sexta-feira, 31 de outubro de 2014

Cibercriminosos conseguiram acessar uma rede de computadores da Casa Branca, sede da Presidência dos EUA, nas últimas semanas, disseram membros do órgão ao jornal Washington Post em reportagem publicada no final da terça-feira (28).

Há suspeita de que os hackers responsáveis sejam russos, segundo as fontes ouvidas pela publicação.

Não foi divulgado que tenha sido realizado qualquer dano ou roubo de informação.

Nesta quarta (29), a Casa Branca admitiu que investigava "atividade suspeita em sua rede", relata o The Guardian.

Os oficiais citados não se identificaram por não poder falar sobre uma investigação interna que ainda esteja sendo realizada, disse a publicação.

"Ao que analisamos as recentes ameaças, identificamos atividades de preocupação no escritório executivo da rede do presidente", disse uma das fontes do jornal. "Tomamos medidas imediatas para mitigar a atividade. Infelizmente, isso causou a interrupção de serviços a usuários, mas as pessoas estavam lidando com isso."

Alguns funcionários tiveram de trocar suas senhas para o acesso aos serviços virtuais internos.

O FBI, órgão de inteligência do governo federal, e a NSA, agência de segurança, estão envolvidos na investigação, segundo o Washington Post

Uma das fontes consultadas disse que o ataque é "consistente" com uma ação bancada por um Estado, o qual, ela acredita, é o russo.

Consultada pela BBC, a Casa Branca não se pronunciou.

Fonte: Folha de São Paulo

quarta-feira, 22 de outubro de 2014

E ai!

Neste ano na H2HC, uma das palestras que mais me chamou a atenção foi a palestra do Lindolfo Rodrigues, com o título, Optimize for Happiness, onde foi apresentado diversas curiosidades sobre sono, trabalho, foco, entre outras. O objetivo foi demonstrar como atividades e hábitos simples podem levar a uma vida melhor, com menos stress, e com a mesma (ou mais) energia, produtividade e tempo.

Diversas coisas foram apresentadas, boa parte eu já conhecia e estou terminando meus estudos para dominar as técnicas para poder postar aqui. Mas uma me saltou aos olhos, uma coisa que eu não sabia mas sentia que de alguma forma me prejudicava, e é sobre ela que escreverei aqui.

Atenção! Deixo aqui o mesmo disclaimer da palestra. Nem o Lindolfo Rodrigues nem eu somos médicos ou trabalhamos na área da saúde, isso quer dizer que os resultados obtidos são todos por experiência e por pesquisas próprias.

De acordo com a pesquisa do Lorn (Lindolfo Rodrigues), as telas de todos os seus dispositivos emitem uma tonalidade de azul que o cérebro intende como, nas próprias palavras do palestrante, "não precisa dormir, ainda é dia", ou seja, inibe um hormônio ou substância que causa sono e cansaço. Por isso que você sempre diz que vai só dar uma olhadinha no email e acaba ficando horas lá grudado. Mas existe um software para "corrigir" isto.

O software se chama f.lux e está disponível para Windows, Linux, Mac e iOS. O que o programa faz é modificar o nível da cor azul no monitor de acordo com a hora do dia, você programa a primeira vez e ele vai adaptando aos poucos. Outras funções que o software ajuda são ler melhor nos dispositivos e não causar aquela sensação ruim de doer ou cansar os olhos ao olhar para a tela brilhante a noite/manhã.

Estou usando o software a cerca de 4 dias desde a palestra e já estou totalmente acostumado com os tons amarelados da tela. No início é meio estranho ver o monitor amarelado, parece uma coisa antiga, assistir um filme também não é bom nessas configurações mas o importante é que ajuda muito.

Já me sinto muito melhor somando esta função as minhas outras atividades de produtividade. Deixo aqui a indicação e meu obrigado ao Lindolfo Rodrigues pela indicação do software.
E ai pessoal!

Achei por ai esse infográfico muito interessante com algumas informações interessantes para o pessoal iniciante se localizar na área. Fica a dica.


segunda-feira, 13 de outubro de 2014

A McAfee está fazendo um alerta para crianças e pais não serem alvos de malwares escondidos em jogos e aplicativos para dispositivos móveis. Com a popularidade e fácil acesso aos jogos online, cibercriminosos utilizam esses aplicativos para espalhar malwares a fim de infectar os aparelhos e roubar informações pessoais dos usuários.
No ano passado, o jogo Flappy Bird fez enorme sucesso entre os usuários de smartphones e tablets com mais de 50 milhões de downloads. Em seguida apareceram centenas de clones do jogo, muitos deles fraudulentos. No primeiro trimestre de 2014, a McAfee divulgou que 79% das 300 amostras de clones do jogo continham malwares que permitiam ao criminoso, entre outras atividades, realizar chamadas e enviar mensagens sem a permissão do usuário, instalar aplicativos adicionais, extrair dados da lista de contatos, rastrear localizações e estabelecer acesso remoto para o total controle do dispositivo.
Thiago Hyppolito, engenheiro de produtos da McAfee, explica que antes de baixar algum jogo no smartphone os usuários devem ter alguns cuidados básicos. “É importante sempre baixar jogos de sites e lojas oficiais e ter uma ferramenta no celular que mostre que aquele jogo ou aplicativo é realmente seguro e não irá ter acesso a informações confidenciais como lista de contatos e mensagens. As pessoas precisam tratar o smartphone como um computador e não apenas como um telefone”.
As ameaças para dispositivos móveis são as que mais crescem atualmente. Segundo pesquisa da McAfee já existem mais de 4,5 milhões de ameaças móveis e apenas no primeiro trimestre o crescimento de ameaças foi de 167% em relação ao mesmo período do ano anterior.
Para garantir mais segurança no smartphone é importante ter sempre a última versão dos aplicativos e do sistema operacional, já que os fabricantes costumam lançar novas versões para corrigir falhas descobertas nas versões anteriores. É fundamental também ter uma ferramenta de segurança completa para o smartphone como o McAfee MMS Gratuito.
Uma dica para os pais que deixam as crianças brincarem com seus smartphones é utilizar ferramentas que bloqueiam as funções do aparelho que não são usadas pelas crianças. Na solução McAfee LiveSafe, a empresa oferece a possibilidade de criar diferentes perfis para o smartphone ou tablete e assim permitir o acesso apenas às funções e aplicativos que interessam a cada usuário. “É possível, por exemplo, criar um perfil apenas com jogos e vídeos, impedindo que a criança tenha acesso a e-mails, realize ligações ou baixe algum arquivo prejudicial ao dispositivo”, explica Hyppolito.

Dica do pessoal do Grupo do Facebook

quinta-feira, 9 de outubro de 2014

O Trend Micro criou um estudo sobre o comprometimento do site Gizmodo Brasil, que a algum tempo atrás espalhou um malware bancário que atacou cerca de 7000 vítimas em apenas duas horas. O site foi comprometido através de um plugin do WordPress vulnerável que permite que um atacante adicione um script que redireciona os usuários a um segundo site, que faz os usuários baixarem o malware.

No vídeo abaixo pode-se ver com mais detalhes como funciona o ataque:


quarta-feira, 8 de outubro de 2014

Criminosos descobriram uma falha no OS X, e utilizaram para controlar milhares de computadores Apple ao redor do mundo.

A empresa de segurança russa Dr. Web foi a primeira a descobrir o software, conhecido como "Mac.BackDoor.iWorm". Ainda não se sabe como o software malicioso é propagado, mas a Dr. Web liberou informações interessantes que podem levar até ao hacker que controla o malware.

Quando um mac é infectado pelo Mac.BackDoor.iWorm, o programa tenta fazer uma conexão com um servidor de comando. O iWorm usa o sistema de busca do Reddit para encontrar por comandos do atacante em uma discussão na sessão Minecraft.

Após o iWorm encontrar o comando no comentário, tenta conectar no servidor que foi comentado no subreddit do Minecraft. Assim que consegue conectar, os criminosos podem enviar comandos diretos para sua "botnet". Estas botnets podem ser usadas para enviar spams, minerar bitcoins, fazer DDoS e outras coisas.

Até o momento não parece que os computadores infectados foram usados para algum ataque, por em quanto estão apenas aumentando sua rede.

Dr. Web publicou o número estimado de máquinas infectadas pelo iWorm. Este número já passa de 17 mil computadores Apple.


Fonte: Business Insider
Dica do Guilherme Alves lá no grupo do Facebook!

segunda-feira, 6 de outubro de 2014



Sinopse

O livro de maior sucesso de segurança retorna com uma nova edição completamente atualizado! Aplicações Web são a porta de entrada da maioria das organizações, pode-se ataca-las para conseguir alguma informação pessoal, executar transações fraudulentas, ou comprometer os usuários. Este livro prático foi completamente atualizado e revisado para passar as mais novas técnicas, passo a passo, para atacar e defender uma gama de aplicações web e serviços que ainda estão em plena evolução. Você vai explorar diversas novas tecnologias empregadas em aplicações web que apareceram desde a primeira edição e ver alguns dos novos ataques que foram desenvolvidos, principalmente do lado do cliente.

  • Revelamos como burlar as mais novas tecnologias e técnicas para defender as aplicações web contra esses ataques.
  • Discussões sobre os novos frameworks como por exemplo HTML5, técnicas de integração cross-domain, framebusting, Paramentros HTTP, redirecionamento de interfaces de usuário, ataques híbridos e muito mais.
  • Uma aplicação web vulnerável hospedada pelos autores para permitir que os leitores testem os ataques descritos, respostas para os questionários presentes no final de cada capitulo e com uma metodologia de rápido aprendizado.
Focado na área de segurança de aplicações web, principalmente onde as coisas mudaram nos últimos anos, este livro é o recurso mais recente para o aprendizado de descoberta, exploração e prevenção de falhas em aplicações web.

Traduzido e adaptado da Amazon


Review

Então, como muitos devem ter visto no grupo do Facebook da Brutal Security, eu recebi a alguns dias dois livros que comprei recentemente, um deles este que estou fazendo review. A sinopse afirma que veremos novas técnicas e muita prática. Isso é verdade, temos muita coisa nova, algumas até bem complexas de entender, mas o livro é muito bom e os capítulos são bons de ler, muito pouco daquele "tecniquês" cheio de termos e textos complexos. Mas não se preocupe, o livro também tem os clássicos SQLi, XSS e outros, para você que está começando ou tem uma noção. Sobre o livro ser todo prático não é bem assim, cerca de metade do livro (algo próximo de 500 páginas) é quase 100% teórico, o que não é uma coisa ruim, já que a idéia do livro é ensinar o leitor a entender, detectar, explorar e defender falhas em aplicações web. Se fosse só prático o livro formaria apenas utilizadores de ferramentas, o que é algo muito ruim, já temos muitos script kiddies por ai. :D

The Web Application Hacker's Handbook é bem focado, tendo um capítulo de muitas páginas para cada tipo de falha (são uns 12 capítulos), e como comentei antes, metade é teórico para o leitor entender porque aquilo acontece e como identificar, para poder detectar em todo tipo de caso, diferente dos tutoriais que temos na internet que mostram um caso isolado onde aquilo só funciona daquele modo, se um detalhe mudar, os "atacantes" não saberão o que fazer.

Outro ponto fenomenal do livro é a aplicação web que os autores disponibilizaram para os leitores. No livro, ao final da explicação de cada falha você verá uma URL para a aplicação vulnerável com a falha relacionada ao que você leu para poder testar as técnicas que aprendeu. O diferencial é a quantidade de variantes que eles possuem e a similaridade com a realidade. Claro, no início do livro as falhas são bem simples e bobas, você acha que no mundo real não é assim (as vezes é viu...), mas com o avanço no livro as técnicas vão ficando bem complexas, similar a o que temos hoje por ai em ecommerces e web banking. E uma última coisa, ao final de cada capítulo existe um questionário caso queira testar seus conhecimentos, as respostas das perguntas estão no mesmo site das falhas.

Finalizando, super recomendo esse livro. Já tinha ele em formato digital a muito tempo mas nunca tinha lido mais do que o primeiro capítulo, nunca tinha me chamado a atenção, até que fiquei completamente desconectado e sem o que fazer e encontrei ele na biblioteca da facul. Comecei a ler lá mesmo e cheguei na metade, foi o suficiente para comprar o livro para terminar de ler e ter em casa para consultas futuras. O livro é bom para pessoas que estão começando na área, pessoas que já tem um certo conhecimento e para o pessoal que já manja, mas quer dar uma atualizada nos conhecimentos.

Como de costume, segue o link para a Amazon. Aproveitando, o livro está com um precinho muito bom lá, em lojas do Brasil pode chegar (e até passar) de R$ 200,00 então corre lá!

sexta-feira, 3 de outubro de 2014

Recompensas de bugs estão nas notícias novamente. O Twitter anunciou o seu próprio novo esquema, enquanto Robert Graham, da Errata Security reivindica que é mais provável a perda de dados pessoais se o prestador de serviços não tem um programa de recompensas. As recompensas do Twitter começam em $140 (sem limite máximo especificado), enquanto Graham (perito) afirma que a falta de um programa indica que a empresa violada não fez tudo o que podia para evitar a falha.

O ponto de vista de Graham implica que recompensas por bugs são um processo eficaz de segurança. As recompensas do Twitter tentam mostrar que esses programas não precisam ser caros. Mas isso pode ser levado como verdade? Veja a opinião de Ilia Kolochenko, CEO e fundador da High-tech Bridge, uma empresa especializada em testes de invasão e descoberta de vulnerabilidades.

"Bug bounties, podem ser uma ferramenta extremamente efetiva se for implementada e operada corretamente. O problema, é a dificuldade de encontrar e a raridade que é obtida, pode-se fazer mais mal que bem."

"O maior problema é que quando um programa desses é iniciado, hackers de todos os tipos, qualificações e ética consideram como um sinal verde para atacar o sistema. A maioria destes atacantes normalmente tem conhecimentos limitados ou completamente nenhum conhecimento em testes de segurança, e podem acabar danificando o sistema em quanto testam. Checar por XSS por exemplo não causa dano, e mesmo sem o programa de bugs é sempre uma boa idéia notificar o desenvolvedor", disse Kolochenko. "Mas em testes mais perigosos como SQLi por exemplo, se o pesquisador não tiver conhecimento do que pode e não pode fazer, pode sem intenção deletar alguma coisa ou tornar o sistema completamente instável. E isso que nem estou falando sobre ferramentas automáticas e scanners que causam sérios danos se usados de forma errada. Neste caso, é que a maioria dos hackers usam diversas ferramentas de scan de vulnerabilidades ao mesmo tempo, bombardeando o alvo de testes de segurança."

Em muitos casos e locais, o scan por SQLi, por exemplo, pode ser considerado ilegal. A presença de um programa de recompensa, por outro lado, remove completamente essa restrição, dando acesso a hackers mais maliciosos e de baixo conhecimento. Kolochenko também comenta que pesquisadores de segurança não veem isso como um trabalho, podem fazer isso em busca de reconhecimento, por diversão ou a nível de desafio, mas dificilmente seu trabalho principal.

Um exemplo disso é o próprio Twitter. Como comentou Kolochenko, o Twitter não é um CMS qualquer que qualquer pessoa pode auditar facilmente, é um sistema que requer experiência, qualificações e muito tempo. Também comenta que não conhece nenhum pesquisador de segurança que trabalhe por $140. Com isso pode afirmar que as pessoas que submetem bugs encontrados estão fazendo por fama ou desafio.

Outro exemplo usado por Kolochenko é o programa do Yahoo que paga a cada falha encontrada cerca de $50, podendo ser convertida em créditos da Yahoo Store, como o caso do pesquisador que encontrou uma falha de XSS no Yahoo e ganhou cerca de $12 na loja, ou seja, uma camiseta com o logo do Yahoo.

De acordo com pesquisas, um pentester ou pesquisador de segurança nos EUA ganha em torno de $60.000 a $120.000 dólares por ano, e Kolochenko conclui que para o negócio de bug bounties atrair pesquisadores mais sérios, as recompensas tem de serem maiores o suficiente para chegar próximo de um valor aceitável para viver disso para que chame a atenção de times de pesquisa de segurança.

Fonte: Net-security

quinta-feira, 2 de outubro de 2014

E ai pessoal!

Estava dando uma zapeada pelo RSS e encontrei esse post do infosec institute com um texto muito interessante de uma avaliação forense básica das fotos que foram vazadas das celebridades por ai.

Muitas das fotos de cara eu já notei que tinham algo errado e que eram montagens ou outro tipo de manipulação, por exemplo a questão das sombras com a autora comentou e outro ponto interessante que notei.

Se as fotos foram vazadas do iCloud elas teriam que ser tiradas de um dispositivo Apple, e em algumas fotos outros smartphones são usados na foto, como que elas chegaram lá somente dispositivos Apple tem a capacidade de sincronizar com o iCloud?

Vejam essas e outras conclusões no texto do infosec institute.
Subscribe to RSS Feed Follow me on Twitter!