Thursday, December 31, 2009

Retrospectiva 2009 e Previsoes 2010


Trezentos e sessenta e cinco dias e sessenta e seis posts depois, o ano de 2009 finalmente chega ao fim. Vou aproveitar o ensejo para listar os assuntos mais acessados em 2009 e aproveitar para fazer algumas previsões para 2010.

Segue uma relação dos 10 posts mais lidos/comentados em 2009:

  1. Risco, Vulnerabilidade, Ameaça e Impacto
  2. Tipos de Monitoração de Segurança de Rede
  3. Livros de Segurança, Resposta a Incidentes e Forense
  4. Blogs em português sobre Segurança
  5. Forense de Memória - comparação de ferramentas
  6. Conficker - de um erro de programação a um worm global
  7. Material de Treinamento para equipes de Resposta a Incidentes
  8. Shodan Computer Search Engine
  9. Expressões Regulares em Resposta a Incidentes e Forense
  10. Apagão e Hackers - Aconteceu ou é Possível?
Aproveitando o embalo, seguem também algumas previsões para 2010 - apenas para exercitarmos a futurologia neste último dia do ano.

Sei bem do risco de fazer previsões como estas, e espero retornar a este post daqui em um ano para ver se acertei mais de 50% - o que seria uma boa média =)
  1. Muitas siglas e novos produtos aparecerão, mas os reais problemas não mudarão;
  2. A tecnologia de NAC vai padecer para o uso geral (finalmente);
  3. MAC OSX, Linux, BlackBerry OS serão mais e mais explorados;
  4. A Lei do Ciber Crime entrará em vigor e terá múltiplas emendas;
  5. O setor de Forense Computacional terá aquisições que modificarão o mercado;
  6. O Cert.BR conseguirá que alguns grandes provedores sigam orientações anti-spam e anti-bots
  7. Ferramentas e Live-CDs Free de Forense se aposentarão e surgirão novamente;
  8. O assunto de Cloud Security não vai embalar como se imagina;
  9. Haverá uma especialização maior dos grupos que criam malwares customizados;
  10. Invasões e vazamento de dados continuarão a ocorrer por falhas comuns, e só serão notificados às autoridades em caso de necessidade;

Um bom reveillon junto à família e um ótimo 2010 para todos nós!

Sandro Süffert

Wednesday, December 30, 2009

Anti-Forense: DECAF v2


[ Update 2009/12/29 ]

A ferramenta de anti-forense da moda, DECAF (já falamos sobre ela aqui), acaba de renascer em versão repaginada - foi lançada oficialmente ontem a v2. Agora ela pode ser ativada se detectar a presença das seguintes ferramentas:
Microsoft COFEE, Helix, EnCase, Passware, Elcomsoft, FTK Imager Port, Forensic Toolkit, ISOBuster, e Ophcrack.

Além disto, o usuário pode incluir novas assinaturas de detecção e foi adicionada a opção de monitoração de CD-Rom. Há também agora opções mais granulares de ações quando estas ferramentas forem executadas. Alguns exemplos são: execução de programas, desabilitar o device onde a ferramenta forense foi identificada, e iniciar em modo de monitoração.

Com as novas funcionalidades, esta versão 2 já pode até ser considerada como uma ferramenta de Anti-Forense, mas obviamente só é útil se a máquina a ser investigada estiver ainda ligada quando o investigador executar as ferramentas citadas.

Espera-se que analistas de resposta a incidentes ou forense minimamente preparados a partir de agora primeiro verifiquem a possibilidade de ferramentas deste tipo estarem em execução antes de executarem os seus procedimentos de coleta de dados voláteis na máquina investigada.

Na verdade esta preocupação já existia com ferramentas anti-forense mais antigas com funcionalidaes similares (Hacker Defender, Antidetection, FUTo, Shadow Walker, ... ). Mas o grau de divulgação do DECAF realmente deve torná-la uma ferramenta mais comum no arsenal utilizado nas máquinas que iremos analisar de hoje em diante.

Site oficial do DECAF v2: http://decafme.org

Breve demonstração da ferramenta: http://www.youtube.com/watch?v=tVFVdwcX5xA&hd=1



Excelente post sobre o assunto do Harlan Carvey: http://windowsir.blogspot.com/2009/12/lions-and-tigers-and-decafoh-my.html





[ Update 2009/12/03 ]


O Tony acabou de fazer um post interessante sobre o assunto Anti-Forensics - não perca!

[ Update 2009/10/29 ]

Dois posts entitulados "Tecnicas anti-forense para ocultação de dados" (parte 1 e parte2) foram recentemente publicados no Grego Weblog.

[ Update 2009/08/31 ]

Este post sobre anti-forense foi incluído na coluna do colega Raffael Vargas, no Imaster.

[ Post Original 2009/08/05 ]

O uso de técnicas de anti-forense é crescente e a sofisticação e automatização do seu uso em ataques reais é visível.

Segundo o último "Verizon Databreach Report 2009", dentre os incidentes de segurança investigados pelo time de resposta a incidentes da Verizon em 2008, em 31% foram utilizadas técnicas de data wiping, em 9% data hiding e em 3% data corruption.

Um dos trabalhos mais divulgados de anti-forense em ambiente Unix foi o feito por Grugq (Phrack 59, 2002 / Black Hat de 2005) ("Blackhat: The Art of Defiling: Defeating Forensic Analysis on Unix File System").

Um artigo interessante foi publicado em 2008 pelos brasileiros Felipe Balestra e Rodrigo Branco sobre o assunto de anti-forense em ambiente Linux: "Kernel Hacking & Anti-Forensics - Evading Memory Analysis" (Obrigado Felipe pelo Link).

Um exemplo da popularização de ferramentas de Anti-Forense em Windows é o projeto Metasploit Anti-Forensics, de 2007, que forneceu ferramentas de fácil uso para:
Como novidade nesta área de Anti-Forense temos a apresentação mais interessante da Black Hat 2009 (ao menos do ponto de vista de resposta a incidentes e forense computacional) chamada "Anti-Forensics: The Rootkit Connection (paper / apresentação)", que foi feita por Bill Blunden.

Neste paper são detalhadas estratégias de:
  • Destruição de Dados (File scrubbing, Meta-data wiping, File System Attacks);
  • Ocultação de Dados (In-Band, Out-of-Band, and Application Layer Concealment);
  • Corrupção de Dados (Compression, Encryption, Code Morphing, Direct Edits);
  • Fabricação de Dados (Introduce known files, String decoration, False audit trails); e
  • Eliminação da Fonte de Dados (Data Contraception, In-Memory DLL Injection)
O objetivo é a utilização de Rootkits que permitam que o mínimo de evidências sejam deixadas em disco e que estas evidências sejam difíceis de ser localizadas e tenham o mínimo de utilidade possível para o analista forense. Além disto a fabricação de evidências falsas e a destruição de dados são técnicas também abordadas no paper.

Abordagens para atrapalhar as várias fases seguidas em um processo de forense de disco são detalhados (Duplicação, Recuperação de Arquivos da Cópia, Recuperação de Arquivos Deletados, Coleta de Metadados, Remoção de Arquivos Conhecidos, Análise de Assinatura e Análise de Executáveis).

O pesquisador encerra o paper dizendo que a verdadeira batalha entre white-hats e black-hats já está sendo travada nos âmbitos de forense de memória e forense de rede, pois por mais bem desenvolvido que seja um rootkit ou qualquer outro malware utilizado por um atacante, ele precisa se executar em memória e se comunicar com o exterior de alguma forma...

Tuesday, December 22, 2009

Governo Obama lista cybersecurity como prioridade


[ 2009-12-22 - Update ]

O presidente norte-americano Barack Obama indicou hoje um novo responsável pela área de Cyber Security americana (função que vem sendo chamada de "Cyber Czar" pela sua importância e poder. O escolhido foi Howard Schmidt


Mais informações:
http://www.whitehouse.gov/blog/2009/12/22/introducing-new-cybersecurity-coordinator ( com vídeo )

[ 2009-10-25 - Update ]

Durante o "Mês da Segurança Cibernética" nos Estados Unidos, o presidente Obama divulga vídeo de conscientização sobre o tema e fazendo um breve atualização de algumas iniciativas programadas inicialmente pelo seu governo nesta área.

[ 2009-01-24 - Post Original ]


Assim que assumiu a presidência americana, Barack Obama publicou uma nova Agenda para "Homeland Security" (ref: http://www.whitehouse.gov/agenda/homeland_security/) que inclui a Segurança Digital (Protect Our Information Networks) - entre assuntos tradicionais como Terrorismo, Ameaça Nuclear e Biossegurança.

Esta preocupação sempre esteve presente nos Estados Unidos - como referência, cito o excelente relatório de 2005 entitulado "Cyber Security - A Crisis of Priorization". A diferença é a atenção que está sendo dada ao assunto - ao menos no discurso.

Segue o detalhamento com os pontos da iniciativa anunciada recentemente pelo governo Obama em conjunto com a indústria, pesquisadores e cidadãos americanos - o difícil desafio é construir uma infra-estrutura online que seja resiliente e que proteja os interesses dos Estados Unidos (tradução livre / comentários em itálico):
  • Fortalecer a Liderança do Governo em Segurança Digital - a nomeação de um "cyber-czar" tem sido criticada por especialistas (veja Repercussão abaixo)

  • Iniciar um esforço em Pesquisa e Desenvolvimento de "Safe Computing" e fortalecer a Infraestrutura Digital da Nação - O objetivo é garantir o desenvolvimento de hardware e softwares ultra-seguros e confiáveis (sem chips chineses? =) para utilizar na infra-estrutura crítica do país (Na verdade não precisa iniciar o esforço, já existe um ponto de partida: https://www.trustedcomputinggroup.org )

  • Proteger a Infraestrutura de TI que mantém a economia americana segura - aproximação com a iniciativa privada, o principal foco devem ser as empresas de BackBone e provedores de acesso

  • Previnir A Cyber-Espionagem Corporativa - fica clara a preocupação com o crescente roubo de inovações em vários campos (software, engenharia, remédios) por empresas de outros países.

  • Desenvolver uma estratégia de Combate ao Crime Digital para Minimizar as oportunidades de lucro dos criminosos - desafio ainda mais complexo em tempos de crise econômica mundial

  • Ditar Padrões de Segurança para Dados Pessoais e Requerer que as Empresas anunciem as informações sobre vazamento de dados pessoais - já acontece com certa frequência nos EUA - quando a empresa não tem outra alternativa - recentemente o ITRC anunciou uma lista / estatísticas sobre vazamentos de dados pessoais em 2008 - mais de 35 milhões de registros...

Repercussão:

Tuesday, December 8, 2009

30.000 pageviews uma marca a se comemorar


Caros leitores
(assinantes do feed RSS, os que nos lêem via recebimento automático de emails, e os muitos visitantes que chegam a nós via queries do google também), gostaria de agradecer sinceramente a impressionante marca de 30.000 (TRINTA MIL) page-views que nosso blog está prestes a alcançar - depois de apenas 1 ano e meio no ar!

Já é uma tradição comemorar um múltiplo de 10.000 page views, e nosso registro até o momento é o seguinte:
  • 10.000 page-views - no dia 24/03/2009 (73 posts).
  • 20.000 page-views - no dia 21/08/2009 (100 posts).
  • 30.000 page-views - no dia 10/12/2009 (112 posts).

Contamos hoje com uma média de 200 visitantes únicos em dias de semana e além disto, já passam de 300 os assinantes somente no nosso RSS Feed!


Agradeço mais uma vez aos leitores que utilizando os comentários enriquecem sempre a discussão dos diferentes assuntos tratados por este blog.

Seguindo o espírito de comemoração, segue a listagem completa de posts já publicados até o momento - caso você tenha perdido algum assunto de interesse:
Como aperitivo seguem também alguns termos de pesquisa utilizados no ultimo mês em mecanismos de busca (principalmente google) que acabaram desembocando em nosso blog:

15 1.84% sandro suffert
8 0.98% anti-forense
7 0.86% apagao hackers
6 0.74% tipos de monitoramento
5 0.61% crimes eletronicos introduçao
5 0.61% helix3
5 0.61% sseguranca
5 0.61% IEF (Internet Evidence Finder)
4 0.49% grampo skype
4 0.49% Cyber war Russia vs China
4 0.49% arquivos .dbb do skype
4 0.49% Downadup ou Conficker
4 0.49% downadup
3 0.37% classificação de ativos, vulnerabilidades, ameaças, prob
3 0.37% backtrack 4 usb
3 0.37% Download Linux BackTrack 3
3 0.37% win32dd win64dd
3 0.37% tipos de monitoramento de servidor
3 0.37% anti-forense clean logs
3 0.37% conceitos de ameaças, vulnerabilidades e capacidades
3 0.37% software forensec analise memória
3 0.37% apagao o que aconteceu
3 0.37% ssegurança.blogpost
3 0.37% ssegurança.blog
3 0.37% sandro suffert blog
3 0.37% iccyber
3 0.37% GhostNet
3 0.37% vazamento de informações estratégicas
3 0.37% cyberwar
3 0.37% Recycle Bin Analyzer
3 0.37% Blogspot EnCase
3 0.37% Jeito simples de remover o Vírus Downadup /Conficker e Kido
2 0.25% ataques ddos backtrack
2 0.25% zenmap downadup
2 0.25% pdymail como utilizar
2 0.25% cibercrime em portugal
2 0.25% Ceic brasilia
2 0.25% exploit iis 6.0
2 0.25% testes segurança urnas
2 0.25% maneiras de invadir sites
2 0.25% ssegurança blog
2 0.25% analise risco compliance vulnerabilidade
2 0.25% guia forense computacional
2 0.25% exploit para vulnerabilidade
2 0.25% skype grampo 2009
2 0.25% suffert
2 0.25% iscsi "espionagem industrial"
2 0.25% download windows-kb890830-v2.6
2 0.25% tabela comparativa entre ferramentas de monitoramento
2 0.25% +videos +"conscientização de segurança"
2 0.25% nova lei PL84
2 0.25% Tratado de Budapeste e crimes e eletrônicos
2 0.25% code pdgmail para firefox
2 0.25% um breve resumo da lei 84/99
2 0.25% blogspot.com ddos
2 0.25% como atuar com netbot
2 0.25% classificação de ativos, vulnerabilidades, ameaças, probabilidades e impactos e alternativas de miti
2 0.25% cyber security
2 0.25% cert + Windows 7 * , Server 2008R2 Remote Kernel Crash
2 0.25% ms08-067 patch
2 0.25% trojan site oi
2 0.25% vulnerabilidade, ameaças, probabilidades, mitigação
2 0.25% risco e ameaça
2 0.25% "Alan Boulanger"
2 0.25% jeff code pdgmail
2 0.25% ssegurança blog post
2 0.25% ferramentas anti forense
2 0.25% defcon
2 0.25% segurança da informação impacto
2 0.25% habilito o firewall windows xp-sp3 e firewall da mcafee?
2 0.25% ROOTKIT + ANTI FORENSE
2 0.25% "conficker_mem_killer" + codigo
2 0.25% conceito vulnerabilidade tecnologica
2 0.25% projeto de lei contra os crimes eletronicos
2 0.25% material para treinamento de segurança
2 0.25% tipo segurança em rede
2 0.25% vivo hackers
2 0.25% invasao site vivo
2 0.25% segurança em desenvolvimento de software
2 0.25% a nova lei do cibercrime 2 outubro 2009
2 0.25% nmap kido
2 0.25% Analyzing Volatile Memory forense
2 0.25% criptografia forte
2 0.25% PL 84/99 PDF
2 0.25% WinNuke 2
2 0.25% tcpdump conficker
2 0.25% "alterar o arquivo" "opera" "websense"
2 0.25% dicas para uso dlp mcafee
2 0.25% shodan
2 0.25% conceito ssl
2 0.25% program to forense
2 0.25% nist 800-55
2 0.25% sistema operacional fbi
2 0.25% acesso remoto seguro DLP
2 0.25% como invadir uma maquina via email
2 0.25% críticas à Lei do Cibercrime
2 0.25% grmpo no skype
2 0.25% KIDO exploit ms08-067
2 0.25% video forense digital "blog"
2 0.25% ameaças à informação de uma organização
2 0.25% projeto de lei 84 99
2 0.25% projeto de lei crimes eletronicos
2 0.25% pdymail windows
2 0.25% defcon 2009
2 0.25% utilitário IEF (Internet Evidence Finder)
2 0.25% forjar certificado ssl
2 0.25% sites de hackers
2 0.25% download vacina worm conficker.c
2 0.25% banco godman sacks - fabricio samed
2 0.25% forense windows memory dump
2 0.25% Projeto de Lei de Crimes Eletrônicos (PL 84/99)
2 0.25% videos sobre vulnerabilidade windows
2 0.25% iis exploit
2 0.25% Tratado do cybercrime.pdf
2 0.25% software forense pdgmail
2 0.25% infoseg venda
2 0.25% o que é um 0 day+forence computacional
2 0.25% monitoração segurança
1 0.12% nmap p2p-conficker.nse smb-check-vulns.nse
1 0.12% “Tracking GhostNet”
1 0.12% classificaçao de ativos,vulnerabilidades,ameaças
1 0.12% mcafee antivirus nelson brito
1 0.12% forense program
1 0.12% internet explore forensis shadow
1 0.12% negação de serviço 2009
1 0.12% suffert blog
1 0.12% local file inclusion ja era
1 0.12% tipos de segurança de rede
1 0.12% microsoft fix it blogspot
1 0.12% vazamento de informacoes valiosas sobre a empresa
1 0.12% quanto custa uma ligação via skype para a china
1 0.12% onde eu baixo MS08-67
1 0.12% tse CEIC
1 0.12% encase forensic blogspot
1 0.12% codigo "hashclash" ca
1 0.12% forense + roubar + msn + crime
1 0.12% como adicionar page view no seu blogger
1 0.12% me digam pra qui servi o ndis filter kaspersky?
1 0.12% scan the internet shodun
1 0.12% conceito segurança publica
1 0.12% As vacinas estão desatualizadas. É altamente recomendado que você atualize o NOD32 imediatamente par
1 0.12% agente de ameaça vulnerabilidade
1 0.12% apagão rescente
1 0.12% ambev+invasao site
1 0.12% ferramentas forense strings
1 0.12% treinamento de equipes
1 0.12% tipos de monitoração
1 0.12% monitoração forense de rede governo brasileiro
1 0.12% riscos de vazamento de informações em empresas
1 0.12% criptografia na guerra
1 0.12% remover conficker link alternativo
1 0.12% ferramentas de forense no xp
1 0.12% Steve Riley, da Microsoft, postou um artigo detalhando uma séria vulnerabilidade no protocolo 802.1X
1 0.12% skype grampo seguro
1 0.12% o apagão hacknroll
1 0.12% crimes eletronicos assunto
1 0.12% backtrack anti forense
1 0.12% "live cd backtrack 4"
1 0.12% patch automatizado remover conficker da rede
1 0.12% download backtrack 3 blogspot
1 0.12% codigo fonte msinfo32
1 0.12% ataques ao modem kinux
1 0.12% como utilizar trapkit pdgmail
1 0.12% DLP com software livre
1 0.12% forjar+certificado+digital+md5
1 0.12% itau ataque hackers por dia
1 0.12% vulnerabilidades ameaças impactos e alternativas de mitigação
1 0.12% certificação ibm ISS Technical Training
1 0.12% invadi ip 74.53.43.162
1 0.12% marcos.ppt + perícia computacional + techbiz
1 0.12% felipe balestra segurança
1 0.12% qual é a diferença de risco e ameaça
1 0.12% risco organização vulnerabilidades exemplos espionagem
1 0.12% vulnerabilidades 2009
1 0.12% Helix forense executar videos
1 0.12% apache 2.2.14 só funciona https http
1 0.12% habilitar wlan no backtrack
1 0.12% applet java invasão
1 0.12% Helix3 download
1 0.12% analise mactimes mac-robber
1 0.12% "lista de portas tcp"+"liberar"
1 0.12% sites que usam o MD5
1 0.12% tabelas dos efeitos negação de serviço
1 0.12% ie8 certificado digital object error
1 0.12% como detectar o conficker
1 0.12% vista+metasploits+vunerabilities
1 0.12% SSL TLS as vulnerabilidades em relação a Confidencialidade, Integridade e Disponibilidade
1 0.12% dicas para gerenciamento de blogs
1 0.12% firmware speedtouch 580 que corrige a alteracao de password
1 0.12% Classificação de ativos, vulnerabilidades,ameaças
1 0.12% botnet
1 0.12% segurança da informação conceitos de confidencialidade disponibilidade e integridade
1 0.12% O convite de www.m3d.com.ar Find out who deleted and blocked you from the MSN para iniciar a Tr
1 0.12% tcc "anti-forense"
1 0.12% ferramenta para remover do vírus worm/conficker.y.13
1 0.12% aprendendo mais sobre botnets
1 0.12% anti-forense sseguranca
1 0.12% ferramentas para detectar o conficker
1 0.12% componente da interface da ferramenta encase da guidance
1 0.12% ante viros avira
1 0.12% blog.hacknroll.com
1 0.12% audiência é page views ou visitas?
1 0.12% anti anti-forense blackhat
1 0.12% maneiras de invadir um site
1 0.12% como invadir site com o backtrack 3
1 0.12% é possível mover a Segurança da Informação
1 0.12% pdgmail forense
1 0.12% passo a passo do encase
1 0.12% o unico sistema verdadeiramente seguro
1 0.12% web fuzzy hash images
1 0.12% quais os maiores roubos de dados via internet
1 0.12% falso positivo mcafee
1 0.12% backtrack usb
1 0.12% Sugira uma forma de evitar ataques de replay (reprodução) em um protocolo de autenticação das partes
1 0.12% conceito de ameaça á tecnologia da informação
1 0.12% protocolo DNS
1 0.12% riscos versus ameacas
1 0.12% monitoramento e segurança de rede
1 0.12% PROJETO DE LEI N.° 84/99
1 0.12% diferença entre risco e ameaça
1 0.12% Open 7 Activator" XP não funciona
1 0.12% csirt livro
1 0.12% ferramenta forense de memoria gmail
1 0.12% AGENDA DE LEILAO CEIC
1 0.12% mudar a tela do logoff do windows xp cia fbi nsa
1 0.12% Automação Comercial DMP Informática download blogspot
1 0.12% performance measurement guide nist
1 0.12% ataques de bots
1 0.12% analise de riscos ativo vulnerabilidade ameaça
1 0.12% como atribuir o opendns ao modem speedtouch da gvt
1 0.12% tecnica "data Hiding" invasao
1 0.12% nomes de empresas que sofrem vandalismo dentro
1 0.12% spam um incoveniente ou uma necessidade
1 0.12% +risco +impacto +ameaça
1 0.12% tcpdump downadup
1 0.12% webmail.tumblr.com/modules.php?name=Registra 'free access to webmail'
1 0.12% MAterial de treinamento de equipes
1 0.12% site hackers
1 0.12% ameaça vs vulnerabilidade
1 0.12% "Emerson Wendt"
1 0.12% ERROR: .//rules/exploit.rules(26) Unknown ClassType: shellcode-detect
1 0.12% impacto de uma ameaça
1 0.12% dados sequestrados
1 0.12% helix 3 pro blogspot
1 0.12% CONCEITOS DE , AMEAÇA, PROBABILIDADE, RISCO
1 0.12% conficker blogspot
1 0.12% ssegurança eletronica
1 0.12% tecnicas anti-forense
1 0.12% skype algoritmos de criptografia
1 0.12% analise e gerenciamento de riscos, conceito de identif e classificação de ativos,vulnerabilidade,ame
1 0.12% implementar DLP
1 0.12% Fast-Flux dns
1 0.12% conceitos de segurança
1 0.12% skypealyzer torrent
1 0.12% enscript+filtrar+caracteres
1 0.12% ameaças em meu blog
1 0.12% O ataque Stealth
1 0.12% ataques SSL
1 0.12% ferramenta para remover o vírus worm/conficker.Y.13
1 0.12% vulnerabilidades, ameaças, probabilidades risco
1 0.12% mandado de prisão goias infoseg
1 0.12% ataque telefônica
1 0.12% invadir uma maquina
1 0.12% analise de risco segurança mitigaçao
1 0.12% Conficker/Downadup
1 0.12% http://praetorianprefect.com/archives/2009/11/more-cofee-please-on-second-thought/
1 0.12% linkto:shodan.surtri.com
1 0.12% negação de serviço por dns
1 0.12% classificação de ativos, vulnerabilidade, ameaças
1 0.12% hacker site ambev
1 0.12% um primeiro item da solução de segurança
1 0.12% 200.219.245.132
1 0.12% O pacote adobe-flash plugin precisa ser reinstalado, mas não foi possível encontrar um arquivo para
1 0.12% como invadir uma maquina xp
1 0.12% conficker varredura para rede
1 0.12% mcafee teste antivirus
1 0.12% dd no windows dump memoria
1 0.12% o que e invasão do tipo negação de serviço
1 0.12% maneiras pra invadir pc
1 0.12% phpMyAdmin - Erro Não pôde iniciar a sessão sem erros, cheque os erros ocorridos nos logs do PHP e/o
1 0.12% inforseg sistemas de segurança
1 0.12% vulnerabilidades protocolo TLS
1 0.12% russo dns tunilamento
1 0.12% passar o scan o cara tem apache e usa ssl mode
1 0.12% bill blunden anti forensics
1 0.12% adobe creative suite 4 master collection: revoked
1 0.12% software segurança blogspot
1 0.12% bsimm plano de ação
1 0.12% História e Evolução do SSL até o EV-SSL
1 0.12% "ms08-067" blogspot
1 0.12% botnet spam
1 0.12% avi ataque vulnerabilidade intrusão
1 0.12% falha no download wsus kernel32.dll
1 0.12% volatility connections
1 0.12% como fazer busca de palavras chave no encase?
1 0.12% Shodan - Computer search engine
1 0.12% seguranca de rede monitoramento
1 0.12% achar sites vuls e injetar botnets
1 0.12% chrome navegação anonima forense
1 0.12% definicao md-5
1 0.12% processo extorsão msn
1 0.12% Linux black hat 4
1 0.12% AMEAÇAS AOS SISTEMAS COMPUTACIONAIS VULNERABILIDADES AMEAÇAS E ATAQUES
1 0.12% como invadir iis 7
1 0.12% site: www.cshg.com.br get / http /
1 0.12% testar vulnerabilidade conficker.y
1 0.12% gerando relatorios usando OPENVAS
1 0.12% temas internet explorer 8 black
1 0.12% 7 maneiras de invadir um site
1 0.12% fuzzy logic siem
1 0.12% kntools dump memory
1 0.12% COMO INVADIR INFOSEG
1 0.12% crimes eletronicos projetos de lei brasil 2009
1 0.12% atualizacao xp Conficker, Kido e Downadup
1 0.12% ativos vulnerabilidades ameaças
1 0.12% ativos vulnerabilidades ameaças incidentes impactos
1 0.12% "O problema está na falta de associação a uma conexão "
1 0.12% sites para hackers
1 0.12% nova lei internet portugal
1 0.12% sslv3
1 0.12% Integridade Confidencialidade Disponibilidade
1 0.12% bssim
1 0.12% Que vulnerabilidades ou fraquezas podem ser identificadas nestes ativos?
1 0.12% ameaças, vulnerabilidades e riscos à segurança da informação
1 0.12% classificação de ativos, vulnerabilidades, ameaças
1 0.12% browsers concurso segurança chrome firefox ie
1 0.12% analise e gerenciamento de riscos ativos vulnerabilidade ameaça probabilidade impacto mitigação
1 0.12% ataques ssl
1 0.12% ief +internet
1 0.12% aconteceu ou aconteçeu
1 0.12% conceito de ameaças a tecnologia da informação !
1 0.12% download F-downadup link alternativo
1 0.12% definição de crimes eletronicos
1 0.12% cibercrime lei portugal
1 0.12% site do bradesco é invadido
1 0.12% comparação ferramentas anti spam
1 0.12% solução de DLP
1 0.12% conceitos de segurança de sistemas
1 0.12% OPENFILES.EXE
1 0.12% criar virus sequestrador de arquivos .bat
1 0.12% o risco e a ameaça
1 0.12% volatility phyton
1 0.12% quais sao os tipos d segurança na rede
1 0.12% programador russo
1 0.12% PL 84 DE 99 + 2009
1 0.12% skype chines
1 0.12% numero serial do cyber security
1 0.12% vulnerabilidades, ameaças, probabilidades e impactos e alternativas de mitigação.
1 0.12% lei cibercrime Portugal
1 0.12% como remover o meu ip da black list no Backscatter.org
1 0.12% o que sao os soquetes preto e vermelho do marcapasso
1 0.12% criando sistema getmac.exe
1 0.12% exploit ie 7 vulnerabilidade
1 0.12% pesquisa: Segurança de software
1 0.12% código fonte de exploit MS08-067
1 0.12% equaçao do risco segurança informação
1 0.12% usuarios administradores windows pode ser invadido
1 0.12% codigo fonte conficker
1 0.12% caso cross site nasa
1 0.12% maximun dump
1 0.12% helix3 blogspot
1 0.12% auditoria redes lista de enderecos mac
1 0.12% +55 atonio santos csv @yahoo.com.br @hotmail.com @aol.com 2009
1 0.12% sseguranca.blogspot
1 0.12% ataque hackers+ operadora vivo
1 0.12% iphone forensics
1 0.12% Vulnerabilidades ou Fraquezas podem ser identificadas nestes ativos
1 0.12% codigo secreto de roubar maquininha
1 0.12% O Antivírus não poderá impedir que um ataque tentar explorar alg
1 0.12% skype pode ser grampeado
1 0.12% expressoes regulares em php usando o valor hexadecimal
1 0.12% exemplo de ativos, vulnerabilidade, ameaças, impactos
1 0.12% conceitos de segurança da informação
1 0.12% segurança desenvolvimento software
1 0.12% compartilhamentos travando windows server 2008
1 0.12% o skype pode ser grampeado
1 0.12% Implementar em SWI -Prolog um programa que jogue o quebra cabeça conhecido como jogo dos oito,
1 0.12% WORM/Conficker.Y.12 - ]
1 0.12% lista de crimes eletronicos
1 0.12% IEF INTERNET EVIDENCE FINDER 2
1 0.12% dns ataques RAT
1 0.12% segurança ameaças probabilidades impactos
1 0.12% conceito de vulnerabilidade em segurança da informação
1 0.12% como invadir pela bios
1 0.12% guia encase
1 0.12% invadir maquina
1 0.12% ataque hosts substituído
1 0.12% win nuke 2
1 0.12% volatility connscan sintax
1 0.12% browser Air-flex filtrado por um proxy
1 0.12% falso-positivo
1 0.12% pl 84/99
1 0.12% tcc+forense+computação
1 0.12% informaçoes e comentarios sobre o skype
1 0.12% lei de portugal sobre software
1 0.12% chave de ativação "cyber security"
1 0.12% "the value of physical memory analysis for incident response"
1 0.12% mail forense
1 0.12% nova lei que referencia a PL-84
1 0.12% iccyber 2009 best paper
1 0.12% grampo no skype
1 0.12% safari 4 desafia chrome
1 0.12% ssuffert blog
1 0.12% world pass analise da maturidade do processo .xls
1 0.12% forense "analise de memória"
1 0.12% segurança e monitoração
1 0.12% vetores de ataque
1 0.12% habilitar content filter endian firewall 2.3
1 0.12% http//sseguranca.blogspot.com
1 0.12% vazamento de informações dentro de uma empresa
1 0.12% bradesco juridico Sign Lib.dll
1 0.12% BSIMM
1 0.12% http://sseguranca.blogspot.com/
1 0.12% guia do encase em português
1 0.12% vulnerabilidades no webex
1 0.12% vivo site invadido
1 0.12% software encase forensic memory
1 0.12% mantenha seguro
1 0.12% falha no DNS descoberta por Dan Kaminsky
1 0.12% ddos e 5s SPOOFING SPAMMING
1 0.12% Google Safe Browsing API
1 0.12% NIST SP 800 Series portugues
1 0.12% exemplo de vazamento de informação
1 0.12% shodan search
1 0.12% "forense computacional" ferramentas software download
1 0.12% punições para cibercrime
1 0.12% blue pill o que é
1 0.12% vazamento de informações que acontece no protocolo dns
1 0.12% derrubar OpenSSL/0.9.8d
1 0.12% malware impede acesso ao registro e gerenciador de tarefas
1 0.12% linux backtrack 3.0, download
1 0.12% vulnerabilidade conceito segurança da informação
1 0.12% troco bug infoseg por senhas
1 0.12% java malicioso
1 0.12% 4) Cite 3 exemplos de vulnerabilidades em segurança da informação.
1 0.12% anti forense
1 0.12% Conferência de Las Vegas Defcon e novos ataques
1 0.12% Ataques de DDoS
1 0.12% como ferramentas fazem o monitoramento de segurança da rede
1 0.12% ss]egurança
1 0.12% ironport c 160 infrastructure
1 0.12% analise de dump de memória
1 0.12% ferramenta encase
1 0.12% computacao anti forense
1 0.12% protocolo do kido
1 0.12% medley utiliza dados estatisticos?
1 0.12% baixar patch de segurança MS08-067.
1 0.12% conceito redes confidencialidade integridade disponibilidade
1 0.12% invasao rcp dcom
1 0.12% forense + gmail
1 0.12% nmap 5.0
1 0.12% Ameaças, Impactos, Probabilidades e Riscos
1 0.12% tabela de monitoramento de log
1 0.12% descriptografar arquivos de conversas do skype
1 0.12% download IEF Internet Evidence Finder
1 0.12% valor da informação Süffert
1 0.12% vazamento de informações
1 0.12% criptografia skype
1 0.12% medley blogspot
1 0.12% telefone do ´ceic da prospera
1 0.12% remote shell vulnerabilidades
1 0.12% como integrar Wsus con Cisco nac
1 0.12% instalando o OpenVas no linux
1 0.12% varrendo servidor proxi com zenmap
1 0.12% helix 3 manual
1 0.12% gpl botnet
1 0.12% gimmiv.a
1 0.12% Ferramenta HELIX para pegar informações alditoria. SHADOW USER
1 0.12% ameaça risco
1 0.12% pesquisa sobre pager views dos sites
1 0.12% jorgebenevides@ig.com.br
1 0.12% win32/conficker.ae fix tool
1 0.12% nist 800-30 em português
1 0.12% Paul Vixie 2009
1 0.12% "EnCase Portable" download site:.blogspot.com
1 0.12% exemplos de ameaças identificadas de uma organização
1 0.12% vulnerabilidade win 2008
1 0.12% backtrack 4 blog
1 0.12% netwitness
1 0.12% ssuffert
1 0.12% arquivo hosts com sites bancarios
1 0.12% Ataque Hacker em BIOS
1 0.12% codigo fonte do conficker
1 0.12% vendo infoseg 2009
1 0.12% protocolo smb2
1 0.12% conceito de segurança sistema operacional
1 0.12% Dan Kaminski invasao defcon
1 0.12% Conficker.C
1 0.12% como captar rede internet publica atraves speedtouch 580
1 0.12% "Malware Forensics"+livro
1 0.12% Em um ataque de negação de serviço quais as ações
1 0.12% IEF 2.0 DOWNLOAD INTERNET EVIDENCE FINDER
1 0.12% nmap conficker + rede interna
1 0.12% "Campanha de conscientização" segurança exercícios
1 0.12% 1. Defina os seguintes conceitos da segurança da Informação
1 0.12% win.netapi.buffer-overflow.exploit
1 0.12% material iccyber 2009
1 0.12% software para forense computacional
1 0.12% visão geral segurança no desenvolvimento de software
1 0.12% criptografia 256 bits blogspot
1 0.12% Win Nuke
1 0.12% ANONIMATO NO SKYPE
1 0.12% conficker vulnerabilidade vista
1 0.12% backtrack 3 live cd download
1 0.12% blogspot+malware inurl:forense
1 0.12% "Forense de REDE"
1 0.12% nmap detectar kido
1 0.12% ataque de negação de serviço
1 0.12% conficker downadup
1 0.12% black hat vs white hat: a batalha, guerra
1 0.12% três informaçoes sobre uma verdade inconveniente
1 0.12% AGENDA DE LEILOES CEIC
1 0.12% linux backtrack download blogspot
1 0.12% dns telefonica dos ataque
1 0.12% solução rede blog download
1 0.12% black hat 2009
1 0.12% hackers
1 0.12% byteclark.com.br
1 0.12% passo a passo forense
1 0.12% microsoft iis exploit
1 0.12% vulnerabilidade ameaça e ataque + segurança informação
1 0.12% alternativa linux ao encase
1 0.12% remover downadup com zenmap
1 0.12% download skypelog.c
1 0.12% impactos causados cache poisoning
1 0.12% criptografia russa
1 0.12% Destruição de Dados; Ocultação de Dados; Corrupção de Dados;
1 0.12% nessus blogspot download
1 0.12% configurar srvcheck
1 0.12% o que é dumps de memoria
1 0.12% exploits para atacar apache versao 2.2.14
1 0.12% numeros de cartoes visa rakers
1 0.12% ceic 2009 marcelo
1 0.12% ladrao admin@vuls.us
1 0.12% como instalar openvas
1 0.12% ferramentas de analise de memoria
1 0.12% o que e falsa segurança
1 0.12% kernel hacking and anti-forensics: evading memory analysis
1 0.12% ameaça capacidade vulnerabilidade
1 0.12% dump memoria firefox
1 0.12% padrão segurança SANS
1 0.12% http://shodan.surtri.com/?q=port%3A80+%22Camera%22+%22HTTP%2F1.0+200+OK%22
1 0.12% governo ghostnet
1 0.12% python pdgmail slides
1 0.12% grampear skype
1 0.12% preso por grampo no skype
1 0.12% venda infoseg
1 0.12% endpoint encryption mcafee criptografia hd externos com senhas
1 0.12% Patch de segurança do Windows XP: Capacidade de excluir certificados raiz no WinXP sp3
1 0.12% fazer monitoramento de seguranca de rede
1 0.12% gmail moria
1 0.12% ativos vulnerabilidades ameaças probabilidades impactos e alternativas de mitigação
1 0.12% Conceitos de Ameaças
1 0.12% ataque de DDoS tradicional e amplificado em DNS
1 0.12% classificação de ativos, vulnerabilidades, ameaças, probabilidades, mitigação
1 0.12% botnet ddos
1 0.12% chromiun+o.s+segurança
1 0.12% o protocolo do kido
1 0.12% "netscreen of the dead"
1 0.12% como usar programa secreto do fbi para invadir rede wirelees
1 0.12% Segurança de Informações para o Desenvolvimento de Software
1 0.12% shodan.surtri
1 0.12% kb890830 problema
1 0.12% presos hacker na OI
1 0.12% monitoramento e segurança de redes
1 0.12% ataque russo cyberwar
1 0.12% blogs segurança e vulnerabilidades
1 0.12% vivo ataque hackers setembro
1 0.12% mcafee blogspot
1 0.12% granpo no skype
1 0.12% tipos de segurança
1 0.12% descriptografar skype
1 0.12% requisitos ferramenta forense
1 0.12% risco e vulnerabilidade
1 0.12% infoseg blogspot
1 0.12% comparacao soluçoes dlp
1 0.12% principais acções do FBI
1 0.12% DNS TESTANDO DESCOBERTA
1 0.12% Programas Especializados em Defesa e Monitoramento de Redes: Firewall, IDS, Proxies, Antivirus, Anti
1 0.12% explorando vulnerabilidades no internet explorer python
1 0.12% analise memoria.dmp windows
1 0.12% sourcefire detect lfi local file
1 0.12% dump de memoria com o cofee
1 0.12% 7 conceito de segurança do trabalho
1 0.12% novas vulnerabilidades hackers
1 0.12% conceito md5
1 0.12% incidentes com segurança de informações
1 0.12% "forense" " Sandro Suffert"
1 0.12% leak of information by phishing telefonica
1 0.12% baixar BackTrack forense
1 0.12% riscos vazamento de informação
1 0.12% microsoft cofeee download inurl:blogspot
1 0.12% codigo cyber security
1 0.12% como excluir o gimmiv.a
1 0.12% analise e funcionamento do skype
1 0.12% conceito de segurana em ro
1 0.12% Segurança contra vazamento de informações
1 0.12% anti forense slack space
1 0.12% conceitos em segurança em banco de dados
1 0.12% infoseg internet explorer 8
1 0.12% live response forense
1 0.12% hacknroll apagao
1 0.12% invasão chrome 4
1 0.12% o que é BSIMM
1 0.12% shodan scan
1 0.12% conceitos de Risco, Vulnerabilidade, Ameaça e Impacto ainda confundem muita
1 0.12% como me livrar do conficker
1 0.12% site da empresa itix telecomunicações
1 0.12% antiforense metaxploit
1 0.12% epo-logonscript
1 0.12% ferramenta linux para detectar conficker
1 0.12% Rafael de Sousa infosec
1 0.12% kido d
1 0.12% vulnerabilidade na área de segurança
1 0.12% helix 3
1 0.12% enCase blogspot
1 0.12% segurança de rede referencias
1 0.12% minha empresa sofreu espionagem industrial
1 0.12% vazamento de informacoes na china
1 0.12% Blogsde Segurança do Trabalho
1 0.12% hacker pode ter ocasionado apagão
1 0.12% explique a abertura handshake
1 0.12% guidance software treinamento online
1 0.12% ps2 8d 2.0 bios exploit
1 0.12% COMO ME CADASTRAR AGENDA DE LEILOES CEIC
1 0.12% Winnuke 2 +blogspot
1 0.12% baixar o patch MS08-067


Thursday, November 19, 2009

Segurança do novo Sistema Operacional do Google: "Chromium OS"


O Google entrou definitivamente para o mercado de Sistemas Operacionais com o o lançamento do Chromium OS. Trata-se de um S.O. open-source (baseado em linux) e com os principios de velocidade (que tal boot em 7 seg?), simplicidade (afinal é um browser vitaminado) e segurança (veja abaixo) em mente.

Todas as aplicações do S.O. rodam dentro do browser e por isto mesmo inicialmente o mercado alvo deve ser os usuarios iniciantes (no estilo "so uso internet + office") que utilizem netbooks, por exemplo.

O Chrome OS é baseado em Debian e usa uma série de outros software open-source: Host AP Linux drivers, PAM, Syslinux, IBus, ConnMan , XScreenSaver e outros.

Do ponto de vista da segurança, o time do Chromius OS publicou um vídeo no Youtube super interessante com as principais features de segurança do novo sistema operacional:

1) foi projetado do zero com segurança em mente;
2) se o sistema ou usuario detectarem que o sistema tenha sido comprometido, um reboot e o Chrome OS voltará ao estado conhecido (e seguro) anterior;
3) fortalecimento do sistema de isolamento do processo (ou SandBox),
4) melhoria contínua de segurança na web,
5) autoupdate seguro,
6) verificação de hashes da partição de sistema durante o boot,
7) criptografia da partição de dados do usuário 8) gerenciamento de contas e intuitiva.

Como em tudo que é novo (neste caso, nem beta ainda), esperem falhas e correções em breve.. mas o modelo open-source já provou ser mais seguro pelo próprio envolvimento e revisão da comunidade de segurança mundial.

Mais informações sobre o lançamento do sistema operacional:

http://googleblog.blogspot.com/2009/11/releasing-chromium-os-open-source.html


Site Oficial: http://www.chromium.org/chromium-os

Wednesday, November 18, 2009

Vulnerabilidade SSLv3 e TLS



[ Update - 2010/01/13 ]

A Internet Engineering Task Force (IETF) publicou uma extensão de segurança para o protocolo SSL que corrige a falha desctrita no post original (que afeta implementações em servidores, navegadores, smartcards, produtos VPN, etc.).


Mais informações em:



http://www.darkreading.com/vulnerability_management/security/vulnerabilities/showArticle.jhtml?articleID=222300635

ftp://ftp.rfc-editor.org/in-notes/internet-drafts/draft-ietf-tls-renegotiation-03.txt


[ Post Original - 2009/11/18 ]

Na última semana veio a público um trabalho de Steve Dispensa, Marsh Ray e Martin Rex que descreve uma séria vulnerabilidade na fase de renegociação dos protocolos SSLv3 e TLS.

Em linhas gerais, o ataque permite que um atacante faça um "Man in The Middle", injetando informações de sua escolha no começo do stream que será passado de volta para aplicação sendo "protegida" por SSL/TLS, permitindo desta forma algumas possibilidades de exploração bastante preocupantes, como o a escolha pelo atacante de que requisições / transações serão feitas a um internet banking - depois da autenticação do usuário, por exemplo.

O problema está na falta de associação a uma conexão existente durante a renegociação do handshake no SSL/TLS.

Uma descrição detalhada da vulnerabilidade e suas possíveis contra-medidas do lado do cliente e servidor, além de algumas aplicações práticas de exploração delas (SMTP, HTTPS) foi publicada hoje por Thierry Zoller, da G-SEC.

Entrada no CVE (Common Vulnerabilities and Exposures)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555

The TLS protocol, and the SSL protocol 3.0 and possibly earlier, as used in Microsoft Internet Information Services (IIS) 7.0, mod_ssl in the Apache HTTP Server 2.2.14 and earlier, OpenSSL before 0.9.8l, GnuTLS 2.8.5 and earlier, Mozilla Network Security Services (NSS) 3.12.4 and earlier, multiple Cisco products, and other products, does not properly associate renegotiation handshakes with an existing connection, which allows man-in-the-middle attackers to insert data into HTTPS sessions, and possibly other types of sessions protected by TLS or SSL, by sending an unauthenticated request that is processed retroactively by a server in a post-renegotiation context, related to a "plaintext injection" attack, aka the "Project Mogul" issue.

Mais detalhes: http://securosis.com/blog/what-the-renegotiation-bug-means-to-you/

Sunday, November 15, 2009

Apagao e Hackers, Aconteceu ou é Possivel?

[ Update: 17/11/2009]

Reportagem da Globo News sobre o assunto - vale a pena conferir

[ Update: 15/11/2009 ]


Folha de SP: Operador do sistema elétrico é vulnerável a ataque de hackers

[ Post Original: 12/11/2009 ]

A comprovação da ocorrência é bem diferente da avaliação da possibilidade, mas o post http://blog.hacknroll.com/2009/11/12/a-verdade-sobre-o-apagao/ mostra algumas fragilidades básicas no site do Sistema de Administração de Contratos de Transmissão (SACT) como SQL injection e pára por aí..

Serve para jogar mais na fogueira dos que defendem que um ataque hacker poderia ter realmente ocasionado o apagão recente (assim como os de 2005 e 2007, segundo a rede americana CBS noticiou). O governo negou oficialmente a história.

Para quem não acompanhou ainda, vale a pena ver a reportagem da CBS onde "meia dúzia de fontes da inteligência" são citadas para afirmar que os apagões ocorridos em 2005 E 2007 no RJ e ES foram resultado de ataques aos sistemas computacionais que controlam a distribuição de energia..

Reportagem e Video na CBS: http://www.cbsnews.com/stories/2009/11/06/60minutes/main5555565.shtml

Saturday, November 14, 2009

Novas vulnerabilidades Windows - A volta do WinNuke e remote shell (Vista, 2008 e 7)



[ Update 14/11/2009 ]

A Microsoft acaba de lançar o advisory 977544 - Vulnerability in SMB Could Allow Denial of Service. Ele trata da vulnerabilidade SMB divulgada por Laurent Gaffié ante-ontem. Fiquemos de olho para possíveis evoluções da exploração de Negação de Serviço para acesso remoto...

Nos testes que conduzi o efeito é diferente da tela azul do exploit que explora a vulnerabilidade 975497 - descrita no post original. No caso do Windows 7 a máquina simplesmente TRAVA - sem nenhum indício (tela azul, crash dump ou evento do windows) de que o ataque ocorreu - mesmo depois de um reboot.

Os workarounds são similares aos descritos no post original relacionado ao advisory 975497.


[ Update 11/11/2009 ]

Nova falha e novo exploit para Denial of Service Remoto em Windows 7 e 2008, 32 e 64bit ( rede Local e via internet com IE ) publicados por Laurent Gaffié: Windows 7 / Server 2008R2 Remote Kernel Crash

[ Update 29/09/2009 ]


Já existe código público de exploração remota desta vulnerabilidade no projeto MetaSploit.
O exploit funciona em Windows Vista Service Pack 1 e 2 e também em Windows 2008 SP1 e SP2. Será que um novo worm Microsoft a la Conficker está vindo aí?

[ Update 20/09/2009 ]

A Microsoft ainda não divulgou uma correção, mas no site de descrição da vulnerabilidade foi incluída uma opção "Microsoft Fix-It" que automatiza o processo de workaround para desabilitar o SMB2 e assim deixar o seu Vista/2008/7 mais seguro.

[ Update 17/09/2009 ]


A vulnerabilidade SMB2 acaba de ficar mais preocupante: A empresa Immunity publicou em seus updates do produto CANVAS código capaz de invadir uma máquina Windows (Vista, Windows 2008 e versões Release Candidate do Windows 7) remotamente utilizando a vulnerabilidade descoberta por Laurent Gaffié (detalhes abaixo).

Certamente os black hats já desenvolveram códigos efetivos similares.

fontes:
[ Post Original - 10/09/2009 ]

O pesquisador de vulnerabilidades canadense Laurent Gaffié publicou em seu blog nesta segunda-feira, 7 de setembro, dados sobre uma vulnerabilidade do protocolo SMB2 em várias versões modernas do Microsoft Windows:
  • Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
  • Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
(as versões Release Candidates do Windows 7 também estão vulneráveis).

Em um movimento arriscado ele divulgou também um código plenamente efetivo na linguagem python que - quando executado em direção à uma máquina Windows produz uma tela-azul-da-morte (Blue Screen of Death) instantânea - como a da foto acima.

Eu achei um tempo hoje para testar o módulo do metasploit e o código python original contra uma máquina Vista 64Bits Home Edition em português e outra Windows 7 RC em Inglês, e ambos os exploits funcionaram: tela azul instantânea. Impressionante o efeito destrutivo de um simples caractere "&" inesperado em um cabeçalho SMB ...

Vale a pena ressaltar que
há possibilidade de execução remota de código explorando a mesma falha, mas ainda náo foi divulgado nnehum exploit com este objetivo.

A divulgação prematura do código de exploração
(antes que a Microsoft conseguisse gerar um patch de correção para a vulnerabilidade) gerou várias discussões sobre o movimento "Full Disclosure" de vulnerabilidades versus a notificação responsável das mesmas aos fabricantes.

Os defensores da divulgação aberta de falhas - considerada irresponsável pela Microsoft e outros vendors - argumentam que vários grupos hacker podem possuir conhecimento e já explorem as vulnerabilidades "0-day" e por isto divulgando publicamente há uma pressão sobre os fabricantes para que a correção saia antes, protegendo assim o usuário final.

A página sobre este assunto do CERT traz uma entrada nas perguntas frequentes que fala exatamente desta situação:

Q: Wouldn't it be better to keep vulnerabilities quiet if there isn't a fix available?

A: Vulnerabilities are routinely discovered and disclosed, frequently before vendors have had a fair opportunity to provide a fix, and disclosure often includes working exploits. In our experience, if there is not responsible, qualified disclosure of vulnerability information then researchers, programmers, system administrators, and other IT professionals who discover vulnerabilities often feel they have no choice but to make the information public in an attempt to coerce the vendors into addressing the problem.

Outra faceta desta divulgacão é a certeza da utilização do exploit por script kiddies e talvez a reaparição de programas hackers "low-tech" como o WinNuke - da epóca do Windows 95 - onde o atacante somente precisava entrar o nome ou IP da vítima para gerar um BSOD via uma a exploracão de uma vulnerabilidade NetBios.

Como se proteger do ataque:

  1. Se certifique que o firewall do Windows está ativo e bloqueando a porta 445/tcp
  2. Desabilite o compartilhamento de arquivos (file-sharing)
  3. Desabilite a versão 2 do protocolo SMB (veja como)

Mais detalhes sobre a vulnerabilidade / exploit:

Sunday, November 8, 2009

Expressoes Regulares em Resposta a Incidentes


A utilização de expressões regulares para filtragens, criação de regras, alertas, condições, entre outras funcionalidades é uma das ferramentas técnicas que une as diversas tecnologias utilizadas para resposta a incidentes de segurança e forense computacional.

Antes de prosseguir, precisamos ter em mente que a utilização de pattern matching - apesar de extremamente útil - sempre nos trará um número de falsos-positivos e falsos-negativos.

Praticamente todas as linguagens de programação suportam o uso das expressões regulares, por exemplo: .NET, Java, Javascript, Lua, Perl, PHP, Python, Ruby e Tcl nem mesmo precisam de chamada a módulos externos por suportar nativamente regex.

Do ponto de vista das diferentes implementações, a
PCRE (Perl Compatible Regular Expressions) é a mais completa, por suportar diretivas, condicionais, referencias nominais, grupos atômicos, comentários, código embutido, matching parcial e unicode.

No caso da Resposta a Incidentes e Forense computacional,
as expressões regulares representam um papel fundamental tanto na 1) Correlação de Logs e Eventos de Segurança, quanto na 2) Monitoração e/ou Forense de Rede, quanto na 3) Forense de Mídias (local ou remotamente).


1) Correlação de Logs e Eventos de Segurança
As expressões regulares são fundamentais para o processamento direto de arquivos de log e outras evidências. em ferramentas como grep, awk, sed e o próprio perl (exemplo). Além disto, as ferramentas empresariais de SIEM/SIM durante as fases filtragem de dados, na normalização e categorização de eventos e também na correlação de informações e criação de alertas (exemplo).

2) Monitoração e/ou Forense de Rede


Desde as ferramentas básicas como IDS/IPS (como o suporte a PCRE do
Snort ou o uso de regex com o ngrep) até filtros de conteúdo, e as ferramentas de Forense de Rede (exemplo: no NetWitness você pode utilizar expressões regulares para pesquisas avançadas em conteúdos, metadados, ou para identificação de detalhes de protocolos/aplicações com a tecnologia de FlexParser)

3) Forense de Mídias

O uso de expressões regulares está entre as análises mais comuns que são utilizadas em forense computacional (seja em frameworks GPL como o CAINE e o SIFT, seja em ferramentas comerciais como o FTK e ENCASE).
Isto vale tanto na para criação de palavras-chave para pesquisa quanto para a identificação de assinaturas de arquivos / análise de extensão versus header (Exemplo: os primeiros bytes de um JPEG padrão iniciarão com [\xFF\xD8\xFF[\xE0\xEE] - onde \x significa um valor hexadecimal e as chaves significam ou E0 ou EE).

Referências:

Seguem algumas referências para facilitar o treinamento de equipes que precisam utilizar expressões regulares em seu dia-a-dia:

1 - http://gskinner.com/RegExr/ - editor de expressões regulares em versão online e desktop
2 - http://ryanswanson.com/regexp/#start - flex 3 regular expression explorer (obrigado @welias)
3 - Regex Coach - Programa (Win/Linux) gratuito para auxiliar a criação de regexes;
4 - http://www.regular-expressions.info/ - repositório com exemplos, sintaxe, referências, livros, etc;

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) windows (13) ddos (12) vazamento de informações (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) privacidade (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)