sexta-feira, 28 de fevereiro de 2014

E ai galera! Mais um vídeo e ainda em dia! :)

Hoje vamos ver algo bem simples. Para quê rodar um scan completo em diversas portas causando um ruído absurdo na rede se você precisa apenas de algumas portas?

Vejam a seguir alguns exemplos:

Podemos usar a flag -p para especificar uma porta para ser escaneada:

# nmap -p 80 10.12.2.108

Outra coisa que pode ser feito no scan é especificar o protocolo, usamos T para TCP e U para UDP:

# nmap -p T:80 10.12.2.108
#nmap -p U:53 10.12.2.108

Podemos também especificar diversas portas em um único scan:

# nmap -p 80,443 10.12.2.108

Ranges também podem ser passados nas portas:

# nmap -p 80-200 10.12.2.108

O nmap tem por padrão uma listagem de quais portas são mais importantes, um scan normal mostra as 1000 portas mais usadas. Podemos mudar a quantidade usando a flag --top-ports:

# nmap --top-ports 5 10.12.2.108

No exemplo acima, serão escaneadas apenas as 5 portas que o nmap julga mais importantes.


E era isso!

Eu fico por aqui, até sexta que vem com mais dicas do nmap.

Bons estudos!
Fala galera!

Hoje venho aqui  apresentar a vocês a ferramenta Network Tools, uma ferramenta para footprinting, desenvolvida pela 3TM para a plataforma android, já testei e gostei bastante, pois é uma aplicação que poupa todo o trabalho de ter que utilizar ferramentas online ou até mesmo usar seu Prompt de comando do Windows ou Shell do Linux para se adquirir informações de algum site ou servidor, de forma segura e prática!

Suas principais funções:

- Ping;
- Traceroute;
- DNS lookup;
- Who Is query;
- WebGet;
- Subnet scanner;
- Subnet calculator;
- IP converter

Vamos falar passo a passo, sobre as funções principais PING, DNS, TRACEROUTE, WHOIS e WEBGET

Ping:


Utilizaremos o Google.com para essa pequena demonstração em imagens da utilização da ferramenta:

 

Resultado parcial, para mais detalhes, utiliza a função PING DETAILS:


DNS:


Continuamos com o Google.com para nossos testes:


Observem na imagem  que adquirimos o DNS do Google, porém não é só ele, utilize a função DNS FULL INFORMATION

Pronto, todos os endereços DNS do Google foram adquiridos.

TraceRoute:

Utilizaremos o DNS do Google para analisar:



Acreditam se eu disser que ficou assim por 5 minutos e não emitiu resultado? Como eu estava sem tempo no momento, não esperei acabar, porém, outra hora atualizo o artigo, e demonstro as demais funções do Tracert!

WHOIS:

Agora vamos obter as informações do DNS do GOOGLE;



Observem que a Ferramenta, entregou todos os resultados possíveis e públicos disponíveis do Google..

WebGet:

Interessante essa função dessa ferramenta, pois ela faz a medição da velocidade da sua conexão de internet, no meu teste deu 781.25 kbps a velocidade...


Resumindo, esse aplicativo é excelente, simples e de fácil utilização!

Porém não é a melhor ferramenta para levantamento de informações de sites e servidores, é claro e lógico que existem ferramentas muito mais planejadas e com mais funções que esta. Por Exemplo o FING(baseado em algumas funções do Nmap) e DSploit, são ferramentas para android formidáveis e já falamos sobre algumas aqui mesmo no blog.

Essa ferramenta é um encanto, por ser simples, e por ser leve! Aproveitem pois é de graça!
Um grande ponto negativo, são as propagandas que aparecem(Observem nas imagens), porém, como todos sabemos, os desenvolvedores ganham em cima dos clicks nos anúncios, então, é tolerar!

Faça o Download Seguro Pela Google Play!

Até a próxima!

quarta-feira, 26 de fevereiro de 2014

O Uptime Institute, entidade que avalia e certifica data centers ao redor do mundo anunciou hoje os 18 vencedores do primeiro Prêmio Brill de Eficiência em TI, e o Brasil figurou na lista, representado pelo banco Itaú Unibanco.

Segundo o Uptime, cerca de cem candidatos em 19 países foram avaliados por 90 profissionais do setor. Eles escolheram os projetos que melhor demonstraram a eficiência em operações de data centers e TI no sentido mais amplo do termo.

Os quesitos avaliados foram eficiência de aplicação do capital, tecnologia, projeto, operações e administração geral.

No caso do Itaú, o projeto premiado foi o do novo data center da instituição, um investimento de R$ 2,3 bilhões em Mogi Mirim, interior de São Paulo.

Com área de 800 mil metros quadrados, o novo centro foi desenhado sob conceitos de green IT. A política de sustentabilidade do local foi comendada pelo instituito.

"O Itau Unibanco implementou um sistema de ponta para o tratamento de resíduos. O projeto reduziu o consumo de água em 35%", divulgou o Uptime ao comentar o case da da empresa premiada.

Confira abaixo a lista de empresas vencedoras:

Chemical Abstracts Service
Compass
Digital Realty
DTTC
eBay
Entel
Fidelity
Itau Unibanco
Kaiser Permanente
LG CNS
Morgan Stanley
New South Wales, Australia, Department of Finance and Services
Petroleum Geo-Services
Portugal Telecom
Savvis
Sonda
Taiwan Mobile
Telefonica

Fonte: Baguete

segunda-feira, 24 de fevereiro de 2014



O Blackphone, smartphone focado em segurança e privacidade, está saindo, mas se você pensa que é um escudo contra a NSA ou outras agencias de inteligência, você está sem sorte.

Os desenvolvedores deste aparelho, que será revelado Segunda-Feira na Mobile World Congress em Barcelona, prometem que será o aparelho mais seguro do mercado. Mas eles admitiram que tem alguns que não se pode proteger.

"Não há nenhum dispositivo, que é à prova de NSA", disse Mike Janke , co-fundador e CEO de Silent Circle, em entrevista ao Mashable, antes do lançamento. "Se você está na lista de terroristas ou de um criminoso procurado, os serviços de inteligência vai entrar em seu aparelho ... Não há tal coisa como 100% seguro de telefone ."

A fim de fazer isso, Janke e outros co-fundadores do Silent Circle, Phil Zimmermann, criador do software PGP para privacidade e-mail, e Jon Callas, um criptógrafo respeitado, sabiam que não podiam oferecer que sem fazer o seu próprio telefone.

"Nós sempre pensamos que , a fim de ter o que chamaríamos de um melhor nível de segurança para os indivíduos e organizações que tivemos para o próprio ecossistema ", disse Janke . " E a única maneira de fazer isso era para o próprio sistema operacional e do próprio dispositivo."

É por isso que recusou ofertas de "grandes fabricantes de celulares" a parceria com eles na fabricação de um telefone com marca de Silent Circle, em vez olhou para os parceiros para tornar o telefone seu, para que eles pudessem controlar todo o processo. Quando eles conheceram o pessoal da Geeksphone, Janke disse que ele sabia que eles eram o parceiro certo.



O recurso de privacidade principal do blackphone será a sua versão personalizada do Android chamado PrivatOS , que , de acordo com Janke , permitirá que os usuários "possam controlar cada parte do que os dados de seu telefone está vazando , as suas chamadas, os seus contactos , a sua navegação na web e que qualquer aplicativo que colocar em seu telefone pode fazer . "

O que isto significa é que os usuários serão capazes de controlar e alternar as permissões para todos os aplicativos que baixar , de acordo com Janke .
PrivatOS também irá incluir o conjunto completo de aplicativos criptografados de comunicação da Silent Circle (com uma assinatura de dois anos) , 5 GB de armazenamento em nuvem criptografado cortesia do SpiderOak , e navegação anônima e Virtual Private Network da Disconnect.me.


Janke, como ele prometeu quando blackphone foi anunciado, disseram que vão fazer PrivatOS open source, mas ele não deu um prazo , apenas que ele será " o mais rápido possível . "


PEC Technologies também revelou especificações completas do Blakphone : 2 GHz quad-core system-on -a-chip do processador ( SoC) , tela de 720p IPS de 4,7 polegadas , 2GB de RAM, 16GB de armazenamento , uma câmera de 8 megapixels principal com flash, e uma câmera frontal de 1.3MP . O telefone , que só será vendido desbloqueado, vai custar US $ 629.


Os primeiros Blackphones , de acordo com PEC Technologies, serão enviados aos clientes em junho de 2014, mas o telefone já está disponível para pré-encomenda.


Fonte: Mashable.com
A Eccouncil, organização que certifica profissionais em segurança da informação, transformando hackers em pentesters profissionais foi hackeada. Sim, você leu certo, a organização que da a CEH (Certified Ethical Hacker) e outras foi hackeada. Não estamos criticando aqui as certificações ou modelo de negócio. O site já está fora do ar, mas se você entrasse na página a algumas horas atrás iria ver a seguinte página:


Podemos analisar um pouco mais a fundo a situação. Após isso, muitas questões e preocupações serão levantadas, e muitas pessoas apontarão o dedo para a Eccouncil. Podemos confiar nos certificados deles se eles não são seguros? 

Sim, a concorrência vai cair em cima do acontecimento, vamos ver em algum tempo como a Eccouncil vai lidar com isso e aguardar uma declaração.

E você, o que acha disso?

Fonte: E-hacking

sábado, 22 de fevereiro de 2014

Olá!

Hoje vamos ver alguns scans rápidos do nmap. O primeiro deles é o ping scan, com ele podemos dar um ping em toda a rede para descobrir quais máquinas estão ligadas. Você provavelmente já deve ter visto essa flag em outros vídeos dessa série.

# nmap -sP 10.12.2.1/24

Outra flag interessante é a -F, que serve para um scan simples e rápido:

# nmap -F 10.12.2.108

Podemos também filtrar nossos resultados para mostrar apenas as portas abertas:

# nmap --open 10.12.2.108

Outra maneira interessante de filtrar é pelo tipo de pacote que foi enviado:

# nmap --reason 10.12.2.108

E por ultimo, podemos usar uma flag para ver todo o tráfego de pacote do nmap:

# nmap --packet-trace 10.12.2.108

E era isso por hoje!




Eu fico por aqui, mas semana que vem tem mais!

quarta-feira, 19 de fevereiro de 2014

Fala galera! Hoje venho aqui trazer uma notícia interessante, o nosso blog fechou parceria com o fórum Made In Brazil, para quem não conhece, teve seu auge alguns anos, e hoje retorna com tudo, graças a Seu administrador Hannibal!

Segue o link do fórum:

http://madeinbrazil.umforum.net/forum


Todos convidados a participar, vale lembrar, que esse fórum tinha como membros alguns dos mais notáveis Defacers do Brasil! Venha conhecer o MIB!
E ai pessoal!

Gostariam de aprender, conhecer mais ou se dedicar a arte de enganar e manipular? No nosso fórum temos uma área dedicada para o estudo desta arte. Não deixe de conferir!

http://forum.brutalsecurity.com.br/f60-engenharia-social

Confira também as outras áreas do fórum, em 1 mês já conseguimos mais de 300 mensagens sobre diversos temas para você. Dê uma passadinha por lá!

terça-feira, 18 de fevereiro de 2014

Pesquisadores da empresa de segurança IOActive divulgaram nesta terça-feira um alerta sobre vulnerabilidades em sistemas de automação residencial da Belkin. As várias brechas, de acordo com a companhia, foram encontradas em dispositivos da linha WeMo, e permitem que invasores consigam controlar remotamente a iluminação e o termostato da casa, por exemplo, e até mesmo acessar a rede LAN do local.

Os produtos da linha tornam possível usar smartphones, tablets ou uma interface web para ligar, desligar, regular e mover diferentes aparelhos na residência, tudo à distância. Parece ótimo, mas esses mesmos dispositivos não são tão inteligentes quanto parecem: de acordo com a publicação da IOActive, eles simplesmente deixam expostas senhas e chaves de criptografia usadas para checar a legitimidade de updates de firmware.

Com a ajuda desse “vazamento”, invasores conseguem quebrar tranquilamente o sistema de segurança e enviar atualizações maliciosas aos produtos WeMo. Curiosamente, nem mesmo o uso de um firewall resolve o problema, já que os updates foram feitos para, basicamente, passar por cima dessas proteções.

Depois que as “novas versões” são instaladas, os dispositivos podem passar a agir sob o controle dos crackers – que, se forem simplesmente bem-humorados, serão capazes de fazer a luz funcionar como a de uma casa mal-assombrada, por exemplo. Veja um exemplo no vídeo a seguir.



As consequências, no entanto, podem ser bem piores. Como alerta a própria IOActive, há sempre a possibilidade de se causar um curto-circuito e, posteriormente, até mesmo um incêndio doméstico – e tudo remotamente. E como há, nas estimativas da companhia de segurança, cerca de 500 mil dispositivos WeMo espalhados pelo mundo, dá para imaginar o estrago que a vulnerabilidade pode provocar se for aproveitada.

Problemas na automação – As brechas de segurança nos dispositivos da linha da Belkin mostram que os sistemas de automação residencial ainda precisam de algum cuidado. Mais ainda nos holofotes graças à recente aquisição da Nest pelo Google, eles são tidos como parte essencial da “casa do futuro” – mas antes disso, questões básicas de proteção, como o cuidado com chaves de criptografia, não podem mais ser deixadas de lado.

A IOActive entregou ao CERT norte-americano as informações relacionadas às vulnerabilidades, e o próprio órgão emitiu um alerta para que usuários deixassem de lado os produtos da linha problemática, ao menos por ora. A Belkin ainda não se manifestou em relação ao caso, e também não liberou uma correção para a falha.

Aliás, curiosamente, essa é a segunda questão de segurança envolvendo a empresa em menos de uma semana. Na última sexta-feira, roteadores da Linksys (que pertece à Belkin, e não mais à Cisco) se mostraram vulneráveis a um malware "auto-replicável".

Fonte: Revista Info
Fala galera, quanto tempo sem aparecer por aqui..
Então, durante alguns meses, fiz levantamentos entre aplicativos para o sistema Android, testei o desempenho de cada um e suas atualizações mensais, alguns deixaram muito desejar, e outros, com toda a certeza se destacaram em suas funções. Vamos lá!

Navegador Web:

UC Browser

Foi o navegador gratuito que mais se destacou, tem uma interface otima e agradavel. Por ele, é possivel assim videos em Stream ou Baixá-los, o mesmo se aplica a músicas.
Uma grande função deste navegador é a opção de se adaptar a diferentes tipos de conexão, em sua configuração, é possivel alterar como você quer carregar a pagina web, de forma leve, celular ou desktop, fica a seu critério e a velocidade de sua conexão!

Confira as principais características:
1. AutoPager
Experimente ter a próxima página automaticamente carregada quando você chegar no final da página em uso. Funciona com a Versão Leve em sites como Google, Twitter, Facebook e muito mais.
2. Modo Rápido II
Um novo Modo Rápido que busca automaticamente a versão mais adequada para as páginas de acordo com a sua conexão de rede.
3. Download mais veloz
Melhora a eficiência da sua internet para dobrar a velocidade dos downloads.
4. Ainda mais rápido
Além da melhoria de desempenho, essa nova versão vem com mais velocidade e estabilidade.
5. Centro de aplicativos da web
Encontre os melhores aplicativos da web de um jeito fácil e sem se preocupar constantemente com o download, instalação e atualização.
6. Visualizador de imagem
Todas as imagens da página atual são colocadas em um mesmo local para facilitar a visualização.
7. UC Desktop Widget
Com esse complemento, você pode criar um widget na sua tela inicial e acessar facilmente os serviços do UC Browser.
8. Mais fontes e idiomas
Novas fontes e maior suporte a idiomas como Tâmil, Telugu, Malaiala e muito mais.
9. Melhorias gerais
Aperfeiçoamento da digitação, ajuste da fonte, movimento da tela, etc.


Link de Download: https://play.google.com/store/apps/details?id=com.UCMobile.intl&hl=pt_BR
Site oficial: http://www.ucweb.com/

Otimizador de sistema

Clean Master

Sem dúvida alguma, esse é o melhor aplicativo para otimização de um sistema. Suas principais funções, são baseadas em Limpeza de cache do sistema android, Limpeza de memoria ram do seu dispositivo, backup de aplicativos, desinstalação de aplicativos com remoção completa de logs entre outras. Com certeza esse é melhor aplicativo de otimização.

Confira mais sobre o Clean Master!

Link de Download: https://play.google.com/store/apps/details?id=com.cleanmaster.mguard&hl=pt_BR
Site oficial: http://www.ksmobile.com/


Firewal

Android Firewal

Vejamos, um firewal baseado no codigo fonte do IPTables(Firewal do Linux), e com interface de facil utilização, o que isso seria? Lógico que uma grande arma de defesa para seu dispositivo android! Vale ressaltar que, todo e qualquer aplicativo android mesmo que por meio indiscreto, acaba se conectando a internet, e esse firewal para android acaba sendo nosso grande herói nesse momento, pois com ele, é  possivel bloquear tais conexões de seus aplicativos com a internet, assim formando um escudo entre suas informações e a internet, além de não permitir um congestionamento na sua conexão. Vale lembrar que esse aplicativo está totalmente em inglês, porém, sua interface é de fácil entendimento.

Suas funções e caracteristicas;

Holo UI for all users.
Navigation Drawer.
Help section that is actually helpful now.
Profiles - up to 6 which are created from your exported rules files.
Ability to export and import rules to files. These store ALL settings for fine-grained control of your profiles.
Tasker/Locale Support.
Roaming Support.
VPN Support.
LAN Support.
SDCard Support for users who have a lot of apps installed on their SDCard.
Tethering Support.
Multiple languages and the ability to choose your language.
x86 Support for users with Intel based Android devices.
INPUT Chain support for Android 4.x. Older kernels do not support owner matching so INPUT chains will not work on older Android versions.
Multi-user support for Tablets.
Ability to log both rejected and accepted packets.
Send error reports to developer.
Application shortcuts for your homescreen. These shortcuts are for quickly enabling/disabling the firewall and swapping profiles.
Llama and Macrodroid support via the shortcuts.


Link de download: https://play.google.com/store/apps/details?id=com.jtschohl.androidfirewall&hl=pt_BR


Anti Virus

CM Security

Anti virus da mesma empresa do clean master, otimo reparador de vulnerabilidades, otimo scanner de malware entre outros servers maliciosos, rapido, leve e eficaz, com certeza está entre os melhores anti virus para android até hoje.

Destaques do CM (Cleanmaster):

Anti-vírus Nº1: Alimentado por núcleos locais e em nuvem em modo duplo com 16 anos de história, que é repetidamente classificado como primeiro pelo AV-TEST e AV-Comparatives. Detecta vírus, trojans, vulnerabilidades, adwares e spywares de modo abrangente em dispositivos móveis Android e em tablets.

Proteção de múltipla camada: Faça uma varredura em novos aplicativos, atualizações, sistemas de arquivo e páginas de internet para garantir a segurança de seu dispositivo em tempo real

Rápido e conveniente: A varredura leva apenas 5 segundos, 500% mais rápido do que os outros aplicativos anti-vírus pagos. CM (Cleanmaster) Security também é leve, ocupando metade da memória em comparação com seus concorrentes e o tamanho do arquivo APK é de apenas 2,1MB. Integrado com as características de limpeza e melhoria mais bem classificadas, seu dispositivo pode ficar mais leve, rápido e mais seguro.

Características do CM (Cleanmaster) Security:

► VERIFICAÇÃO DE SISTEMA E APLICATIVOS
Faça varreduras em aplicativos pré-instalados/instalados e no sistema de arquivos para manter seu celular protegido de vírus, trojan, vulnerabilidades, adware e spywayre
► VERIFICAÇÃO DE CARTÃO SD
Faça varreduras detalhadas de cartões SD externos para detectar e excluir ameaças
► VERIFICAÇÃO NA INSTALAÇÃO
Proteja seu dispositivo com varreduras em tempo real de novos aplicativos e atualizações
► VERIFICAÇÃO AGENDADA
As varreduras automáticas de rotina permitem uma segurança passiva
► LIMPEZA DE ARQUIVOS DESNECESSÁRIOS
O removedor de arquivos desnecessários mais bem classificado, capaz de limpar mais de 50% mais em comparação com os concorrentes.
► BLOQUEIO DE LIGAÇÕES
Bloqueie chamadas não desejadas conforme sua necessidade.
► NAVEGAÇÃO SEGURA
Bloqueie URLs maliciosas e se proteja contra páginas de phising com notificações de aviso instantâneos.
 

Link de Download: https://play.google.com/store/apps/details?id=com.cleanmaster.security&hl=pt-br 
Site oficial: http://www.ksmobile.com/

Gostou desse artigo? Veja esse e demais artigos em nosso fórum, visite;

http://forum.brutalsecurity.com.br/


Cadastre-se é de graça :D

segunda-feira, 17 de fevereiro de 2014

O app Mandic magiC lançado pelo renomado empresário Aleksandar Mandic esta disponível para iPhone e Windows Phone é um excelente aplicativo que centraliza senhas compartilhadas por diversos usuários de todo o Brasil frequentadores de locais públicos que disponibilizam acesso a rede Wi-Fi.
Site Oficial: www.mandicmagic.com
Imagens do App:
Neste caso o usuário conseguiu estabelecer acesso a rede do estabelecimento SESC Pinheiros através da senha:coqueiro
mandicmagic01
Atenção:
Ao se conectar há redes públicas evite acessar sistemas que requer algum tipo de senha para acessos como, Redes Sociais, E-mails, Bancos, entre outros, seus dados podem ser facilmente capturados por pessoas má intencionas, alerta seus amigos sobre os riscos.

Vi lá no 100Security!

sexta-feira, 14 de fevereiro de 2014

Olá!

Mais um vídeo sobre o nmap, hoje vamos descobrir como utilizar essa ferramenta para descobrir a o sistema operacional e a versão.

O nmap tem uma flag especial para detecção de S.O., que é a -O, mas nesse tutorial vamos usar a -A, que pode nos dar algumas outras informações junto com o sistema e sua versão. Com essa flag poderemos ver o nome da máquina na rede, informações do smb, assinatura do sistema e de serviços, e muito mais. O comando que utilizaremos aqui é o seguinte:

# nmap -v -A 192.168.1.7

DICA: Muito cuidado com esse scan, ele gera bastante ruído na rede, isso quer dizer, se tiver algum sistema de monitoramento na rede você provavelmente acenderá uma luz vermelha piscando na tela do adm. Aprenderemos mais a frente como burlar esse tipo de monitoramento.

Neste primeiro exemplo, o nmap não foi capaz de identificar o sistema, nem com o NSE (Nmap Scripting Engine), então ele retornou a assinatura do sistema para caso você saiba qual é o sistema, encaminhar para a equipe do nmap adicionar ao seu banco de dados.

Rodando o scan novamente em outra máquina:

# nmap -v -A 192.168.1.5

OBS: Este é um scan demorado, pode levar alguns minutos para terminar...

Neste segundo caso ele conseguiu encontrar, e veja a precisão que esta ferramenta tem. O alvo era um Apple TV, um dispositivo de mídia da Apple, algo bem fora do padrão e mesmo assim ele conseguiu identificar o que era e sugerir as possíveis versões do sistema.



Eu fico por aqui, bons estudos e semana que vem tem mais! ;)

Não se esqueça de curtir o vídeo, se inscrever no canal e compartilhar para seus amigos!

quarta-feira, 12 de fevereiro de 2014



Pesquisadores de segurança da Kaspersky anunciaram a descoberta de uma ameaça de espionagem cibernética que eles dizem ser a mais avançada do mundo. Imensamente poderosa e difícil de ser detectada, ela está ativa desde 2007, ao menos, com alvo em governos, embaixadas e empresas de energia. E ninguém sabe de onde veio.

Chamada “Careto”, personagem mascarado do carnaval de Portugal e uma palavra que aparece em parte dos códigos, o vírus se aproveita de emails de phishing com links maliciosos disfarçados de subdomínios de sites conhecidos como The Washington Post ou The Guardian. Após a infecção, os links maliciosos redirecionam para sites legítimos referenciados no email para cobrir seus rastros.

Assim que baixado, o Careto coletava uma enorme quantidade de documentos do sistema infectado, com foco principalmente em dados confidenciais ou especializados: chaves de criptografia, configurações VPN, chaves SSH e mais. E não para por aí: segundo a Kaspersky, “diversas extensões desconhecidas eram monitoradas [pelo malware] e não conseguimos identificar. Podem ser relacionadas a ferramentas personalizadas de criptografia em nivel militar ou governamental.” Do ponto de vista de segurança, a infecção é desastrosa: o Careto consegue acessar o tráfego de rede e guardar teclas digitadas e conversas no Skype, entre muitas outras coisas.

A complexidade do Careto e o alto nível de refinamento indicam que ele não foi criado em um porão hacker. É uma das ameaças mais avançadas já detectadas pela Kaspersky, superando até o enigmático Duqu Trojan. O Careto se esconde em versões antigas de softwares de segurança da Kaspersky, tornando-se invisível em varreduras de rotina, e é capaz de atingir Windows, Linux, Mac e possivelmente Android e iOS. O malware é altamente refinado, e gerenciado em um nível de segurança que a Kaspersky diz “não ser normal para grupos de cibercriminosos”, o que faz com que eles acreditem que seja um ataque financiado por algum estado.

O alcance total do Careto não é conhecido, mas a Kaspersky identificou vítimas em mais de 1000 endereços de IP e 31 países, principalmente instituições governamentais, escritórios diplomáticos e empresas privadas poderosas, especialmente indústrias de gás e petróleo.

Então qual grupo financiado por algum estado está por trás dele? Ninguém sabe. A Kaspersky acredita que a presença de palavras espanholas no programa não ajudam a determinar uma região geográfica – pode ser apenas uma distração.

No momento ele está inativo (os hackers começaram a desligar os servidores do Careto em janeiro, quando a Kaspersky começou a investigação), mas nada impede que os responsáveis pelo ataque reativem o malware a qualquer momento. Ele se aproveita de vulnerabilidades de software já corrigidas há cinco anos pela Kaspersky, mas, como atingiu mais de 380 vítimas de alto nível em 31 países, o Careto ainda é uma ameaça real. Sem contar que os responsáveis por ele sabem muito bem o que estão fazendo.

Uma coisa está clara: com um design e alvos de alto nível, o Careto é muito mais do que um ataque médio a cartões de crédito. E seu período de hibernação pode não durar para sempre. [Securelist via ZDnet]

Referência: http://gizmodo.uol.com.br/careto-malware/

terça-feira, 11 de fevereiro de 2014

Os criminosos virtuais estão sem dúvida ficando mais criativos e sabendo como desviar-se de filtros de correio eletrônico. É a segunda vez em menos de 30 dias que um novo e-mail suspeito passa pelo filtro de anti-spam e cai na minha caixa de entrada como um e-mail válido. Desta vez, até com imagem de cheques atachados (como se fossem imagem) no e-mail. Veja abaixo o e-mail:

image
O e-mail é suspeito para mim pois as assinaturas nos cheques não são minhas e ao apontar para cada um destas imagens anexadas o browser mostra na barra de tarefas o link para uma URL que está se tornando muito comum para este tipo de golpe no Brasil (image). Não necessariamente a URL vai ser exatamente a mesma, porém existem dois pontos que venho notado vem se repetindo com frequencia:
  • Eles (criminosos) estão utilizando SSL (HTTPS) para que os inviduos que estam atrás de um firewall que não tem inspeção SSL possam fazer o download do arquivo sem que o Firewall consiga inspecionar o conteúdo
  • Eles (criminosos) utilizão na maioria das vezes uma URL comprimida de algum serviço público de compressão de URL.
Para confimar a suspeita resolvi fazer o download dos arquivos no meu ambiente isolado de rede, usando uma máquina virtual que é específica para este intuito (ser infectada).
Recaptulando o Caso da Semana Passada
Na semana passada quando escrevi este post, eu também fiz o teste e o arquivo que baixou foi um EXE que continha um trojan conforme capturado pelo Security Essentials:
image
Esste Trojan (Banload) é conhecido por ser membro da família do Win32/Banker, que por sua vez é um trojan que rouba credenciais de bancos. É um trojan muito utilizado no Brasil.
Continuando a Investigação
Resolvi baixar o arquivo, ou seja, clicar na imagem e o que me vem para abrir não é um JPG (claro já sabia), é um arquivo ZIP:
image
Note que aqui houveram dois encapsulamentos: a comunicação ocorreu via SSL e o arquivo (provavelmente infectado) está dentro de um ZIP. Tudo na tentativa de obfuscar o firewall de borda durante a inspeção de conteúdo (se você usar o HTTPS Inspection do velho TMG, ele vai fazer a inspeção profunda mesmo com estas duas camadas de encapsulamento).
Após baixar o arquivo ZIP, fiz a estração do conteúdo e então me deparei com o arquivo “Cheque Protestado.CPL”, que mais uma vez é extremamente usado no Brasil, inclusive neste paper sobre CPL Malware da Trend Micro o autor reporta isso (extremamente recomendado ler este paper).
Para ler este arquivo de forma segura eu usei o PE Explorer e depois fiz o disassembler do arquivo conforme mostra a figura abaixo:
image
Os padrões encontrados são muitos parecidos com o CPL referenciado no paper da TrendMicro (página 7).
Conclusão
Mais uma vez, fique atento a qualquer e-mail suspeita, e não abra arquivos CPL, pois o AV não vai identificar como malicioso, mas ao executar ele vai fazer contato com outra URL para baixar uma variante do malware. Muitas vezes o CPL vai apenas agir como um “dropper”.
Fique atento!

Post retirado do blog do Yuri Diogenes

segunda-feira, 10 de fevereiro de 2014


O ex-técnico da CIA Edward Snowden utilizou ferramentas de baixo custo amplamente disponíveis para se infiltrar nas redes da Agência de Segurança Nacional dos EUA (NSA) e acessar cerca de dois milhões de documentos confidenciais, publicou neste sábado o "New York Times".

Funcionários de inteligência consultados pelo jornal disseram que Snowden, que está asilado em Moscou, utilizou programas de rastreamento online ("web crawler") que buscam, indexam e duplicam lugares web.

"Não achamos que isto tenha sido trabalho de um indivíduo sentado em uma máquina e baixando este material sequencialmente", disse uma fonte da NSA, que assegurou que o processo estava "bastante automatizado".

O NYT classifica a revelação de "assombrosa" já que a missão da NSA inclui a proteção dos sistemas informáticos militares e de inteligência mais importantes do país contra possíveis ataques cibernéticos, principalmente à frente de operações mais sofisticadas com epicentro em Pequim ou Moscou.

Os pesquisadores concluíram que a atuação de Snowden foi muito pouco sofisticada e deveria de ter sido fácil de detectar.

O jovem analista conseguiu depois de três anos acumulando documento vazar informações confidenciais do Departamento de Estado para o Wikileaks, onde foram empregadas técnicas similares.

Snowden tinha acesso aos documentos da NSA porque trabalhava como contratista tecnológico da agência de inteligência no Havaí, ajudando a tramitar os sistemas informáticos da agência em um centro que se especializa na China e na Coreia do Norte.

Os rastreadores online ("web crawler"), conhecidos também como aranhas, se movimentam de forma automática de um site a outro e podem se programar para fazerem uma cópia de tudo o que encontrarem no caminho.

Aparentemente, Snowden teria estabelecido os parâmetros das buscas, incluídos que temas buscar e quão fundo pesquisar nos links nos documentos e outros dados nas redes internas da NSA.

O New York Times lembra que entre os materiais destacados nos documentos vazados por Snowden estão as "wikis" da agência, locais colaborativos nos quais analistas de inteligência e outros compartilham informação.

Funcionários da NSA disseram ao jornal que se Snowden tivesse trabalhado na sede central da agência, próxima à capital americana, teria sido mais fácil detectá-lo porque está equipada com sistemas de monitoração que detectam quando alguém acessa grandes volumes de documentos.

A NSA tem grandes barreiras eletrônicas para deter possíveis agressores externos, mas proteções muito rudimentares contra seus próprios empregados.

"Uma vez que está dentro se assume que é parte do sistema, como na maioria das organizações", disse Richard Bejtlich, um analista de segurança digital de Vale do Silício.

Os investigadores ainda não esclareceram se Snowden operava do Havaí por casualidade ou um movimento estratégico do ex-analista.

Snowden respondeu, através de um comunicado emitido por um de seus advogados que "é irônico que o governo esteja dando informação confidencial aos jornalistas em uma tentativa de me desacreditar por compartilhar informação confidencial".

"A diferença é que eu fiz para informar ao público sobre as ações do governo e eles o estão fazendo para desinformar o público sobre as minhas", acrescentou.

Fonte: Revista Info
seguranca-informacao-auditoria-linys
Imagem via Shutterstock
Ao consultarmos a Wikipedia, temos a seguinte (e mais adequada) definição para “Hardening“:
Hardening é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque. Normalmente, o processo inclui remover ou desabilitar nomes ou logins de usuários que não estejam mais em uso, além de serviços desnecessários. Outras providências que um processo de hardening pode incluir:
  • Limitar o software instalado aquele que se destina à função desejada do sistema;
  • Aplicar e manter os patches atualizados, tanto de sistema operacional quanto de aplicações;
  • Revisar e modificar as permissões dos sistemas de arquivos, em especial no que diz respeito a escrita e execução;
  • Reforçar a segurança do login, impondo uma política de senhas fortes.
Lembramos ainda que o processo de Hardening, tanto Físico assim como Lógico, consta na ISO 27002. (http://en.wikipedia.org/wiki/ISO/IEC_27002).
A proposta deste artigo é apresentar a ferramenta Lynis, desenvolvida por Michael Boelen (http://nl.linkedin.com/in/mboelen).

Lynis

O Lynis é uma ferramenta de auditoria para Unix/Linux que executa verificações de segurança e determina o estado da máquina. Quaisquer problemas de segurança detectados serão fornecidos na forma de uma sugestão ou aviso. Ao lado de informações de segurança, a ferramenta também buscará por informações gerais do sistema, os pacotes instalados e possíveis erros de configuração.
Este software tem como objetivo automatizar o processo de auditoria, endurecimento, gerenciamento de patches de software, vulnerabilidades e verificação de malwares dos sistemas baseados em Unix / Linux. Ele pode ser executado sem instalação prévia, de modo que é possível a inclusão em dispositivos como: Pendrive, CD’s, etc.
O Lynis auxilia auditores na realização da Basileia II, GLBA, HIPAA, PCI DSS e SOx (Sarbanes-Oxley) e relacionados.

Público-alvo:

Especialistas em Segurança, Pentesters, Auditores de Sistemas, Administradores de Redes.

Exemplos de testes de auditoria:

  • Métodos de autenticação disponíveis
  • Certificados SSL expirados
  • Softwares desatualizados
  • Contas de usuários sem senha
  • Permissões de arquivos incorretas
  • Erros de configuração
  • Auditoria Firewall

Cenário

Para os testes, utilizei os seguintes requerimentos:
  1. Sistema Operacional Debian 7
  2. Virtual Box 4.3.6
  3. Lynis 1.3.9

Instalação

O pacote do Lynis se encontra disponível nos repositórios do Debian. Para instalação do pacote, entre com o bom e velho “aptitude install <pacote>“, como demonstro a seguir:
2

Inicializando o Programa

Após instalado, podemos iniciá-lo.
No caso, entrarei com o parâmetro “–auditor” para especificar o nome do auditor.
E o parâmetro ” -c “, para uma checagem completa. Para demais parâmetros “ lynis -h “.
3
Sendo assim, ele iniciará a auditoria em seu sistema. Aguarde…
Obs:  As análises são interativas, logo, a cada varredura ele pedirá que você tecle <enter>

6
Alguns minutos depois, ele retornará na tela o “relatório” da auditoria realizada, contendo os ajustes e verificações que merecem uma atenção especial.
Com isso em mãos, você poderá analisar, uma vez que cada caso é um caso, e se necessário for, aplicar as devidas correções e modificações.
5

Conclusão

Evidentemente que existem diversas outras ferramentas para o processo de análise de segurança e auditoria de sistemas, mas o Lynis mostra ser uma excelente opção e cumpre muito bem sua tarefa. Segurança é uma tarefa árdua e complexa por si só e não se resume a uma única ferramenta (IDS, IPS, VPN, Implementar chroot, Desabilitar Ctrl + Alt + Del, Administrar Cotas em Disco, Honeypots, Firewall, etc) ou procedimentos, de qualquer maneira, o Lynis vem com o propósito de auxiliar Auditores de Sistemas, Administradores de Rede, e os profissionais de segurança como um todo.

Referências:

Créditos: Profissionais TI

sexta-feira, 7 de fevereiro de 2014

Sexta feira dia de vídeo novo no canal!

Continuando com a série de vídeos do nmap, hoje vamos ver rapidamente como escanear uma série de alvos e remover alguns da lista sem muito trabalho.

Isso pode ser útil em um pentenst se caso a empresa contratante tenha acordado em não testar a segurança de uma máquina específica, ou em uma rede inteira.

Vamos ao tutorial:

Primeiramente rodei o nmap com a flag -sP para verificar os hosts ativos:

# nmap -sP 192.168.1.1/24

Vemos com esse scan que temo diversas máquinas ligadas, no meu caso vou realizar novamente o scan agora sem passar pela máquina 192.168.1.10:

# nmap -sP 192.168.1.1/24 --exclude 192.168.1.10

Podemos ver que o mesmo scan foi realizado mas a flag --exclude removeu este host. O mesmo funciona para listas:

# nmap -sP -iL lista.txt --exclude 192.168.1.11

E por último, o inverso também funciona, usar uma lista de exclusão, mas nesse caso usaremos a flag --excludefile:

# nmap -sP -iL lista.txt --excludefile excluir.txt



E por hoje era isso, semana que vem tem mais!

Até a próxima e bons estudos

quarta-feira, 5 de fevereiro de 2014


Já está a venda o livro Crimes Virtuais, Vítimas reais. A obra foi escrita pelo criador do Blog Crimes pela Internet, Moisés de Oliveira Cassanti e aborda o assunto em uma linguagem simples trazendo para o leitor uma análise do problema e informações importantes para a prevenção e denúncia do crime, caso já tenha ocorrido.

O leitor encontrará também dicas como: endereço de todas as delegacias especializadas em crimes eletrônicos; como descobrir o IP de um e-mail recebido; como solicitar a remoção do conteúdo ilegal e/ou ofensivo diretamente ao provedor de serviço; como denunciar perfis roubados ou clonados; como investigar e apurar a autoria de crimes virtuais, entre outros.

Para adquiri-lo basta acessar o link:http://www.brasport.com.br/informatica-e-tecnologia/seguranca-br-2-3-4-5/crimes-virtuais-vitimas-reais.html

sábado, 1 de fevereiro de 2014

E ai galera!

Mais um vídeo continuando a série Nmap 101. Não reparem que o vídeo atrasou 1 dia, fui trolado pelo youtube :)

Hoje vamos ver como podemos automatizar um scan com listas.

Neste caso, teremos como objetivo escanear diversos IP's em diferentes redes e das mais diversas maneiras, como por exemplo pelo próprio IP ou pelo domínio.

Para este exemplo, eu já tenho uma lista de alvos em um arquivo .txt. Com o comando cat podemos ver o conteúdo dessa lista:

# cat lista.txt
www.brutalsecurity.com.br
localhost
192.168.1.11
192.168.1.1/24

Para usar essa lista como entrada de alvos no nmap podemos usar a flag -iL:

# nmap -v -iL lista.txt

Pode-se ver que o nmap vai seguir a ordem da lista e escanear alvo a alvo. Pode ser passado domínios, IP's (ipv4 e ipv6), ranges, subnets e etc.



Por hoje fico por aqui! Não esqueça de dar um gostei, se inscrever no canal e compartilhar este vídeo.
Até sexta que vem sem atrasos :)
Subscribe to RSS Feed Follow me on Twitter!