAM hive
Get-ForensicTimezone - gets the system's timezone based on the registry setting
Get-ForensicTypedUrl - gets the Universal Resource Locators (URL) that have been typed into Internet Explorer
Get-ForensicUserAssist - gets the UserAssist entries from the specified volume
Get-ForensicWindowsSearchHistory - gets the terms that have been searched for using the Windows Search feature
<br /><br />Application Compatibility:</span></span><br />
<br />
<span style="font-size: x-small;"><span style="font-family: "courier new" , "courier" , monospace;">CacheGet-ForensicAmcache - gets previously run commands from the Amcache.hve registry hive
Get-ForensicRecentFileCache - gets previously run commands from the RecentFileCache.bcf file
Get-ForensicShimcache - gets previously run commands from the AppCompatCache (AppCompatibility on XP) registry key
<br /><br />Windows Registry:</span></span><br />
<br />
<span style="font-size: x-small;"><span style="font-family: "courier new" , "courier" , monospace;">Get-ForensicRegistryKey - gets the keys of the specified registry hive
Get-ForensicRegistryValue - gets the values of the specified registry key
<br /><br />Forensic Timeline:</span></span><br />
<br />
<span style="font-size: x-small;"><span style="font-family: "courier new" , "courier" , monospace;">ConvertTo-ForensicTimeline - converts an object to a ForensicTimeline object
Get-ForensicTimeline - creates a forensic timeline
<br /><br />Extended File System 4 (ext4):</span></span><br />
<br />
<span style="font-size: x-small;"><span style="font-family: "courier new" , "courier" , monospace;">Get-ForensicSuperblock - returns the ext4 SuperBlock object
Get-ForensicBlockGroupDescriptor - returns the Block Group Descriptor Table entries
Get-ForensicInode - returns the Inode Table entries
<br /><br />Utilities:</span></span><br />
<br />
<span style="font-size: x-small;"><span style="font-family: "courier new" , "courier" , monospace;">ConvertFrom-BinaryData - implements PowerForensics' BinShred API to parse binary data into an object
Copy-ForensicFile - creates a copy of a file from its raw bytes on disk
Get-ForensicChildItem - returns a directory's contents by parsing the MFT structures
Get-ForensicContent - gets the content of a file from its raw bytes on disk
Invoke-ForensicDD - provides a bit for bit copy of a specified device</span></span><div class="blogger-post-footer"><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml"><img src="http://www.feedburner.com/fb/images/pub/feed-icon32x32.png" alt="" style="border:0"/></a><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml">Inscreva-se no RSS Feed e receba atualizações automáticas</a></div>SShttp://www.blogger.com/profile/16456034990657036324noreply@blogger.com0tag:blogger.com,1999:blog-1682241822228148612.post-55227744319459009242016-06-16T05:28:00.002-03:002016-06-16T05:30:37.776-03:00Quem invadiu os servidores do Partido Democrata Americano?"Cozy Bear", "Fancy Bear" (Rússia) ou outras criaturas invadiram servidores do DNC (Comitê do Partido Democrata Americano)?<br />
<br />
Governo Russo? Lone Hacker? Informação, Contra-informação.. "Attribution is hard!"<br />
<br />
Várias teorias estão surgindo.. é bom lembrar que é possível que muita gente tenha invadido ao mesmo tempo. Isto não é tão incomum..<br />
<br />
Dia 14/06:<br />
<br />
Crowstrike: <a href="https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/" target="_blank">https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/ </a><br />
<br />
NPR: <a href="http://www.npr.org/2016/06/14/482029912/russian-hackers-penetrate-democratic-national-committee-steal-trump-research" target="_blank">http://www.npr.org/2016/06/14/482029912/russian-hackers-penetrate-democratic-national-committee-steal-trump-research </a><br />
<br />
Dia 15/06:<br />
<br />
Guccifer: https://guccifer2.wordpress.com/2016/06/15/dnc/<br />
<br />
Em breve, os arquivos estarão disponíveis no Wikileaks.<div class="blogger-post-footer"><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml"><img src="http://www.feedburner.com/fb/images/pub/feed-icon32x32.png" alt="" style="border:0"/></a><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml">Inscreva-se no RSS Feed e receba atualizações automáticas</a></div>SShttp://www.blogger.com/profile/16456034990657036324noreply@blogger.com0tag:blogger.com,1999:blog-1682241822228148612.post-44430999738544885142016-02-25T11:47:00.000-03:002016-02-25T11:48:15.689-03:00Trojans Governamentais para vigilância e investigações online: NIT e CIPAV (FBI) e Bundestrojaner (Alemanha), entre outros<div class="separator" style="clear: both; text-align: center;">
</div>
<b>[ Update 25/02/2016 ]</b><br />
<br />
<b>Muito tempo sem update.. Aqui vai uma novidade sobre este assunto:</b><br />
<br />
<a href="http://news.softpedia.com/news/german-police-create-a-new-version-of-bundestrojaner-federal-trojan-500832.shtml" target="_blank">http://news.softpedia.com/news/german-police-create-a-new-version-of-bundestrojaner-federal-trojan-500832.shtml </a><br />
<br />
"The German government has approved that a new version of the infamous Bundestrojaner (Federal Trojan) malware be used against real-life targets, after authorities have been working on an updated version for the past months."<br />
<br />
<br />
<b>[ Update 21/11/2014 ]</b><br />
<br />
Hoje a Anestia Internacional a Eletronic Free Frontier juntamente com outras entidades ligadas à segurança e privacidade na Internet lançaram uma ferramenta de "deteção de spywares conhecidos de vigilância governamental" chamado <b>Detekt</b> - você pode baixar a ferramenta e o código fonte no links abaixo:<br />
<br />
<br />
<b>Sobre a Ferramenta: </b><a href="https://www.resistsurveillance.org/index.html">https://www.resistsurveillance.org/</a><br />
<b>Download do Executável e Código Fonte: </b><a href="https://github.com/botherder/detekt/releases/tag/v1.4">https://github.com/botherder/detekt/releases/tag/v1.4</a><br />
<br />
<b>[ Update 19/05/2014 ]</b><br />
<br />
<br />
No dia 12<b>/</b>05/2014, uma solicitação do FBI (código <a href="https://www.fbo.gov/index?s=opportunity&mode=form&id=e2a5f00667ea243032ccc23e9522e078&tab=core&tabmode=list&=">RFQ1307B</a>) mostra o interesse da Agência americana em obter samples de malware de todo o mundo:<br />
<br />
Detalhes relevantes:<br />
<br />
"2.3.1 Malware Feed<br />
<br />
The FBI seeks to obtain the malware via a feed. The feed shall:<br />
<br />
• Currently exist (or system currently exists that can produce the feed)<br />
• Contain a rollup of sharable new malware (both unique and variants)<br />
• Include a malicious URL report (Reference Section 2.3.2)<br />
• Be organized by SHA1 signatures<br />
• Be updated once every 24 hours<br />
• Be a snapshot of the prior 24 hours<br />
• Be, on average, 30GB - 40GB per day<br />
• Be able to retrieve feed in an automated way through machine-to-machine communication<br />
• Initiations of accessing feed shall be pulled by FBI not pushed to FBI<br />
<br />
2.3.2 Malicious URL Report<br />
<br />
The FBI seeks a malicious URL report as a component of the malware feed. The URL report shall contain a list of URLs that do not directly link to executable files, but instead lead to exploits that cause malware to be downloaded (e.g., links to drive-by downloads).<br />
<br />
2.3.3 Malware Files<br />
<br />
Each of the new malware files in the feed shall contain metadata, to include:<br />
<br />
• SHA1 signature<br />
• MD5 signature<br />
• Time<br />
<br />
The file types required include:<br />
<br />
• Executable file types from Unix/Linux, Windows and Macintosh<br />
• Archives files<br />
• Image files<br />
• Microsoft Office documents<br />
• Audio and Video files<br />
• RTF files<br />
• PDF files<br />
• PHP files<br />
• JavaScript files<br />
• HTML files"<br />
<br />
<br />
<b>[ Update: 08/12/2013 ]</b><br />
<b><br /></b>
O Washington Post publicou hoje um artigo entitulado<b> "<a href="http://www.washingtonpost.com/business/technology/fbis-search-for-mo-suspect-in-bomb-threats-highlights-use-of-malware-for-surveillance/2013/12/06/352ba174-5397-11e3-9e2c-e1d01116fd98_story_3.html">FBI’s search for ‘Mo,’ suspect in bomb threats, highlights use of malware for surveillance</a>"</b>em que divulga um <a href="http://apps.washingtonpost.com/g/page/business/fbi-files-colorado-search-warrant-request/641/" style="font-weight: bold;">search warrant</a><b> ("pedido de busca e apreensão") </b>que detalha como a agência solicita e recebe autorização judicial para o uso de código malicioso em investigações de crimes (neste caso ameaças envolvendo bombas).<br />
<br />
O termo "<i>CIPAV</i>" - presente nos demais updates deste post - não é utilizado, e é introduzido um acrônimo: <i>NIT </i>- "<i>Network Investigative Technique</i>", que tem funcionalidade muito parecida com o descrito neste post.<br />
<b><br /></b>
<b><br /></b>
<br />
<div>
<b>[ Update: 09/02/2013 ]</b><br />
<b><br /></b>
<b>"Going Bright: Wiretapping without W</b><b>eakening Communications Infrastructure"</b><br />
<b><br /></b>
<b><a href="http://www.crypto.com/papers/GoingBright.pdf">http://www.crypto.com/papers/GoingBright.pdf</a></b><br />
<br />
<br />
<br />
<i>"Mobile IP-based communications and changes in technologies have been a subject of concern for law </i><i>enforcement, which seeks to extend current wiretap design requirements for digital voice networks. </i><br />
<i><br /></i>
<i>Such </i><i>an extension would create considerable security risks as well as seriously harm innovation. Exploitation </i><i>of naturally occurring bugs in the platforms being used by targets may be a better alternative."</i><br />
<br />
<br />
Steven M. Bellovin | Columbia University<br />
Matt Blaze and Sandy Clark | University of Pennsylvania<br />
Susan Landau | Privacy Ink<br />
<br />
<br />
<b><br /></b>
<b>[ Update: 10/09/2012 ]</b><br />
<b><br /></b>
O Governo alemão está abertamente<a href="http://www.bka.de/nn_194250/DE/Berufsperspektive/Stellenangebote/11-2012.html" target="_blank"> contratando programadores especializados em trojans</a>, para não depender de empresas externas para desenvolver suas ferramentas de monitoração utilizadas em investigações feitas pelo governo (<i>BundesTrojaner).</i><br />
<i><br /></i>
Alguns pré-requisitos para os candidados ao cargo:<br />
<br />
<br />
<ul>
<li>Excelente conhecimento de C++</li>
<li>Muito bom conhecimento de padrões de software de modelagem de tecnologias de rede,</li>
<li>topologias e protocolos (especialmente sobre os protocolos da Internet utilizados)</li>
<li>Capacidade de auxílio no desenvolvimento e manutenção de software para a criação de técnicos e táticos requisitos para o acesso
remoto da polícia secreta</li>
<li>Identificação de vulnerabilidades em aplicações e sistemas operacionais,
</li>
<li>Observação das evoluções técnicas e legais no campo da tecnologias de informação e comunicação</li>
<li>Muito bom conhecimento de programação de baixo nível e mecanismos de segurança do Windows</li>
<li>Idealmente ter conhecimento dos mecanismos de segurança de outros sistemas operacionais, bem como na programação de baixo nível em outros sistemas operacionais, bem como no desenvolvimento de drivers</li>
</ul>
Fonte e mais informações - veja este post da F-Secure:<i> </i><a href="http://www.f-secure.com/weblog/archives/00002423.html">http://www.f-secure.com/weblog/archives/00002423.html</a></div>
<div>
<br />
PS: Neste meio tempo foi publicado neste blog um artigo chamado "<i><b><a href="http://sseguranca.blogspot.com.br/2012/08/ciberguerra-e-ciberespionagem-o-uso-de.html" target="_blank">CiberGuerra e CiberEspionagem: O uso de ferramentas de invasão por Nações e Governos</a></b></i>" - relevante ao assunto tratado neste artigo.<br />
<b><br /></b>
<b>[ Update: 02/02/2012 ]</b><br />
<b><br /></b>
Uma <b>autorização judicial</b> de instalação do <b><i>CIPAV</i></b> foi provavelmente utilizada no caso da investigação que culminou com a prisão dos responsáveis pelo <b><i>MegaUpload</i>.</b><br />
<b><br /></b>
<br />
<blockquote class="tr_bq">
"<i>While it's still not clear how federal investigators gained access to the conversations of founder Kim DotCom and other top managers, there are hints that the FBI managed to place government-issued spyware on the defendants' computers</i>"</blockquote>
<br />
Mais informações na <i>CNET</i>:<br />
<br />
<a href="http://news.cnet.com/8301-31001_3-57368523-261/feds-we-obtained-megaupload-conversations-with-search-warrant/">http://news.cnet.com/8301-31001_3-57368523-261/feds-we-obtained-megaupload-conversations-with-search-warrant/</a><br />
<br />
Informações do caso no site do <i>FBI</i>:<br />
<br />
<a href="http://www.fbi.gov/news/pressrel/press-releases/justice-department-charges-leaders-of-megaupload-with-widespread-online-copyright-infringement">http://www.fbi.gov/news/pressrel/press-releases/justice-department-charges-leaders-of-megaupload-with-widespread-online-copyright-infringement</a><br />
<b><br /></b>
<b>[ Update: 26/10/2011 ]</b><br />
<b><br /></b>
<i>A Kaspersky <a href="http://www.securelist.com/en/blog/208193167/Federal_Trojan_s_got_a_Big_Brother">achou outra variante</a> do </i><i>BundesTrojaner</i>, que também já foi analisada pelo CCC . Um resumo pode ser visto no <a href="http://www.h-online.com/security/news/item/CCC-criticises-new-version-of-government-trojan-1367160.html">site H-Online</a> (inglês). Ou a análise <a href="http://translate.google.com/translate?sl=de&tl=pt&js=n&prev=_t&hl=en&ie=UTF-8&layout=2&eotf=1&u=http%3A%2F%2Fwww.ccc.de%2Fde%2Fupdates%2F2011%2Fanalysiert-aktueller-staatstrojaner">original/integral traduzida</a> do alemão para o português (<i>Google Translate</i>).<br />
<br />
<b>[ Update: 17/10/2011 ]</b><br />
<b><br /></b>
Uma interessante análise do footprint de memória do "BundesTrojaner" utilizando a ferramenta de <a href="http://sseguranca.blogspot.com/2011/06/forense-em-windows-aquisicao-e-analise.html">forense de memória <b>volatility</b></a> foi publicada recentemente - <a href="http://www.evild3ad.com/?p=1136">confira</a>!<br />
<b><br /></b>
<b>[ Update: 08/10/2011 ]</b><br />
<b><br /></b>
Devido às dificuldades de interceptação telemática de certos atores no cenário cibernético - devido ao crescente uso de criptografia, <i>proxies</i>, <i>vpn</i>, etc - o uso de softwares para monitoração de suspeitos (autorizadas pela justiça ou não) é uma realidade crescente em todo o mundo. Alguns dos países em que isto já acontece são: EUA (veja o <i>post</i> original sobre o <i>CIPAV</i> abaixo), <a href="http://blog.eset.com/2010/08/18/will-france-spy-on-you">França</a>, <a href="http://www.f-secure.com/weblog/archives/00002114.html">Egito</a>, e agora a Alemanha (leia logo abaixo)<br />
<br />
O grupo <i><b>Chaos Computer Club</b></i> (CCC) publicou hoje uma análise do "<b>Bundestrojaner Light</b>" (R2D2) - que numa tradução livre seria "<i>Light </i><i>Federal </i><i>Trojan</i>" - utilizado pelo governo alemão.<br />
<br />
Abaixo são listados os nomes dos arquivos analisados (uma biblioteca e um driver de kernel windows), seus <i>hashes md5 </i>e taxas de detecção por antivírus (<i>virustotal</i>):<br />
<br />
<b>mfc42ul.dll</b> (<b>md5</b>: 930712416770a8d5e6951f3e38548691 <b>vt:</b> 6/43)<br />
<b>winsys32.sys</b> (<b>md5</b>: d6791f5aa6239d143a22b2a15f627e72 <b>vt:</b> 5/43)<br />
<div>
<br /></div>
<br />
<b>Para mais informações, veja a página da CCC:</b><br />
<ul>
<li><b><a href="http://www.ccc.de/en/updates/2011/staatstrojaner">Chaos Computer Club analyzes government malware</a> </b></li>
<li><b>Tradução automática do paper em PDF do <a href="http://translate.google.com/translate?hl=en&sl=de&u=http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf">alemão para o inglês, aqui</a></b></li>
<li><a href="http://nakedsecurity.sophos.com/2011/10/10/german-government-r2d2-trojan-faq/">FAQ feito pela NakedSecurity</a>: <i>German 'Government' R2D2 Trojan FAQ</i></li>
<li><a href="http://blog.eset.com/2011/10/10/german-policeware-use-the-farce-er-force-luke">Artigo da ESET</a><i>: German Policeware: Use the Farce…er, Force…Luke</i></li>
<li><i>Paper "<a href="http://go.eset.com/us/resources/white-papers/Please_Police_Me.pdf">Please Police Me</a>": Carnivore, Magic Lantern, etc..</i></li>
<li><a href="http://t.co/iZ52jsqu">Apresentação da </a><i><a href="http://t.co/iZ52jsqu">Digitask</a> </i>sobre<i> "</i><span class="Apple-style-span" style="border-collapse: collapse; font-family: "arial" , sans-serif; font-size: 13px;">Remote Forensic Software"</span></li>
</ul>
<br />
<b>Mais informações sobre o assunto:</b><br />
<br />
<ul>
<li>Artigo da F-Secure:<b> </b><a href="http://www.f-secure.com/weblog/archives/00002249.html">http://www.f-secure.com/weblog/archives/00002249.html</a></li>
<li>Análise do VirScan: <a href="http://r.virscan.org/a2ed65a6a41e3a5e773b1bbcff14aef2">http://r.virscan.org/a2ed65a6a41e3a5e773b1bbcff14aef2</a></li>
</ul>
<br />
<b><br /></b>
<b>[ Update: 30/04/2011 ]</b></div>
<div>
<b><br /></b></div>
<div>
Depois de mais de dois anos sem novidades sobre o assunto, a EFF (Eletronic Frontier Foundation) publicou ontem um "dossiê" sobre o CIPAV chamado "<a href="https://www.eff.org/deeplinks/2011/04/CIPAV_Post">New FBI Documents Provide Details on Government’s Surveillance Spyware</a>".</div>
<div>
<br /></div>
<div>
O FBI tem utilizado a tecnologia para investigações criminais dentro dos Estados Unidos e também para investigações de suspeitos estrangeiros de acordo com os termos da FISA <a href="http://www.fbi.gov/news/testimony/fisa">(</a><i><a href="http://www.fbi.gov/news/testimony/fisa">Foreign Intelligence Surveillance Act</a>).</i></div>
<div>
<i><br /></i></div>
<div>
<i>Aos interessados em mais detalhes sobre o assunto, a EFF separou uma página de download para os 15 PDFs contendo informações sobre o CIPAV: </i><i><a href="https://www.eff.org/foia/foia-endpoint-surveillance-tools-cipav">https://www.eff.org/foia/foia-endpoint-surveillance-tools-cipav</a></i></div>
<div>
<b><br /></b></div>
<div>
<b>[ Post Original: 17/04/2009 ]</b><br />
<div>
<br />
Depois da divulgação de que a <a href="http://sseguranca.blogspot.com/2009/03/ghostnet-possivel-espionagem.html">China que se utiliza de técnicas hacker</a> para espionar seus adversários, a <a href="http://blog.wired.com/27bstroke6/2009/04/fbi-spyware-pro.html">Wired acaba de publicar</a> um artigo interessante sobre documentos que foram recentemente "desclassificados" pelo governo americano.<br />
<br />
Agora é público o conhecimento de que o FBI utiliza em suas investigações online - <span style="font-weight: bold;">há pelo menos 7 anos</span> - um <a href="http://en.wikipedia.org/wiki/Spyware"><span style="font-style: italic; font-weight: bold;">spyware</span></a> desenvolvido internamente por eles chamado <span style="font-style: italic; font-weight: bold;">CIPAV - Computer and Internet Protocol Address Verifier</span>, que faz um pouco mais do que o nome indica - ele busca as seguintes informações da máquina alvo:<br />
<br />
• Endereço IP<br />
• Endereços MAC (placas de rede)<br />
• A lista de portas TCP e UDP e conexões estabelecidas (netstat)<br />
• Lista de programas em execução<br />
• Sistema Operacional, Versão e Número de Série e empresa que consta no Registro.<br />
• Versão do Navegador Padrão<br />
• Usuários (incluindo o logado) do sistema operacional<br />
• URL visitadas<br />
<br />
Segundo <a href="http://www.wired.com/politics/law/news/2007/07/fbi_spyware?currentPage=all">análise do CIPAV feita em 2007 por <span style="font-style: italic;">Kevin Poulsen</span></a>, todas as informações coletadas são enviadas pela Internet para computadores do FBI na Virginia, possivelmente para o laboratório do FBI em na cidade de Quantico.<br />
<br />
O <span style="font-style: italic;">modus operandi</span> mais comum de instalação do <span style="font-style: italic; font-weight: bold;">CIPAV</span> é fazer o alvo acessar uma página especialmente criada para explorar <a href="http://sseguranca.blogspot.com/2009/03/chrome-e-o-unico-browser-sobreviver.html">vulnerabilidades comuns em de navegadores</a>.<br />
<br />
As informações confirmadas nesta semana fazem parte do material liberado ao público devido ao "<a href="http://www.usdoj.gov/04foia/" style="font-style: italic;">Freedom of Information Act</a>" e indicam uma boa maturidade do governo americano ao tratar de assuntos sensíveis como a autorização legal para utilização deste tipo de tecnologia e o equilíbrio entre o sigilo destas ações e a garantia da privacidade dos usuários.<br />
<br />
O pdf original do documento "desclasificado" descrevendo alguns casos em que o CIPAV foi utilizado <a href="http://blog.wired.com/27bstroke6/files/fbi_cipav_wired_foia_041609.pdf" style="font-style: italic; font-weight: bold;">foi disponibilizado</a>.<br />
<br />
A necessidade do uso - e controle da <span style="font-weight: bold;">autorização judicial</span> (<a href="http://blog.wired.com/27bstroke6/files/timberline_affidavit.pdf"><span style="font-weight: bold;">pdf</span></a> - exemplo) - deste tipo de tecnologia é claro - muitas vezes as ações de <span style="font-style: italic;">hackers</span> e criminosos envolvem técnicas como "<a href="http://www.freeproxy.ru/en/free_proxy/faq/what_is_proxy_chaining.htm"><span style="font-style: italic; font-weight: bold;">proxy chaining</span></a>" e redes de anonimato como a <a href="http://www.torproject.org/" style="font-style: italic; font-weight: bold;">Tor</a> - que são muito difíceis de monitorar através da Internet, e exigiriam <span style="font-weight: bold;">autorizações judiciais de quebra de sigilo</span> para múltiplos provedores em diferentes países - o que na maioria das vezes é impraticável.<br />
<br />
Entre as ações tipicamente hackers utilizadas pelo FBI, está também a <a href="http://blog.wired.com/27bstroke6/2009/04/more-fbi-hackin.html">exploração (<span style="font-style: italic; font-weight: bold;">cracking</span>) de redes Wireless</a> para obtenção de evidências.<br />
<br />
A utilização de ferramentas como o <span style="font-style: italic; font-weight: bold;">CIPAV</span> e outras técnicas de "contra-ataque" sempre foi (e continuará sendo) fundamental para solução de casos de investigação como ameaças a bomba, terrorismo, sabotagem, extorsão e ataques de <span style="font-style: italic;">hackers</span>.<a href="http://translate.google.com/translate?hl=en&sl=de&u=http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf">http://translate.google.com/translate?hl=en&sl=de&u=http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf</a></div>
</div>
<div class="blogger-post-footer"><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml"><img src="http://www.feedburner.com/fb/images/pub/feed-icon32x32.png" alt="" style="border:0"/></a><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml">Inscreva-se no RSS Feed e receba atualizações automáticas</a></div>SShttp://www.blogger.com/profile/16456034990657036324noreply@blogger.com5tag:blogger.com,1999:blog-1682241822228148612.post-49733589603442048532016-01-03T19:05:00.001-02:002020-10-17T10:31:35.035-03:00Os maiores ataques de negação de serviço (DDoS) da História - 600Gps, 500Gbps, 400Gbps e 300Gbps <div class="separator" style="clear: both; text-align: left;">
<b><span style="font-size: large;"><br /></span></b></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiV4tNlf3G-tM8w8reuLD193Sv3uyClXwv3eyrS-T7gHLDx8tS0h2gy4X-Q6lyLE14zrQV6xi3MJMqicLQv4bTO1gCd3Yav1L9-bPWVvQAgnWGVbRdJDr6n34r5pa62-IvSodbIK_Hj0CY/s1600/drdos.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="164" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiV4tNlf3G-tM8w8reuLD193Sv3uyClXwv3eyrS-T7gHLDx8tS0h2gy4X-Q6lyLE14zrQV6xi3MJMqicLQv4bTO1gCd3Yav1L9-bPWVvQAgnWGVbRdJDr6n34r5pa62-IvSodbIK_Hj0CY/s1600/drdos.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<b><span style="font-size: large;"><br /></span></b></div><div class="separator" style="clear: both; text-align: left;"><b><span style="font-size: large;">Update 17/10/2020:</span></b></div><div class="separator" style="clear: both; text-align: left;"><b><span style="font-size: large;"><br /></span></b></div><div class="separator" style="clear: both; text-align: left;"><b><span style="font-size: large;">Ataque da China ao Google de 2.54Tbps (em 2017).</span></b></div><div class="separator" style="clear: both; text-align: left;"><b><span style="font-size: large;"><br /></span></b></div>
<div class="separator" style="clear: both; text-align: left;"><span style="font-size: large;"><b><a href="https://www.zdnet.com/google-amp/article/google-says-it-mitigated-a-2-54-tbps-ddos-attack-in-2017-largest-known-to-date/">https://www.zdnet.com/google-amp/article/google-says-it-mitigated-a-2-54-tbps-ddos-attack-in-2017-largest-known-to-date/</a></b></span></div><div class="separator" style="clear: both; text-align: left;"><b><span style="font-size: large;"><br /></span></b></div><div class="separator" style="clear: both; text-align: left;"><b><span style="font-size: large;">Ataque: 600Gbps (a se confirmar): </span></b></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
[ Update - 03/01/2016 ]</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Hacktivistas do grupo "New World Hacking" atacaram o site de Donald Trump e o da BBC, utilizando a estrutura da AWS (cloud da Amazon) e alegam ter efetuado ataques de Negação de Serviço superiores a 600Gps: </div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<a href="http://www.zdnet.com/article/attackers-targeting-bbc-donald-trump-amazon-web-services/">http://www.zdnet.com/article/attackers-targeting-bbc-donald-trump-amazon-web-services/</a><b><span style="font-size: large;"><br /></span></b></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<b><span style="font-size: large;"> </span></b><b>[ Update - 20/11/2014 ]</b></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;"><b><span style="font-size: large;"><b><span style="font-size: large;">Ataque: 500Gbps (a se confirmar): </span></b></span></b></div>
<div class="separator" style="clear: both; text-align: left;">
<b><span style="font-size: large;"> </span></b></div>
<div class="separator" style="clear: both; text-align: left;">
O governo Chinês é o principal suspeito dos maiores ataques de negação de serviço já registrados na história, com a impressionante marca de 500Gpbs. Sites independentes de notícias de Hong Kong estão sendo alvo de ataques continuados durante os últimos meses, em paralelo aos protestos "Hong Kong Occupy Central" que ocorrem nas ruas da cidade-estado.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Os ataques estão alcançando esta força através da utilização de ataques de reflexão (DRDoS) em milhares de servidores de DNS. Para se ter uma idéia, o número de requisições forjadas de DNS que estão sendo feitas por segundo durante estes ataques chega a 250 milhões - o mesmo valor das requisições válidas feitas por segundo na Internet do mundo todo.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<b>Mais informações:</b></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<a href="http://www.forbes.com/sites/parmyolson/2014/11/20/the-largest-cyber-attack-in-history-has-been-hitting-hong-kong-sites/">http://www.forbes.com/sites/parmyolson/2014/11/20/the-largest-cyber-attack-in-history-has-been-hitting-hong-kong-sites/</a></div>
<div class="separator" style="clear: both; text-align: left;">
</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;"><b><span style="font-size: large;">Ataque: 400Gbps (confirmado):</span></b></div>
<div class="separator" style="clear: both; text-align: left;">
<b><span style="font-size: large;"><br /></span></b></div>
<div class="separator" style="clear: both; text-align: left;">
<b>[ Update - 13/02/2014 ]</b></div>
<div class="separator" style="clear: both; text-align: left;">
<b><br /></b></div>
Como sabemos, Ataques Distribuídos de Negação de Serviço (DRDoS) são um problema conhecido há anos e o DNS é o protocolo mais tradicionalmente utilizado para se perpetrar este tipo de ataque - mas o DNS não está sozinho, e nem é mais o mais perigoso.<br />
<br />
Há alguns anos, tive a oportunidade de ser um dos revisores das primeiras versões de um material muito interessante sobre o assunto, chamado "Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos" - criado e mantido pelo <a href="http://cert.br/">CERT.BR</a> (Cristine Hoepers, Klaus Steding-Jessen, Nelson Murilo, Rafael R. Obelheiro): <a href="http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/">http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/</a> <br />
<br />
Uma lista de openresolvers de DNS pode ser encontrada em: <a href="http://openresolverproject.org/">http://openresolverproject.org/</a><br />
<br />
Hoje em dia ferramentas automatizadas como o "<a href="http://www.prolexic.com/knowledge-center-ddos-threat-advisory-dns-flooder.html">DNS Flooder</a>" possibilitam que ataques deste tipo sejam efetuados com muita facilidade: <a href="http://www.prolexic.com/knowledge-center-ddos-threat-advisory-dns-flooder.html">http://www.prolexic.com/knowledge-center-ddos-threat-advisory-dns-flooder.html</a><br />
<br />
Existem outros protocolos UDP que também são (ou podem) ser utilizados para perpetrar ataques de DRDoS. Uma listagem recente é a seguinte (fonte: Alerta de 17/01/2014 do US-CERT: <a href="http://www.us-cert.gov/ncas/alerts/TA14-017A">http://www.us-cert.gov/ncas/alerts/TA14-017A</a>): DNS , NTP ,SNMPv2 ,NetBIOS, SSDP, CharGEN, QOTD, BitTorrent, Kad, Quake, Steam <br />
<br />
O número 2 da lista acima (NTP - Network Time Protocol) foi utilizado em um ataque de 400Gb/s DRDoS ocorrido esta semana, que está sendo considerado o maior do mundo.<br />
<br />
<b>Detalhes sobre o "maior ataque de Denial of Service da história" no blog da Cloudflare</b> (obrigado ao Anchises pelo link): <a href="http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack">http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack</a><br />
<br />
Versões do server NTP do <a href="http://ntp.org/">ntp.org</a> anteriores a 4.2.7p26 estão vulneráveis e precisam ser corrigidas com urgência: <a href="http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using">http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using</a><br />
<br />
Advisory recente do US-CERT sobre ataques DDoS utilizando NTP para reflexão: <a href="http://www.us-cert.gov/ncas/alerts/TA14-013A">http://www.us-cert.gov/ncas/alerts/TA14-013A</a><br />
<br />
NTP Scanning Project - <a href="http://openntpproject.org/">http://openntpproject.org/</a><br />
<br />
O RIPE/NCC publicou recentemente um artigo do Jonh Christoff do Team Cymru (parceiro da Apura), chamado ""<a href="https://labs.ripe.net/Members/mirjam/ntp-reflections">https://labs.ripe.net/Members/mirjam/ntp-reflections</a><br />
<br />
Um relatório interessante sobre o assunto (e correlatos) foi publicado pela Arbor recentemente: <br />
<br />
<a href="http://www.arbornetworks.com/resources/infrastructure-security-report">http://www.arbornetworks.com/resources/infrastructure-security-report</a> (Só o infográfico mostrando o tamanho dos ataques em uma linha do tempo pode ser visto em: <a href="http://pages.arbornetworks.com/rs/arbor/images/AttackSize_final_white.pdf">http://pages.arbornetworks.com/rs/arbor/images/AttackSize_final_white.pdf</a><br />
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<b><span style="font-size: large;">Ataque: 300Gbps (confirmado):</span></b><br />
<br />
<b>[ Update - 28/04/2013 ]</b><br />
<b><br /></b>
Aproximadamente um mês depois dos ataques, <a href="http://edition.cnn.com/2013/04/28/tech/spain-internet-attack-arrest/index.html?utm_source=feedly">o principal suspeito de orquestar os ataques foi preso</a> na Espanha, enquanto viajava em uma van que servia de "escritório móvel". Trata-se de<a href="http://krebsonsecurity.com/2013/04/dutchman-arrested-in-spamhaus-ddos/"> Olaf Kamphuis</a>, holandês de 35 anos e se auto-entitulou "ministro das telecomunicações e relações exteriores da República de CyberBunker".<br />
<b><br /></b>
<b>[ Post Original - 28/03/2013 ]</b><br />
<br />
<span style="font-family: inherit;">A "grande mídia" começou a cobrir com mais frequência incidentes relacionados à cibersegurança, e hoje várias fontes publicaram notícias sobre os efeitos de ataques que foram motivados pela briga entre duas empresas holandesas, a <i><a href="http://spamhaus.org/">SpamHaus </a>(que mantém listas para <a href="http://www.spamhaus.org/statistics/networks/">bloqueios de spam</a>) </i>e a<i> <a href="http://www.cyberbunker.com/">CyberBunker </a>(</i></span><i>cb3rob) </i><i style="font-family: inherit;">que hospeda vários spammers e possui como um <a href="http://cyberbunker.com/web/wikileaks.php">de seus clientes a WikiLeaks</a>.</i><br />
<ul>
<li><span style="font-family: inherit;">New York Times: </span><a href="http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html?pagewanted=all&_r=1&">Firm Is Accused of Sending Spam, and Fight Jams Internet</a></li>
<li>BBC: <a href="http://www.bbc.co.uk/news/technology-21954636">Global internet slows after 'biggest attack in history'</a></li>
<li><span style="font-family: inherit;">CNN: </span><a href="http://edition.cnn.com/2013/03/27/tech/massive-internet-attack/index.html" style="font-family: inherit;">Massive cyberattack hits Internet users</a> / <a href="http://money.cnn.com/news/newsfeeds/gigaom/articles/2013_03_27_what_you_need_to_know_about_the_worlds_biggest_ddos_attack.html">What you need to know about the world’s biggest DDoS attack</a></li>
<li>Washington Post: <a href="http://www.washingtonpost.com/business/spam-blocking-group-spamhaus-reports-being-hit-by-massive-cyberattack-many-affected/2013/03/27/20e07758-96f0-11e2-a976-7eb906f9ed9b_story.html">Ripple effects across Web as spam-blocking group Spamhaus hit by record-smashing cyberattack</a></li>
</ul>
<span style="font-family: inherit;">Como o assunto começou a ser também comentado aqui no Brasil, resolvi escrever este breve post sobre o caso em pauta.</span><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">Ataques Distribuídos de Negação de Serviço (<i>Distributed Denial of Service - DDOS</i>) são uma realidade - e um problema - na Internet<a href="http://www.cert.org/reports/dsit_workshop.pdf"> há muito tempo</a>. Eles ocorrem diariamente, mas geralmente não tem um efeito noticiável nas redes e computadores que não são alvos ou origem dos ataques distribuídos. O mais importante é antes de mais nada deixar claro que um ataque de negação de serviço não "invade" os computadores e redes afetados, mas impede que eles se comuniquem, tendo um efeito desastroso na disponibilidade de serviços online.</span><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">O ataque não foi o maior ataque já ocorrido na internet (entre <a href="http://www.informationweek.com/security/attacks/ddos-attack-doesnt-spell-internet-doom-7/240151921">outros exageros</a> que foram publicados), mas por ser o <a href="http://cluepon.net/ras/gizmodo">maior DDOS já ocorrido</a>, tem importância única e merece destaque. </span><span style="font-family: inherit;">Um outro ponto importante a se cosiderar é que existe uma dificuldade significativa na atribuição de responsabilidade em ataques de negação de distribuídos, especialmente pelo volume de origens utilizadas (usualmente </span><i style="font-family: inherit;">botnets</i><span style="font-family: inherit;"> ou </span><i style="font-family: inherit;">farms</i><span style="font-family: inherit;"> de servidores em nuvem) e pela possibilidade de se forjar (spoofar) os endereços de origem em certos tipos de ataque (mais informações abaixo). Infelizmente nem todas as redes </span><a href="http://tools.ietf.org/html/bcp38" style="font-family: inherit;">configuram adequadamente seus equipamentos</a><span style="font-family: inherit;"> para evitar este tipo de "falsificação" do endereço de origem.</span><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">Este tipo de ataque é também muito utilizado por hacktivistas para protestar contra empresas ou contra o governo (há inclusive uma tentativa de legalizar deste tipo de ataque como protesto nos <a href="http://news.cnet.com/8301-1009_3-57563188-83/anonymous-petitions-u.s-to-see-ddos-attacks-as-legal-protest/">Estados Unidos</a> e na <a href="http://epetitions.direct.gov.uk/petitions/40156">Inglaterra</a>). Há também quem julgue que este tipo de ataque é<a href="http://boingboing.net/2012/05/11/pirate-bay-to-anonymous-ddos.html"> uma forma de censura</a>, por "calar" o inimigo à força. </span><br />
<span style="font-family: inherit;"><br /></span>
<br />
<span style="font-family: inherit;">As legislações de vários países consideram este tipo de ataque um crime, incluindo a nova legislação que cobre os chamados "crimes eletrônicos", que entrará em vigor na semana que vem em Brasil. </span><br />
<b><span style="font-family: inherit;"><br /></span></b><i><span style="background-color: white; font-family: inherit;"><b><a href="http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm"><span style="color: #444444; line-height: 22.5px; text-align: justify;">Lei n° 12.737</span></a> :</b></span></i><br />
<b><i><span style="font-family: inherit;"><br /></span></i></b>
<br />
<span style="font-family: inherit;">Art. 3o Os arts. 266 e 298 do Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal, passam a vigorar com a seguinte redação: </span><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">“Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública </span><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">Art. 266. ........................................................................ </span><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">§ 1o Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. </span><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">§ 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.” (NR) </span><br />
<br />
<br />
<span style="font-family: inherit;">Existem várias técnicas diferentes que podem ser utilizadas para efetuar um ataque do tipo <i>DDOS</i>, incluindo a utilização de Botnets (criadas ou <a href="http://www.youtube.com/watch?feature=player_embedded&v=c9MuuW0HfSA">alugadas</a>), a utilização de "Booters" como no caso recente <a href="http://krebsonsecurity.com/2013/03/the-world-has-no-room-for-cowards/">ataque ao site do BrianKrebs</a>, a utilização de ferramentas com o consentimento do usuário para ataques de grupos (como o <a href="http://security.radware.com/knowledge-center/DDoSPedia/hoic-high-orbit-ion-cannon/">Hoic</a>/<a href="http://en.wikipedia.org/wiki/Low_Orbit_Ion_Cannon">Loic</a>), entre outros. Entre todas elas, a mais eficiente foi a utilizada neste caso.</span><br />
<span style="font-family: inherit;"><br /></span>
<b><span style="font-family: inherit;">[ Ataques de Negação de Serviço Distribuídos utilizando Servidores DNS Recursivos Abertos ]</span></b><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">No caso em pauta (a briga entre duas empresas holandesas), de um lado temos a <a href="http://www.spamhaus.org/"><i>SpamHaus</i> </a> - responsável por lutar <a href="http://www.spamhaus.org/statistics/spammers/">contra os spammers</a>, através de blacklists utilizadas por grande parte dos servidores de email do mundo para evitar spams de redes reconhecidamente problemáticas, e de outro o <a href="http://www.cyberbunker.com/">CyberBunker </a>(também conhecida como </span>cb3rob)<span style="font-family: inherit;">- empresa de hospedagem que é um paraíso para </span><i style="font-family: inherit;">spammers</i><span style="font-family: inherit;"> e outros cibercriminosos - seus termos de uso só banem a pornografia infantil e o terrorismo, o resto vale!</span><br />
<div>
<span style="font-family: inherit;"><br /></span></div>
<span style="font-family: inherit;">A <i>CyberBunker </i>(e outros participantes coordenados em uma operação chamada #<a href="http://pastebin.com/UAgfwiyC">OpStopHaus</a> / <a href="http://stophaus.com/forum.php">site</a>) estava se sentindo incomodado pela frequente inclusão de suas redes nas listas negras da SpamHaus, e decidiu reagir de forma bastante ruidosa. A <a href="http://rt.com/news/spamhaus-threat-cyberbunker-ddos-attack-956/">CyberBunker e seus aliados alegam que a SpamHaus na verdade apenas finge lutar contra o spam, mas o que fazem é censura e que usam "táticas mafiosas"</a> (este link inclui vídeo da CyberBunker falando sobre os ataques).</span><br />
<span style="font-family: inherit;"><br /></span>
Um ponto importante sobre a transnacionalidade deste tipo de problema (/incidente/crime) - no ataque em pauta, o principal suspeito (CyberBunker), ao ser perguntado sobre a investigação que está sendo feita por vários países que consideram o ataque ilegal, o porta voz da empresa disse que todos que efetuaram (não necessariamente quem planejou) os ataques não estão em países onde ataques de DDoS são ilegais - <a href="http://rt.com/news/spamhaus-threat-cyberbunker-ddos-attack-956/">CyberBunker entrevistada (no final deste vídeo)</a>.<br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">O ataque massivo de <i>DDOS </i>teve como o alvo o site da <i>SpamHaus </i>e<i> </i>se iniciou no dia 18 de março, mas nos dias subsequentes ele cresceu muito, a ponto de gerar lentidão na comunicação de algumas redes em diferentes lugares do mundo. </span><span style="font-family: inherit;">Os ataques que inicialmente se direcionavam à <i>SpamHaus </i>(dia 19, </span><b style="font-family: inherit;">75Gbs</b><span style="font-family: inherit;">) foram progredindo para seus fornecedores de conectividade (upstream providers) e chegaram até as redes que formam a infraestrutra de conectividade da internet (</span><i style="font-family: inherit;"><a href="http://en.wikipedia.org/wiki/Internet_exchange_point">IX - internet exchange</a></i><span style="font-family: inherit;">). Na imagem abaixo, divulgada pela </span><i style="font-family: inherit;">CloudFlare</i><span style="font-family: inherit;">, é visível o efeito do ataque no London Internet Exchange (também foram afetados os IX de Amsterdam, Frankfurt e Hong Kong. No pico do ataque o trhoughput foi de </span><b style="font-family: inherit;">300Gbps</b><span style="font-family: inherit;"> (300 Gigabytes por segundo).</span><br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<span style="font-family: inherit;">No dia 20, a empresa chegou a comemorar a resolução do problema com o post <a href="http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho"><i>The DDoS That Knocked Spamhaus Offline (And How We Mitigated It)</i></a> - detalhes abaixo (as ênfases foram incluídas por mim): </span><br />
<span style="font-family: inherit;"><br /></span>
<br />
<span style="font-family: inherit;">"In the <i>Spamhaus </i>case,<b> the attacker was sending requests for the DNS zone file for ripe.net to open DNS resolver</b>s. The attacker<b> spoofed the CloudFlare IPs</b> we'd issued for Spamhaus as the source in their DNS requests. The open resolvers responded with DNS zone file, <b>generating collectively approximately 75Gbps of attack traffic</b>. The requests were likely approximately 36 bytes long (e.g. dig ANY ripe.net @X.X.X.X +edns=0 +bufsize=4096, where X.X.X.X is replaced with the IP address of an open DNS resolver) and the response was approximately 3,000 bytes, translating to a 100x amplification factor.</span><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">We recorded over<b> 30,000 unique DNS resolvers involved in the attack</b>. This translates to each open DNS resolver sending an average of 2.5Mbps, which is small enough to fly under the radar of most DNS resolvers. Because the attacker used a DNS amplification,<b> the attacker only needed to control a botnet or cluster of servers to generate 750Mbps</b> -- which is possible with a <b>small sized botnet or a handful of AWS instances</b>. It is worth repeating: <b>open DNS resolvers are the scourge of the Internet and these attacks will become more common and large until service providers take serious efforts to close them</b>."</span><br />
<br />
<span style="font-family: inherit;">Ou seja a <i><b>CloudFlare </b>-</i> ao redirecionar os pacotes que tinham como endereço os IPs do alvo (<i>SpamHaus</i>) para múltiplos IPs espalhados em vários continentes, aliviou o efeito do ataque e permitiu uma melhor conectividade para as redes próximas ao alvo, mas (potencialmente) afetou as demais redes para onde o tráfego foi redirecionado. Isto normalmente nem é percebido para ataques menores, mas este ataque de 300Gbps, foi diferente.</span><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">Para o ataque foram utilizados 30.000 servidores DNS "open resolvers". Segundo o <a href="http://openresolverproject.org/">Open Resolver Project</a>, já foram mapeados quase 27 milhões de servidores DNS open resolvers na Internet. </span>Curiosamente, nas últimas 12 horas, o <a href="http://www.cyberbunker.com/">CyberBunker </a>está indisponível mas o <a href="http://spamhaus.org/">SpamHaus </a>continua online.<br />
<br />
Algumas fontes de notícias tem exagerado nos efeitos deste ataque à SpamHaus, aumentando sua importância para a internet como um todo - alguns estão o chamando de "bomba nuclear digital", entre outros exageros. De qualquer forma, se considerarmos que o último maior ataque DDoS foi de cerca de 10Gbps, é um ataque significativo, sim - e certamente efeitos colaterais foram sentidos.<br />
<br />
Vale lembrar que ataques <i>DDOS </i>em servidores de DNS raiz já tiveram um efeito (este sim, devastador) por duas vezes na história da internet - em <a href="http://www.internettrafficreport.com/event/2.htm">2002</a> e <a href="http://en.wikipedia.org/wiki/Distributed_denial_of_service_attacks_on_root_nameservers">2007</a>.<br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;"><b>Um vídeo muito interessante sobre ataques de negação de serviço distribuídos utilizando amplificação de DNS foi feito pelo<i> </i><a href="http://team-cymru.com/"><i>Team Cymru</i> </a>(também parceiro da Apura):</b></span><br />
<span style="font-family: inherit;"><br /></span>
<iframe allowfullscreen="" frameborder="0" height="237" src="http://www.youtube.com/embed/XhSTlqYIQnI" width="420"></iframe>
<span style="font-family: inherit;"><br /></span>
<b><span style="font-family: inherit;"><br /></span></b><br />
<b><span style="font-family: inherit;">[ Mitigação / Defesa ]</span></b><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">Além dos serviços de mitigação comerciais existentes - O que mais podemos fazer antes de um ataque de negação de serviço para se preparar para ter resiliência durante a execução dele? </span><br />
<span style="font-family: inherit;"><br /></span><b>I - Cheat Sheet - </b>Neste mês publicamos por aqui as <a href="http://sseguranca.blogspot.com.br/2013/03/metodologias-de-resposta-incidentes.html">Metodologias de Resposta a Incidentes publicadas pelo CERT da Société Générale</a>, incluindo o "<a href="http://cert.societegenerale.com/resources/files/IRM-4-DDoS.pdf">IRM-4 : Distributed Denial of Service</a>" (PDF)<br />
<br />
<b style="font-family: inherit;">II</b><span style="font-family: inherit;"> - O pessoal da </span><i style="font-family: inherit;">Whitehat Security </i><a href="http://blog.whitehatsec.com/checklist-to-prepare-yourself-in-advance-of-a-ddos-attack/" style="font-family: inherit;">publicou</a><span style="font-family: inherit;"> um "</span><b style="font-family: inherit;"><i><a href="http://blog.whitehatsec.com/wp-content/uploads/DDoS-RunBook.docx">DDoS RunBook</a></i></b><span style="font-family: inherit;">" (formato .</span><i style="font-family: inherit;">docx</i><span style="font-family: inherit;">) para auxiliar as empresas a se prepararem para este tipo de incidente de segurança, criando um plano de resposta. Se você faz parte de um time de segurança da informação ou CSIRT, recomendo.</span><br />
<br />
<b>III</b> - <b>RFC 5358</b>- <span style="white-space: pre-wrap;"> <a href="http://www.ietf.org/rfc/rfc5358.txt">Preventing Use of Recursive Nameservers in Reflector Attacks</a></span><br />
<br />
<b style="font-family: inherit;">IV - <a href="http://www.us-cert.gov/ncas/alerts/TA13-088A">US CERT - Alert (TA13-088A) DNS Amplification Attacks</a></b><br />
<b style="font-family: inherit;"><br /></b>
<b style="font-family: inherit;">V - </b><span style="font-family: inherit;">Em 2007 eu tive a oportunidade de fazer sugestões e revisar um excelente documento produzido pelo </span><b style="font-family: inherit;">CERT.BR</b><span style="font-family: inherit;">, entitulado "</span><a href="http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/" style="font-family: inherit;">Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos</a><span style="font-family: inherit;">". O documento foi atualizado esta semana devido aos ataques em pauta - vale a leitura.</span><br />
<span style="font-family: inherit;"><br /></span>
<br />
<span style="font-family: inherit;">A descrição dos passos do ataque pode ser vista nos parágrafos e imagem abaixo:</span><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">"<span style="font-size: x-small;">Uma das técnicas de DDoS utilizadas atualmente envolve a exploração de servidores DNS recursivos abertos, para gerar grandes quantidades de tráfego de resposta DNS para uma vítima cujo endereço IP está sendo forjado.</span></span><br />
<span style="font-family: inherit; font-size: x-small;"><br /></span>
<span style="font-family: inherit; font-size: x-small;">Um dos problemas fundamentais explorado nesses ataques é o fato do sistema de DNS utilizar UDP (Internet User Datagram Protocol) como protocolo principal de comunicação. Como este protocolo não requer o estabelecimento de uma sessão entre o cliente e o servidor e não possui métodos de autenticação, fica facilitada a ação de forjar a origem de uma consulta DNS.</span><br />
<br />
<span style="font-family: inherit;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/dns-amp-attack.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: inherit;"><img border="0" height="168" src="http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/dns-amp-attack.png" width="400" /></span></a></div>
<span style="font-family: inherit;"><br /></span>
<br />
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
</div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<span style="font-family: inherit; font-size: x-small;">1 - O atacante publica um registro muito grande, em geral TXT, em um servidor DNS sob seu controle (muitas vezes esse pode ser um servidor previamente comprometido pelo atacante).</span></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<span style="font-family: inherit; font-size: x-small;">2 - O atacante, de posse de uma lista de servidores DNS recursivos abertos, envia a estes servidores centenas ou milhares de consultas pelo registro publicado no passo 1, forjando o endereço IP da vítima, ou seja, colocando o endereço IP da vítima como endereço de origem da consulta (2a). Deste modo, o atacante faz com que as respostas sejam enviadas para a vítima e não para a máquina que fez as consultas. Na primeira consulta recebida por um servidor recursivo este vai buscar a resposta no servidor controlado pelo atacante (2b), nas demais consultas a resposta será enviada diretamente do cache do servidor recursivo aberto.</span></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<span style="font-family: inherit; font-size: x-small;">Em diversos casos documentados as consultas feitas à lista de servidores abertos foram realizadas por uma grande quantidade de bots, o que em geral aumenta ainda mais o volume de tráfego sendo enviado para a vítima.</span></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<span style="font-family: inherit; font-size: x-small;">3 - A vítima recebe as respostas DNS, que costumam gerar uma amplificação de aproximadamente 10 a 80 vezes o tráfego inicial de consultas, pois, para uma consulta média de aproximadamente 50 bytes, podem ser retornados cerca de 4.000 bytes de resposta para a vítima."</span></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
</div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<br /></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
Para solucionar o problema dos <a href="http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf">servidores DNS recursivos abertos</a> é necessário separar os servidores autoritativo e recursivo e atribuir políticas de acesso diferentes a cada um. Isto pode ser feito de duas maneiras:</div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
Colocando os servidores DNS em computadores diferentes, com configurações e políticas de acesso diferentes; ou Utilizando o conceito de views (visões ou vistas) do BIND 9 (Berkeley Internet Name Domain versão 9).</div>
Para a lista completa de sugestões de mitigação para servidores DNS (BIND9 e Microsoft DNS), veja as instruções técnicas <a href="http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/#2">diretamente o site do CERT.BR</a>.<br />
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<br /></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<b style="font-family: inherit;">VI - </b><span style="font-family: inherit;">Uma dica valiosa para empresas/órgãos preocupados em não participar deste tipo de ataque por possuir servidores mal configurados em suas redes é fornecida no documento do CERT.BR (I) . Trata-se do serviço disponibilizado pelo </span><i style="font-family: inherit;">"DNS Factory</i><span style="font-family: inherit;">" - </span><a href="http://dns.measurement-factory.com/cgi-bin/openresolverquery.pl" style="font-family: inherit;">http://dns.measurement-factory.com/cgi-bin/openresolverquery.pl</a><span style="font-family: inherit;">, onde qualquer um pode solicitar que a lista dos </span><i style="font-family: inherit;">Open Resolvers </i><span style="font-family: inherit;">sobre sua res</span><span style="font-family: inherit;">ponsabilidade sejam enviadas para os emails de contato (RFC 2142) das redes em questão. (Uma alternativa interessante ao <i>DNS Factory</i> é o <a href="http://www.dnsinspect.com/"><i>DNSInspect</i></a>).</span></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<b><span style="font-family: inherit;"><br /></span></b>
<br />
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<span style="font-family: inherit;"><b>VII - </b>Dicas importantes de mitigação utilizando <i>DNS rate limit</i> podem ser vistas no site da <i><b>CloudShield</b></i>: "<a href="http://www.cloudshield.com/applications/dns-limit-attacks.asp">3 Ways to Use DNS Rate Limit Against DDoS Attacks</a>" </span></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
</div>
<br />
<b style="font-family: inherit;">VIII</b><span style="font-family: inherit;"> - A </span><i style="font-family: inherit;">Radware</i><span style="font-family: inherit;"> publicou um "</span><i style="font-family: inherit;"><a href="http://security.radware.com/uploadedFiles/Resources_and_Content/DDoS_Handbook/DDoS_Handbook.pdf">DDoS Survival Handbook</a></i><span style="font-family: inherit;">" - muito útil também.</span></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<span style="font-family: inherit;"><br /></span></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<span style="font-family: inherit;"><b>IX</b> - O <b><a href="http://www.team-cymru.com/" style="font-style: italic;">Team Cymru</a><i> </i>possui uma página sobre <a href="http://www.team-cymru.org/Services/Resolvers/instructions.html">configuração segura de DNS</a> e </b> publicou um interessante documento sobre o histórico dos ataques de DDOS: <a href="http://www.team-cymru.com/ReadingRoom/Whitepapers/2010/ddos-basics.pdf">http://www.team-cymru.com/ReadingRoom/Whitepapers/2010/ddos-basics.pdf</a></span></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<span style="font-size: 12px;"><span style="font-family: inherit;"><br /></span></span></div>
<div style="margin-bottom: 10px; margin-top: 10px; padding: 0px;">
<b><span style="font-family: inherit;">[ Outras leituras recomendadas sobre o tópico - além das já <i>linkadas</i> no post ]</span></b><br />
<b><span style="font-family: inherit;"><br /></span></b>
<b><span style="font-family: inherit;">Português:</span></b></div>
<ul>
<li><a href="http://www.linhadefensiva.org/2013/03/o-maior-ataque-cibernetico-e-outro-grande-exagero-da-imprensa/">O ‘maior ataque cibernético’ e outro grande exagero da imprensa</a> - excelente cobertura do assunto feita pelo <a href="http://twitter.com/altieres">Altieres</a>, que me mandou a URL assim que publiquei o artigo - mais que recomendado)</li>
<li><a href="http://anchisesbr.blogspot.com.br/2013/03/seguranca-o-maior-ataque-de-todos-os.html">O maior ataque de todos os tempos... da última semana</a> - ótimo <i>post </i>do <a href="http://twitter.com/anchisesbr">Anchises</a> sobre o assunto. (e <a href="http://anchisesbr.blogspot.com.br/2013/03/seguranca-mais-ainda-sobre-os-ataques.html">update</a>)</li>
</ul>
<div>
<b>Espanhol:</b></div>
<div>
<ul>
<li><a href="http://www.lostinsecurity.com/blog/2013/03/27/cloudflare-batman-esta-en-la-ciudad/">CloudFlare, Batman esta en la ciudad </a> - <a href="http://twitter.com/lostinsecurity">Davi Barroso</a></li>
</ul>
</div>
<div>
<b>Inglês:</b></div>
<ul>
<li><a href="http://blogs.cisco.com/security/chronology-of-a-ddos-spamhaus/">Chronology of a DDoS: SpamHaus</a> (Cisco)</li>
<li><a href="http://arstechnica.com/security/2013/03/when-spammers-go-to-war-behind-the-spamhaus-ddos/">When spammers go to war: Behind the Spamhaus DDoS</a> (ArsTechnica)</li>
<li><span style="font-family: inherit;"><a href="http://lastwatchdog.com/qa-massive-denial-service-attack-hits-spamhaus/">Q&A: Massive denial of service attack hits SpamHaus</a> (LastWatchDog)</span></li>
<li><span style="font-family: inherit;"><a href="http://threatpost.com/en_us/blogs/spamhaus-ddos-attacks-triple-size-attacks-us-banks-032713">Spamhaus DDoS Attacks Triple Size of Attacks on US Banks</a> (ThreatPost)</span></li>
<li><span style="font-family: inherit;"><a href="http://arstechnica.com/security/2013/03/spamhaus-ddos-grows-to-internet-threatening-size/">Spamhaus DDoS grows to Internet-threatening size</a> (ArsTechnica)</span></li>
<li><a href="http://staff.washington.edu/dittrich/misc/ddos/">Distributed Denial of Service (DDoS) Attacks/tools</a> (Dittrich)</li>
<li><a href="http://www.informationweek.com/security/attacks/ddos-attack-doesnt-spell-internet-doom-7/240151921">DDoS Attack Doesn't Spell Internet Doom: 7 Facts</a> (InformationWeek)</li>
<li><a href="http://www.bgpmon.net/looking-at-the-spamhouse-ddos-from-a-bgp-perspective/">Looking at the SpamHouse DDoS from a BGP perspective</a> (BGPMon)</li>
</ul>
<div>
<br /></div>
<br /><div class="blogger-post-footer"><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml"><img src="http://www.feedburner.com/fb/images/pub/feed-icon32x32.png" alt="" style="border:0"/></a><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml">Inscreva-se no RSS Feed e receba atualizações automáticas</a></div>SShttp://www.blogger.com/profile/16456034990657036324noreply@blogger.com1tag:blogger.com,1999:blog-1682241822228148612.post-65633251610132307472015-08-18T19:34:00.003-03:002015-08-18T19:37:26.958-03:00Configurando o Windows10 com preocupações de Segurança/PrivacidadeAdministradores e Usuários do novo Windows 10 perceberam que não é tão fácil impedir que o SO converse com a nave mãe: <a href="http://www.extremetech.com/computing/212160-windows-10-still-phones-home-even-when-ordered-not-to-do-so">"Even when told not to, Windows 10 just can’t stop talking to Microsoft"</a><br />
<br />
<br />
Para impedir a comunicação de computadores com o Windows com os endereços utilizados nos mecanismos de
"Phone Home" Microsoft, bloqueie os seguintes hosts:<br />
<br />
<blockquote class="tr_bq">
a.ads1.msn.com<br />
a.ads2.msads.net<br />
a.ads2.msn.com<br />
a.rad.msn.com<br />
a-0001.a-msedge.net<br />
ac3.msn.com<br />
ad.doubleclick.net<br />
adnexus.net<br />
adnxs.com<br />
ads.msn.com<br />
ads1.msads.net<br />
ads1.msn.com<br />
aidps.atdmt.com<br />
aka-cdn-ns.adtech.de<br />
apps.skype.com<br />
az361816.vo.msecnd.net<br />
az512334.vo.msecnd.net<br />
b.ads1.msn.com<br />
b.ads2.msads.net<br />
b.rad.msn.com<br />
bs.serving-sys.com<br />
c.atdmt.com<br />
c.msn.com<br />
cdn.atdmt.com<br />
cds26.ams9.msecn.net<br />
choice.microsoft.com<br />
choice.microsoft.com.nsatc.net<br />
compatexchange.cloudapp.net<br />
corp.sts.microsoft.com<br />
corpext.msitadfs.glbdns2.microsoft.com<br />
cs1.wpc.v0cdn.net<br />
db3aqu.atdmt.com<br />
df.telemetry.microsoft.com<br />
diagnostics.support.microsoft.com<br />
ec.atdmt.com<br />
fe2.update.microsoft.com.akadns.net<br />
feedback.microsoft-hohm.com<br />
feedback.search.microsoft.com<br />
feedback.windows.com<br />
flex.msn.com<br />
g.msn.com<br />
h1.msn.com<br />
h2.msn.com<br />
i1.services.social.microsoft.com<br />
i1.services.social.microsoft.com.nsatc.net<br />
live.rads.msn.com<br />
m.adnxs.com<br />
m.hotmail.com<br />
msftncsi.com<br />
msntest.serving-sys.com<br />
oca.telemetry.microsoft.com<br />
oca.telemetry.microsoft.com.nsatc.net<br />
pre.footprintpredict.com<br />
preview.msn.com<br />
preview.msn.com<br />
pricelist.skype.com<br />
rad.live.com<br />
rad.msn.com<br />
rad.msn.com<br />
redir.metaservices.microsoft.com<br />
reports.wes.df.telemetry.microsoft.com<br />
s.gateway.messenger.live.com<br />
secure.adnxs.com<br />
secure.flashtalking.com<br />
services.wes.df.telemetry.microsoft.com<br />
settings-sandbox.data.microsoft.com<br />
sls.update.microsoft.com.akadns.net<br />
sO.2mdn.net<br />
sqm.df.telemetry.microsoft.com<br />
sqm.telemetry.microsoft.com<br />
sqm.telemetry.microsoft.com.nsatc.net<br />
static.2mdn.net<br />
statsfe1.ws.microsoft.com<br />
statsfe2.update.microsoft.com.akadns.net<br />
statsfe2.ws.microsoft.com<br />
survey.watson.microsoft.com<br />
telecommand.telemetry.microsoft.com<br />
telecommand.telemetry.microsoft.com.nsatc.net<br />
telemetry.appex.bing.net<br />
telemetry.appex.bing.net:443<br />
telemetry.microsoft.com<br />
telemetry.urs.microsoft.com<br />
ui.skype.com<br />
view.atdmt.com<br />
vortex.data.microsoft.com<br />
vortex-sandbox.data.microsoft.com<br />
vortex-win.data.microsoft.com<br />
watson.live.com<br />
watson.microsoft.com<br />
watson.ppe.telemetry.microsoft.com<br />
watson.telemetry.microsoft.com<br />
watson.telemetry.microsoft.com.nsatc.net<br />
wes.df.telemetry.microsoft.com<br />
www.msftncsi.com</blockquote>
<br />
PS: o bloqueio/redirecionamento pode ser feito nos endpoints em "%windir%\system32\drivers\etc\hosts" ou no seu roteador de borda / DNS interno - ou em todos.. <br />
<br />
Outras preocupações a ser encaradas por administradores e usuários do Windows 10: <br />
<br />
Windows Update Delivery Optimization: <a href="http://windows.microsoft.com/en-us/windows-10/windows-update-delivery-optimization-faq">http://windows.microsoft.com/en-us/windows-10/windows-update-delivery-optimization-faq</a><br />
<br />
<br />
WIFi Sense: <a href="http://windows.microsoft.com/en-gb/windows-10/wi-fi-sense-faq">http://windows.microsoft.com/en-gb/windows-10/wi-fi-sense-faq</a><br />
<br />
PS: este post será atualizado frequentemente com novidades a respeito do assunto. <br />
<br />
<br class="Apple-interchange-newline" /><div class="blogger-post-footer"><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml"><img src="http://www.feedburner.com/fb/images/pub/feed-icon32x32.png" alt="" style="border:0"/></a><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml">Inscreva-se no RSS Feed e receba atualizações automáticas</a></div>SShttp://www.blogger.com/profile/16456034990657036324noreply@blogger.com0tag:blogger.com,1999:blog-1682241822228148612.post-48857786928088798632015-07-31T01:45:00.000-03:002015-08-15T01:56:16.830-03:00OPM Hack - é possível aprender com a dor dos outros?<div>
<b>Sobre o <a href="https://en.wikipedia.org/wiki/Office_of_Personnel_Management_data_breach">OPM HACK</a>: </b></div>
<div>
</div>
<div>
</div>
<div>
Se você é responsável pela segurança de sistemas que processam informações sensíveis e sua organização não possui pessoas treinadas, tecnologias modernas e processos adequados para identificar ataques, recomendo ver este vídeo, pois é melhor tentar aprender com o erro dos outros que ter que aprender tudo com o próprio.. <span style="-webkit-text-stroke-width: 0px; background-color: white; color: #222222; display: inline !important; float: none; font-family: arial, sans-serif; font-size: xx-small; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px;"><br /></span></div>
<div>
<br /></div>
<div>
<b>Office of Personnel Management 2015 Breach Testimony:</b></div>
<div>
<br /></div>
<b>Versão "TL;DR" :Partial Clip:</b> <a href="https://www.youtube.com/watch?v=D-P_-YLJ4aQ">https://www.youtube.com/watch?v=D-P_-YLJ4aQ</a><br />
<br />
<b>Versão completa, com transcript:</b><br />
<br />
<a href="http://www.c-span.org/video/?326593-1/hearing-office-personnel-management-data-breach">http://www.c-span.org/video/?326593-1/hearing-office-personnel-management-data-breach</a><br />
<br />
<br /><div class="blogger-post-footer"><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml"><img src="http://www.feedburner.com/fb/images/pub/feed-icon32x32.png" alt="" style="border:0"/></a><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml">Inscreva-se no RSS Feed e receba atualizações automáticas</a></div>SShttp://www.blogger.com/profile/16456034990657036324noreply@blogger.com0tag:blogger.com,1999:blog-1682241822228148612.post-3597989997472387292015-06-18T02:43:00.002-03:002015-06-18T02:48:58.532-03:00Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal<div style="text-align: left;">
<span style="font-family: Arial,Helvetica,sans-serif;">A “Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal – 2015/2018" foi recentemente publicada pelo Gabinete de Segurança Institucional da Presidência da República.<br /><br />"...aplica-se a todos os órgãos e entidades da APF, entrará em vigor na data de sua publicação no Diário Oficial da União e terá validade no quadriênio 2015-2018, sendo revisada, periodicamente, em consonância com as contribuições das instâncias de assessoramento e apoio à decisão do Modelo de Governança Sistêmica de SIC e de SegCiber da APF, buscando atender as demandas dos órgãos e entidades que integram o Sistema, em prol do alcance da visão de futuro desta Estratégia."</span><span style="font-family: Arial,Helvetica,sans-serif;"><span style="font-family: "Trebuchet MS",sans-serif;"> </span></span></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizvYwIgedPLseyp0tF1En0pGXW8_Qi-_KzWh7ZcK80dWILY-ujIE6337lkMQyYM0lKMETZAGmvR4gubmdbvKgj2ddYnRsVVH9E7pUfAjEfQeGNgXqSXY2fHPj_HT5_Ic6zSzzuMYzTlD0/s1600/mapaest.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="276" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizvYwIgedPLseyp0tF1En0pGXW8_Qi-_KzWh7ZcK80dWILY-ujIE6337lkMQyYM0lKMETZAGmvR4gubmdbvKgj2ddYnRsVVH9E7pUfAjEfQeGNgXqSXY2fHPj_HT5_Ic6zSzzuMYzTlD0/s320/mapaest.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.blogger.com/blogger.g?blogID=1682241822228148612" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=1682241822228148612" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=1682241822228148612" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=1682241822228148612" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=1682241822228148612" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=1682241822228148612" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"></a></div>
<br />
<br />
<div style="text-align: center;">
<div class="separator" style="clear: both; text-align: center;">
</div>
<a href="http://dsic.planalto.gov.br/documentos/publicacoes/4_Estrategia_de_SIC.pdf">http://dsic.planalto.gov.br/documentos/publicacoes/4_Estrategia_de_SIC.pdf </a><span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://dsic.planalto.gov.br/documentos/publicacoes/4_Estrategia_de_SIC.pdf"> </a></span></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<span style="font-family: "Trebuchet MS",sans-serif;"><br /></span><div class="blogger-post-footer"><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml"><img src="http://www.feedburner.com/fb/images/pub/feed-icon32x32.png" alt="" style="border:0"/></a><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml">Inscreva-se no RSS Feed e receba atualizações automáticas</a></div>SShttp://www.blogger.com/profile/16456034990657036324noreply@blogger.com0tag:blogger.com,1999:blog-1682241822228148612.post-72508478233991677712015-04-10T11:30:00.001-03:002015-04-10T18:23:13.327-03:00Ataque Cibernético a TV Francesa TV5MondeO Estado Islâmico (ISIS) reinvindicou a autoria de um ataque ocorrido ontem pela rede de TV "TV5Monde". O resultado foi a interrupção da transmissão da TV, além da retirada do ar do site e páginas de mídias sociais (Facebook, Twitter). Os atacantes também publicaram / "vazaram" documentos obtidos das redes impactadas pelo ataque.<br /><br />
Hoje algumas informações sobre o ataque começam a surgir em sites especializados em tecnologia, na França:<br /><br /><a href="http://www.lemondeinformatique.fr/actualites/lire-les-dessous-de-la-cyberattaque-contre-tv5-monde-60798.html">http://www.lemondeinformatique.fr/actualites/lire-les-dessous-de-la-cyberattaque-contre-tv5-monde-60798.html</a><br /><br />Pelo descrito neste artigo:<br /><br />1) Houve um contato inicial com um jornalista da rede interna da TV, através de Skype, e foram usadas as técnicas conhecidas de identificação de endereço IP interno / externo "Skype resolver" - exemplo: <a href="http://skypegrab.net/resolver.php">http://skypegrab.net/resolver.php</a><br /><br />
2) Após isto foram passadas URLs especialmente criadas para exploração de vulnerabilidades Java (Drive-By-Download) - não se sabe ainda se foi utilizado um "Exploit-Kit" ou criada uma página especial com as informações obtidas com a ação descrita no item "1"<br /><br />3) o ataque descrito em "2" introduziu um worm em VBscript que tinha por objetivo encontrar os servidores responsáveis pela transmissão de programas de TV. <br /><br />4) Os IPs que originaram os ataques são do Iraque e Algéria.<br /><br />Outras fontes citam também passwords de fácil adivinhação / quebra como uma das causas que facilitaram os ataques:<br /><br />"We learn in an interview with an official of the Russian computer that the security password of the main server hosting the websites and TV5monde’s data that the chain was “azerty12345.”" < lembrando que os teclados na França começam com "azerty" em vez de "qwerty".. <br /><br /><a href="http://estpresse.com/tv5-monde-hacking-the-main-password/?lang=en">http://estpresse.com/tv5-monde-hacking-the-main-password/?lang=en</a><br /><br />Parece realmente que eles não são muito cuidadosos com senhas: <br /><br /> "Hacked French network exposed its own passwords during TV interview"<br />
<div>
<div>
<a href="http://arstechnica.com/security/2015/04/hacked-french-network-exposed-its-own-passwords-during-tv-interview/">http://arstechnica.com/security/2015/04/hacked-french-network-exposed-its-own-passwords-during-tv-interview/</a><br />
<br />
PS: Estarei atualizando este post conforme novidades surjam novidades sobre o ataque.</div>
</div>
<div class="blogger-post-footer"><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml"><img src="http://www.feedburner.com/fb/images/pub/feed-icon32x32.png" alt="" style="border:0"/></a><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml">Inscreva-se no RSS Feed e receba atualizações automáticas</a></div>SShttp://www.blogger.com/profile/16456034990657036324noreply@blogger.com0tag:blogger.com,1999:blog-1682241822228148612.post-41465473641690668902015-03-19T01:08:00.000-03:002015-04-10T11:31:07.986-03:00Online Security Tools (Malware, Sandboxes, Hash Checking, Cracking, DNSBL, SSL, BGP)<div style="text-align: center;">
<a href="http://tinyurl.com/seconline">http://tinyurl.com/seconline</a></div>
<br />
<div style="text-align: center;">
<a href="http://www.angelamaiers.com/images/old/6a00e3981e8fb688330120a7f1a40f970b-pi.jpg"><img border="0" height="136" src="https://blogger.googleusercontent.com/img/proxy/AVvXsEhcxRGQ__rADnxtJ8d3lUoGbIvpggJ_vDrI8AkLL8t-wPRwmly-WYXMAsKeayYruBjxP62TBfK5oRhRUWuqduN5IiwW1AYe4tTVOK61fdvW55FbFo3c83P5-OMRkqbJbKN0J9hKFVcN0PJ8TRgNDld2PY6Y3tFkjCYHwzTlhOWH5AZTCALULD8739WdqfDsWzo=" width="200" /></a></div>
<br />
<div style="text-align: center;">
Online Security Tools (Malware, Sandboxes, Hash Checking, Cracking, DNSBL, SSL, BGP)</div>
<br />
[ Last Update: 03/19/2015]<br />
<br />
Some readers and friends convinced me recently to start posting some articles in english as well - to reach a wider audience. Lets start with a quick post containing a list of very useful online security tools. The services are very useful for incident responders, forensicators and security information practitioners. Enjoy:<br />
<br />
Multiple AV Analysis:<br />
<a href="http://www.virustotal.com/">http://www.virustotal.com</a><br />
<a href="http://virusscan.jotti.org/">http://virusscan.jotti.org</a><br />
<a href="http://virscan.org/">http://virscan.org</a><br />
<a href="http://scanner.novirusthanks.org/">http://scanner.novirusthanks.org</a><br />
<br />
Sandboxes:<br />
<a href="http://camas.comodo.com/">http://camas.comodo.com</a><br />
<a href="http://www.threattracksecurity.com/resources/sandbox-malware-analysis.aspx">http://www.threattracksecurity.com/resources/sandbox-malware-analysis.aspx</a><br />
<a href="http://urlquery.net/">http://urlquery.net/</a><br />
<a href="http://malwr.com/">http://malwr.com</a><br />
<a href="http://anubis.iseclab.org/">http://anubis.iseclab.org</a><br />
<a href="http://mwanalysis.com/">http://mwanalysis.com</a><br />
<a href="http://www.norman.com/">http://www.norman.com</a><br />
<a href="http://www.sunbeltsoftware.com/">http://www.sunbeltsoftware.com</a><br />
<a href="http://www.threatexpert.com/">http://www.threatexpert.com</a><br />
<br />
PE File Analyzer:<br />
<a href="http://pev.sf.net/">http://pev.sf.net</a>.<br />
<br />
<br />
Document Analysis:<br />
<a href="https://malwaretracker.com/doc.php">https://malwaretracker.com/doc.php</a><br />
<a href="http://www.joedoc.org/">http://www.joedoc.org</a><br />
<a href="https://www.vicheck.ca/">https://www.vicheck.ca</a><br />
<a href="http://wepawet.iseclab.org/">http://wepawet.iseclab.org</a><br />
<a href="http://jsunpack.jeek.org/">http://jsunpack.jeek.org</a><br />
<a href="http://www.adopstools.com/">http://www.adopstools.com/</a> (flash)<br />
<a href="https://blog.honeynet.org.my/gallus/upload/about">https://blog.honeynet.org.my/gallus/upload/about</a><br />
<br />
<br />
WhiteLists/BlackLists Hash Checking:<br />
<a href="http://fileadvisor.bit9.com/">http://fileadvisor.bit9.com</a><br />
<a href="https://hash.cymru.com/">https://hash.cymru.com</a><br />
<a href="http://isc.sans.edu/tools/hashsearch.html">http://isc.sans.edu/tools/hashsearch.html</a><br />
<a href="http://bin-test.shadowserver.org/">http://bin-test.shadowserver.org</a><br />
<a href="http://isc.sans.edu/tools/hashsearch.html">http://isc.sans.edu/tools/hashsearch.html</a><br />
<a href="http://www.team-cymru.org/Services/MHR/">http://www.team-cymru.org/Services/MHR/</a><br />
<a href="http://www.nsrl.nist.gov/">http://www.nsrl.nist.gov/</a><br />
<a href="http://www.bit9.com/products/bit9-global-software-registry.php">http://www.bit9.com/products/bit9-global-software-registry.php</a><br />
<a href="https://www.owasp.org/index.php/OWASP_File_Hash_Repository">https://www.owasp.org/index.php/OWASP_File_Hash_Repository</a><br />
<br />
Cracking for WPA/WPA2, LM e NTLM:<br />
<a href="https://www.cloudcracker.com/">https://www.cloudcracker.com</a><br />
<br />
Other Hash Crackers Online (MD5,SHA1&256,LM,NTLM,MySQL):<br />
<a href="http://www.objectif-securite.ch/">http://www.objectif-securite.ch/</a><br />
<a href="http://md5.thekaine.de/">http://md5.thekaine.de/</a><br />
<a href="http://hashcrack.ath.cx/onlinehashcrackers.htm">http://hashcrack.ath.cx/onlinehashcrackers.htm</a><br />
<br />
Multiple DNSBL Checking (Spam):<br />
<a href="http://multirbl.valli.org/">http://multirbl.valli.org</a><br />
<a href="http://mxtoolbox.com/">http://mxtoolbox.com</a><br />
<br />
Network captures Analysis:<br />
<a href="http://cloudshark.org/">http://cloudshark.org</a><br />
<a href="http://pcapr.net/">http://pcapr.net</a><br />
<br />
<br />
SSL Testing:<br />
<a href="https://www.ssllabs.com/ssldb/">https://www.ssllabs.com/ssldb/</a><br />
<a href="http://www.serversniff.net/content.php?do=ssl">http://www.serversniff.net/content.php?do=ssl</a><br />
<br />
<br />
IPs/URLs Analysis:<br />
<a href="http://trasir.com/">http://trasir.com/</a><br />
<a href="http://www.ipvoid.com/">http://www.ipvoid.com</a><br />
<a href="http://www.urlvoid.com/">http://www.urlvoid.com</a><br />
<a href="http://www.google.com/safebrowsing/diagnostic?site=example.com">http://www.google.com/safebrowsing/diagnostic?site=example.com</a><br />
<a href="http://www.unmaskparasites.com/">http://www.unmaskparasites.com</a><br />
<a href="http://www.hackerfantastic.com/">http://www.hackerfantastic.com</a><br />
<br />
Autonomous Systems and BGP Monitoring:<br />
<a href="http://bgpmon.net/">http://bgpmon.net</a><br />
<a href="http://cyclops.cs.ucla.edu/">http://cyclops.cs.ucla.edu</a><br />
<a href="http://maliciousnetworks.org/">http://maliciousnetworks.org</a>
<!-- Blogger automated replacement: "https://images-blogger-opensocial.googleusercontent.com/gadgets/proxy?url=http%3A%2F%2Fwww.angelamaiers.com%2Fimages%2Fold%2F6a00e3981e8fb688330120a7f1a40f970b-pi.jpg&container=blogger&gadget=a&rewriteMime=image%2F*" with "https://blogger.googleusercontent.com/img/proxy/AVvXsEhcxRGQ__rADnxtJ8d3lUoGbIvpggJ_vDrI8AkLL8t-wPRwmly-WYXMAsKeayYruBjxP62TBfK5oRhRUWuqduN5IiwW1AYe4tTVOK61fdvW55FbFo3c83P5-OMRkqbJbKN0J9hKFVcN0PJ8TRgNDld2PY6Y3tFkjCYHwzTlhOWH5AZTCALULD8739WdqfDsWzo=" --><div class="blogger-post-footer"><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml"><img src="http://www.feedburner.com/fb/images/pub/feed-icon32x32.png" alt="" style="border:0"/></a><a href="http://feeds.feedburner.com/Sseguranca" title="Subscribe to my feed" rel="alternate" type="application/rss+xml">Inscreva-se no RSS Feed e receba atualizações automáticas</a></div>SShttp://www.blogger.com/profile/16456034990657036324noreply@blogger.com2