sexta-feira, 30 de janeiro de 2015


Uma vulnerabilidade crítica encontrada na biblioteca GNU C (glibc), usada em praticamente qualquer distribuição Linux, o que permite a atacantes executar código malicioso em servidores e ganhar controle remotamente de máquinas Linux.

A vulnerabilidade, conhecida como "GHOST" e recebeu o código CVE-2015-0235, foi descoberta e reportada por pesquisadores da Qualys.

Tão crítica quanto Heartbleed e Shellshock

GHOST é considerada crítica pelo fato de hackers poderem facilmente explorar e ganhar acesso completo ao sistema sem a necessidade de conhecimento das credenciais.

Esta falha representa um grande risco, similar a Heartbleed, Shellshock e Poodle, descobertas ano passado.

Versões afetadas

Essa vulnerabilidade afeta as versões até a glibc-2.2, liberada em 2000. Mas grandes distribuições como Red Hat, Debian e Ubuntu já tem a algumas semanas um patch para correção.


quinta-feira, 29 de janeiro de 2015

E ai pessoal!

Fiquei sabendo recentemente de um projeto da Electronic Frontier Foundation (espero que você saiba o que é a EFF...) chamado Surveillance Self-Defense. O projeto basicamente visa ensinar e concientizar as pessoas sobre a espionagem e segurança de suas informações de uma forma geral.

Como achei muito interessante e quero colaborar passando o projeto adiante vou traduzir algumas partes que julgo interessante e postarei aqui, ja que a maioria dos leitores do blog não segue meu conselho e vão estudar inglês. :)

Se você se garante, sinta-se a vontade de ir lá e ler por conta própria. O link está ali em cima...

Pra você que optou por esperar a tradução vamos lá! Vou começar pelo primeiro assunto, a introdução a modelagem de ameaças.



Não há uma solução única para se manter seguro online. Segurança digital não é sobre quais as ferramentas que você usa; ao contrário, trata-se de compreender as ameaças que enfrentam e como você pode combater essas ameaças. Para se tornar mais seguro, você deve determinar o que você precisa proteger, e de quem você precisa protegê-lo. As ameaças podem mudar dependendo de onde você está localizado, o que você está fazendo, e com quem você está trabalhando. Portanto, a fim de determinar quais as soluções que vai ser melhor para você, você deve realizar uma avaliação das ameaças.

Ao realizar uma avaliação, existem cinco questões principais que você deve se perguntar:

  1. O que você quer proteger?
  2. De quem você quer proteger?
  3. Qual a probabilidade de que você vai precisar para protegê-la?
  4. Quão ruim são as consequências se você falhar?
  5. Quanta dificuldade que você está disposto a percorrer, a fim de tentar evitar esses?
Quando falamos sobre a primeira pergunta, que muitas vezes referem-se a bens, ou as coisas que você está tentando proteger. Um recurso é algo que você valoriza e quer proteger. Quando estamos falando de segurança digital, os ativos são geralmente informações. Por exemplo, seus e-mails, listas de contatos, mensagens instantâneas, e os arquivos são todos os ativos. Os dispositivos também são ativos.

Faça uma lista dos dados que você mantém, onde ele é mantido, quem tem acesso a ele, e que impede os outros de acessá-lo.

A fim de responder à segunda questão, "De quem você quer proteger," é importante compreender quem poderia querer você ou sua informação, ou quem é o seu adversário. Um adversário é qualquer pessoa ou entidade que representa uma ameaça contra um ou vários ativos. São exemplos de potenciais adversários o seu chefe, o seu governo, ou um hacker em uma rede pública.

Faça uma lista de quem pode querer se apoderar de seus dados ou de comunicações. Ele pode ser um indivíduo, uma agência governamental, ou uma corporação.

A ameaça é algo de ruim que pode acontecer a um ativo. Há inúmeras maneiras que um adversário pode ameaçar seus dados. Por exemplo, um adversário pode ler suas comunicações privadas à medida que passam através da rede, ou eles podem apagar ou corromper seus dados. Um adversário também pode desativar o seu acesso aos seus próprios dados.

Os motivos dos adversários são muito diferentes, como fazem seus ataques. Um governo que tenta evitar a disseminação de um vídeo mostrando a violência policial pode se contentar em simplesmente excluir ou reduzir a disponibilidade do vídeo, enquanto um adversário político pode desejar ter acesso ao conteúdo secreto e publicá-lo sem você saber.

Anote o que o seu adversário pode querer fazer com seus dados privados.

A capacidade de o atacante também é uma coisa importante para se pensar. Por exemplo, o seu fornecedor de telefone celular tem acesso a todos os seus registros de telefone e, portanto, tem a capacidade de usar esses dados contra você. Um hacker em uma rede Wi-Fi aberta pode acessar suas comunicações não criptografadas. Seu governo pode ter capacidades mais fortes.

A última coisa a considerar é de risco. O risco é a probabilidade de que uma ameaça específica contra um determinado ativo venha a ocorrer, e caminha lado a lado com a capacidade. Enquanto o seu provedor de telefonia móvel tem capacidade para acessar todos os seus dados, o risco deles postando seus dados pessoais on-line para prejudicar a sua reputação é baixo.

É importante distinguir entre as ameaças e riscos. Enquanto a ameaça é uma coisa ruim que pode acontecer, o risco é a probabilidade de que a ameaça ocorrerá. Por exemplo, não é uma ameaça que seu prédio poderia entrar em colapso, mas o risco de isso acontecer é muito maior em San Francisco (onde terremotos são comuns) do que em Estocolmo (onde eles não são).

Uma análise de risco é tanto um processo pessoal e subjetivo; nem todos têm as mesmas prioridades ou visões ameaças da mesma forma. Muitas pessoas acham que certas ameaças inaceitáveis não importa o que o risco, porque a simples presença da ameaça a qualquer risco não vale a pena o custo. Em outros casos, as pessoas desprezam riscos elevados, porque eles não consideram a ameaça como um problema.

Em um contexto militar, por exemplo, pode ser preferível para um ativo a ser destruída do que para que ela caia em mãos inimigas. Por outro lado, em muitos contextos civis, é mais importante para um ativo, como serviço de e-mail para estar disponível de confidencial.

Agora, vamos praticar este modelo

Por exemplo, se você quer manter sua casa e seus bens seguros, aqui estão algumas questões que você deve se perguntar:

  • Deveria trancar minha porta?
  • Que tipo de fechadura ou fechaduras eu deveria investir?
  • Precisaria de um sistema de segurança mais avançado?
  • Quais são os ativos neste cenário?
    • A privacidade da minha casa
    • Os objetos dentro da minha casa
  • Qual é a ameaça?
    • Alguém poderia entrar
  • Qual é o risco real de alguém quebrando em? É provável?
Depois de ter perguntado a si mesmo estas perguntas, você está em uma posição para avaliar que medidas tomar. Se as suas posses são valiosas, mas o risco de um roubo é baixo, então você provavelmente não vai querer investir muito dinheiro em uma fechadura. Por outro lado, se o risco é alto, você vai querer obter as melhores fechaduras e cadeados no mercado, e talvez até mesmo adicionar um sistema de segurança.

quarta-feira, 28 de janeiro de 2015


Deseja hackear o Facebook de alguém? Ou conta do Gmail? Invadir a rede de alguém? Mas não tem as habilidades para isso. Não precisa se preocupar. Um novo serviço está disponível para você que quer contratar um profissional para fazer alguma tarefa sobre hacking.

Conhecido como Hacker's List, o novo serviço oferece conectar clientes com "hackers profissionais" para contratação. O serviço permite que qualquer pessoa sem grandes capacidades técnicas e com dinheiro, pode invadir a conta de email do chefe. Isto parece bem com o que aconteceria em um filme. Basicamente contratando hackers para cometer crimes por você.

"Contratar um hacker não precisa ser um processo difícil, nós acreditamos que encontrar hackers profissionais de confiança pode ser sem problemas," diz a descrição do site.

"No Hacker's List nós queremos prover a você a melhor oportunidade de encontrar o hacker ideal para sua necessidade"

O Hacker's List, site com apenas 3 meses de vida - lançado em novembro - já recebeu mais de 500 pedidos de trabalhos. Tem também cerca de 70 hackers anônimos cadastrados, mas a maioria inativo.

O site cobra uma taxa nos projetos quando são finalizados e pagos, bem como serviços de freelancing por ai. Baseado em horas de trabalho, os preços dos hackers variam de US$ 28 até US$ 300 e grandes projetos podem variar de US$ 100 até US$ 5000. Como você pode imaginar, isso é feito de forma anônima, ninguém tem acesso a identidade das partes envolvidas.

Os projetos variam de "Hackear conta do Facebook","Hackear conta do Gmail","Hackear site" até "Hackear contas empresariais". Impressionantemente, muitas oportunidades são para hackear sistemas escolares e de universidades para mudar notas dos clientes.

Veja abaixo alguns exemplos de anúncios que podem ser encontrados no site e os respectivos valores que os clientes estão dispostos a pagar:


  • US$ 300 - US$ 500: Preciso de um hack para um jogo de Android chamado "Iron Force" desenvolvido pela "Clillingo". É um jogo com servidor dinâmico, frequentemente atualizado. Bem difícil de hackear. Preciso de um hack que de diamantes e dinheiro do jogo, e se possível um bot na minha conta.
  • US$ 10 - US$ 350: Preciso de informações e mensagens de uma conta do Facebook. Outros serviços disponíveis se esse for completo.
  • US$ 300 - US$ 600: Preciso de um hacker que mude minha nota. Precisa ser feito em 1 semana.
  • US$ 200 - US$ 300: Hackear uma conta de email empresarial. Copiar todos os emails da conta. Enviar spam difamando o empregado dono da conta para uma lista de emails.
O site foi registrado na Nova Zelândia, e se tornou o primeiro site a oferecer serviços de hacking. Mesmo vendo que a maioria das atividades é claramente ilegal, a página de termos e condições do site pede aos usuários que não usem para propósitos ilegais.

Outra possibilidade, apenas especulando aqui, é que este serviço é mantido por alguma agência governamental em busca de novos talentos, ou até mesmo querendo apenas tirar esses caras da internet, muito cuidado com esse tipo de proposta. Vou avaliar o site por um tempo antes de qualquer coisa e recomendo vocês ficarem de olho também.
Descoberta no final do ano passado pela Symantec, uma misteriosa ameaça chamada de Regin pode realmente estar ligada à NSA. Especialistas da Kaspersky chegaram à conclusão após compararem o vírus à parte do código-fonte de um malware da agência norte-americana, o Qwerty, divulgado na última semana pelo jornal alemão Spiegel.



O software malicioso foi usado entre 2008 e 2014 em campanhas de ciberespionagem e ciberataques, que tinham como alvos governos e empresas de telecomunicações, entre outras companhias. Ainda não dá para cravar quem foram os responsáveis pelo desenvolvimento da ferramenta, mas o grau de complexidade da estrutura já apontava mesmo para algum órgão nacional.

Estados Unidos e China já estavam, em novembro, entre os principais suspeitos, e a conclusão tirada pela empresa russa de segurança coloca agora os norte-americanos em “vantagem”.

O código-fonte do malware Qwerty divulgado pelo Spiegel ocupava onze páginas e foi vazado, junto de outros documentos, por Edward Snowden. A ferramenta é, na verdade, um keylogger – tipo de programa capaz de detectar entradas no teclado – que parece fazer parte do “pacote” Regin, segundo a análise da Kaserpsky.

“A maior parte dos componentes do Qwerty usa plugins do mesmo pacote, e há um pedaço do código que se refere a extensões da plataforma Regin”, diz o texto no blog da empresa de segurança. “Uma parte em especial do código é usada tanto no módulo 20123 do Qwerty quanto no 50251 do Regin, e faz referência ao plugin 50225, encontrado no sistema de arquivos virtual da plataforma.”

Então, conforme conclui o estudo da Kaspersky, essas semelhanças entre os códigos são provas concretas de que “o plugin Qwerty pode operar apenas como parte da plataforma Regin” – e é, de fato, um módulo do pacote como um todo. Além disso, segundo o Spiegel, essa “caixa de ferramentas” ainda pode ser usada por diferentes órgãos de diferentes países.

Por estar diretamente relacionada ao desenvolvimento do keylogger, a NSA – e seus aliados do Canadá, do Reino Unido, da Nova Zelândia e da Austrália – se torna, na visão da publicação alemã, a principal suspeita de ser a responsável pela plataforma de ciberespionagem. Mas ainda há descobertas por vir – segundo a reportagem, a própria Kaspersky já encontrou rastros do Regin “em computadores pertencentes a 27 multinacionais, governos e pessoas”.

Fonte: Info

terça-feira, 27 de janeiro de 2015

A Cyanogen começou como apenas uma modificação da ROM do Android original para alguns aparelhos com a intenção de melhorar o desempenho dos dispositivos e de eliminar o "entulho" que algumas operadoras e fabricantes colocam nele.



Com a popularização da modificação a então CyanogenMod passou a se chamar apenas Cyanogen e produzir versões regulares dos Androids para mais e mais aparelhos e conseguiu até mesmo vir como padrão em alguns dispositivos no lugar do Android original, entretanto, parece que esta parceria entre a Cyanogen e o Google está um pouco desgastada pelo olhar de Kirt McMaster, CEO da Cyanogen.

Segundo ele a Google não deixa o Android tão aberto quanto poderia o que impede que determinados recursos possam ser acessados e melhorados, segundo ele o acesso ao "núcleo" do Android somente o Google tem e é por isso que aplicações de terceiros não conseguem usar recursos como o Google Now e seus comandos de voz a não ser os apps do Google.

A ideia inicial da Cyanogen é criar um fork do Android, o Google permite isso, a licença open source do Android permite isso, mas o que o Google não permite é que seus aplicativos rodem em sistemas forkeados, ou seja, um possível Cyanogem ROM independente do Google não poderia trazer a Google Play, Gmail ou qualquer outro App do Google, o que dificulta um pouco as coisas.

Mesmo assim o CEO da Cyanogen se mostra otimista e cogita a possibilidade de criar uma loja de Apps própria, desta forma gerando mais receita para a empresa.

E você leitor, o que achou da declaração, você acha que a Cyanogen produz um Android mais bem acabado do que o Google? Deixe sua opinião nos comentários.

segunda-feira, 26 de janeiro de 2015

E ai pessoal!

Um dos projetos que estamos planejando para este ano é dar um espaço para os leitores poderem escrever aqui no blog, o que quiserem, desde que tenha algo relacionado com segurança e/ou tecnologia.



A ideia do post do leitor é incentivar o estudo, já que pra escrever algo informando ou ensinando sobre algum tema a pessoa tem de pelo menos ter estudado sobre, incentivar a escrita, aumentar a participação do leitor no blog e liberar nosso tempo para podermos nos dedicar a outros projetos relacionados com o blog.

Outro motivo importante para este projeto é que estamos pensando em aumentar a equipe da Brutal Security, e vamos usar isso como uma seleção para os novos membros da equipe. Quem publicar conteúdo interessante com uma certa frequência entra pra equipe.

Se você não tem nem ideia do que escrever ou está com dificuldade em algo pode entrar em contato que vamos ajudar você com seu texto. Para um começo vale qualquer coisa desde sua versão de "Como instalar o Windows" até uma analise reversa de um malware. De preferencia coloque imagens, principalmente tutoriais, isso ajuda muito.

E uma ultima coisa, tente fazer um conteúdo original, escreva com suas próprias palavras, nem que seja a coisa mais manjada do mundo, assim você aprende e contribui com algo de qualidade. Outra coisa muito importante, não copie o post de algum lugar e mande pra nós, se é pra copiar nós mesmos copiamos...

Caso você tem interesse em contribuir mande seu texto ou suas dúvidas para deivid@brutalsecurity.com.br.

Contamos com seu apoio! ;)


Muito se ouviu falar do caso Snowden, não precisaria nem relembrar aqui, mas vai ai algumas informações para refrescar sua mente: Informações confidenciais vazadas, asilos políticos, espionagem americana, jornalistas do The Guardian no Brasil e por ai vai. Sem dúvida você viu e leu a maioria dessas notícias.

De uma visão de fora da situação a coisa talvez possa não parecer tão séria, como ouvi muitos comentando (inclusive da área), mas se olharmos um pouco mais profundamente no caso vamos ver a real criticidade do caso.

Me mandaram a alguns dias esse documentário dos bastidores do caso Snowden, onde mostra o seu dia a dia lidando e planejando tudo isso que veio a ocorrer e como ele lidou com isso. No documentário pode-se ver tudo em "tempo real" como os acontecimentos iam sendo divulgados. É possível ver também toda a cobertura e contatos que foi feita entre o jornalista Glenn Greenwald e o Snowden pessoalmente.

Novamente digo, o caso foi bem complexo e ainda vai dar muito o que falar. Muita coisa ainda vai rolar sobre cyber espionagem mas isto é outro assunto. Deixo aqui o link para baixar o documentário e assim que eu conseguir uma legenda em português edito e coloco aqui. Se alguém tiver uma legenda por favor entre em contato.

sexta-feira, 23 de janeiro de 2015

Este é um fato um pouco curioso que resolvi compartilhar com vocês, ontem estava lendo sobre a Microsoft pagar os usuários para usarem o Bing como mecanismo de busca no Android ( sim isso mesmo, não vou entrar em detalhes ), e acabei encontrando isto aqui que vos apresento agora.


As informações obtidas através da ferramenta Toolbar NetCraft indicam que a Microsoft utiliza o Linux em alguns de seus servidores, inclusive o servidor de pesquisa do Bing.

A tabela mostra uma série de outras informações e eu nem me surpreendo pelo Linux ser usado em servidores de grande porte, o curioso fica realmente pela empresa criadora no Windows Server não utilizá-lo em todas as suas estações.

Para ver como o IP relatado aí em cima é mesmo o do Bing, como por exemplo na segunda marcação que eu fiz, acesse o endereço dele 204.79.197.200 e veja para onde ele leva.

Fonte: Dio Linux

quarta-feira, 21 de janeiro de 2015

A equipe de segurança do Google revelou três novos bugs do Windows na última sexta-feira, 16/1, mantendo a pressão para a Microsoft corrigir as falhas do sistema em até 90 dias.

No entanto, a Microsoft disse que nenhum desses bugs será solucionado com um update de segurança.

Desde 29/12, o Project Zero, do Google, revelou diversos bugs no Windows antes de a Microsoft conseguir corrigi-los. O Project Zero é composto de vários engenheiros de segurança do Google que investigam não apenas o próprio software da empresa, mas também de outras companhias. Após informar uma falha, o Proect Zero começa uma contagem regressiva de 90 dias, e então publica automaticamente detalhes e amostras do código de ataque caso a vulnerabilidade não tenha sido solucionada.

Uma das primeiras revelações feitas pelo Google fez com que a Microsoft detonasse a empresa de Mountain View por supostamente colocar em risco os usuários do Windows.

O Google retirou as restrições de visualização dos três bugs mais novos na sexta-feira, tornando públicos os detalhes do rastreador de bugs do Project Zero após a Microsoft afirmar que não tinha a intenção de resolver os problemas.

“A Microsoft concluiu que o problema não atende à sua barra de boletim de segurança. Eles afirmam que exigiria muito controle por parte do invasor”, afirma o rastreador de um dos bugs.

O Google informou três bugs para a Microsoft nos dias 27/10, 5/11, e 10/11, e os classificou como falhas de revelação de informação ou possível elevação de vulnerabilidades de privilégios.

Pelo sistema padrão de classificação de ameaças da Microsoft, nenhuma dessas três teria ficado numa classificação acima de “Importante”, a segunda mais importante da lista.

De qualquer, a Microsoft não irá liberar patches para nenhum desses três bugs. “Os casos liberados publicamente não oferecem nenhuma implicação séria de segurança, e não planejamos resolvê-las com updates de segurança”, afirmou um porta-voz da Microsoft.

Fonte: IDG NOW

segunda-feira, 19 de janeiro de 2015

Lançado no final do ano passado pelos hackers do Lizard Squad, o serviço de venda de ataques DDoS (sigla para "ataques de negação de serviço distribuídos") LizardStresser foi invadido e dados de seus clientes foram vazados. A informação foi confirmada pelo especialista em segurança Brian Krebs, que afirmou em seu blog ter obtido acesso a todo o banco de dados de usuários cadastrados no site – pouco mais de 14 200 pessoas.

O LizardStresser foi lançado no final do ano passado, depois que seus fundadores ganharam notoriedade por derrubar (e manter fora do ar) as redes da Xbox Live e da PlayStation Network. Os ataques DDoS serviram como uma vitrine para o grupo, que, no fim das contas, não era exatamente tão profissional quanto aparentava.

Além de ter o próprio site invadido, o grupo mantinha logins e senhas dos possíveis clientes em plain text -- ou seja, sem proteção alguma, como se estivessem em um bloco de notas. Fora esses deslizes, um dos membros do esquadrão ainda foi detido na semana passada no Reino Unido, e outros dois tiveram a mesma sorte entre a virada do ano e o começo de janeiro.

No “mercado de ataques DDoS”, interessados podiam contratar golpes do tipo por preços que iam de 6 a 500 dólares, segundo o The Guardian. Os valores eram pagos em bitcoins, e de acordo com Krebs, mais de 11 mil dólares -- vindos de algumas centenas de usuários cadastrados -- foram arrecadados com as vendas de ataques.

Também segundo informações do especialista em segurança, o tráfego usado para derrubar páginas e redes vinha de uma botnet formada por milhares de roteadores hackeados. O grupo dizia, na descrição do serviço, que tinha entre 100 e 125 Gbps de “poder de fogo” disponível para saturar os alvos e tirá-los do ar.

Fonte: Info

sexta-feira, 16 de janeiro de 2015

Falhas de segurança acontecem. Você está preparado? A prevenção continua a ser a melhor postura. Em tempos de elevação no volume de ameaças, muitas companhias percebem a importância de canalizar esforço e recursos para minimizar os impactos das ações de cibercriminosos. Eis aqui cinco questões a serem consideradas antes de colocar um novo projeto de segurança em prática.

1. Qual a abordagem adotar?
Você já compreendeu que uma violação ou ataque é algo praticamente inevitável? Durante o ano passado, muitos executivos e empresas passaram a aceitar a noção de que vazamentos e falhas de segurança são mais uma questão de “quando” do que algo que pode efetivamente ser evitado. Isso significa justamente preparar-se com as armas adequadas para sofrer o menor impacto possível caso um episódio desses ocorra. Se aceitar a mentalidade de “assumir a violação”, o que e como monitorar o ambiente? Quais as prioridades? Isso demandará eventuais mudanças de abordagens ou substituição de legados?

2. Quão confiante estou com a estrutura atual?
Qual o seu nível de confiança em relação aos colaboradores de sua empresa, processos e tecnologia?  Considere esses três temas no âmbito de prevenção, detecção e resposta. É possível confiar nos seus sistemas atuais? Caso uma falha ocorra, sua estrutura irá avisá-lo? Com quanta agilidade e precisão? Ultimamente, a abordagem de “assumir a violação” é uma oportunidade para promover melhorias, mudando modelos de treinamento e postura das pessoas, fortalecendo processos e tecnologias.

3. O que é possível automatizar?
Quando confrontado com a falta de tempo e recursos, uma saída é buscar o máximo possível de automatização. Isso significa explorar ativamente o que pode ser automatizado em termos de prevenção, detecção e resposta. A chave, contudo, é assegurar que essa postura melhore as condições da equipe para que as pessoas se concentrem onde conseguem adicionar o máximo valor possível. Lembre-se: automação que dá trabalho só cria mais problema.

4. O que os testes ensinaram?
Testes são uma oportunidade validar modelos e expor o ambiente a falhas. Mais que isso, uma ferramenta poderosa para promover melhorias. Projetar essas ações – sejam realizadas internamente ou por agentes externos contratados – para validar o que você sabe e sondar as áreas que se sente menos confortável é uma prática muito válida. Com o tempo, você deve observar melhorias, assegurando ao mesmo tempo seus focos em pontos que demandam maior proteção e valor. O que esses testes têm mostrado e como eles melhoraram sua estrutura/ambiente?

5. O que acontece quando uma violação acontece?
Mais do que as outras perguntas, esta é uma conversa inicial. Na maioria dos casos, essa questão significa um desdobramento de estratégias e ações em termos de segurança. Com a ideia de se/quando uma violação ocorre significa uma definição do rumo que será traçado.

Em um vazamento de informações, quais as prioridades de negócios precisam ser consideradas em primeiro lugar? Os colaboradores sabem como agir nesses casos? Qual o impacto à organização? Que áreas ou profissionais precisam de envolvimento maior?

Por fim, use essas questões para iniciar as discussões de segurança na sua organização e preparar uma jornada que lhe ajude a ter o menor impacto possível quando um evento de vazamento de informações ocorrer. Lembre-se, também, que a evolução precisa ser constante.

Fonte: Computer World
O Google ignorou os pedidos da Microsoft por prazos mais flexíveis para a divulgação de vulnerabilidades e liberou detalhes de mais uma falha sem solução do Windows, que deve deixar os usuários expostos pelos próximos 25 dias.

A nova vulnerabilidade, que foi confirmada no Windows 7 e 8.1, pode constituir uma alternativa ao recurso de segurança pela maneira como as aplicações podem criptografar suas memórias para que os dados possam ser trocados entre os processos sendo rodados na sessão com o mesmo logon.

“O problema é que a implementação em CNG.sys não verifica o nível de personificação do token ao capturar a sessão de logon ID (usando SeQueryAuthenticationIdToken) para que um usuário normal possa personificar em nível de identificação e criptografar ou descriptografar os dados para essa sessão de logon”, afirmaram os pesquisadores do Google Project Zero em uma descrição da falha. 

Segundo o Project Zero, a Microsoft foi notificada sobre a vulnerabilidade em 17 de outubro de 2014 e inicialmente planejava liberar uma solução na sua Patch Tuesday de janeiro, que foi liberada há alguns dias. No entanto, o patch precisou ser adiado por problemas de compatibilidade.

Os pesquisadores do Google não ficaram comovidos com isso e mantiveram seu prazo de revelação pública de 90 dias, publicando os detalhes da falha e um exploit de prova de conceito nesta quinta-feira, 15/1.

Agora é esperado que a solução esteja entre os updates de segurança da Microsoft programados o próximo dia 10 de fevereiro, apesar de não existirem garantias que o patch não possa ser adiado mais uma vez.

É claro que a Microsoft tem a opção de liberar um patch fora dessas Patch Tuesdays, mas a empresa raramente faz isso e, quando isso acontece, geralmente é para chamadas falhas críticas que estejam sendo exploradas ativamente por criminosos. 

Essa é a terceira vulnerabilidade que os pesquisadores do Project Zero liberaram publicamente no último mês porque a Microsoft não conseguiu liberar soluções antes do prazo de 90 dias imposto pelo Google.

Fonte: IDG Now!

quinta-feira, 15 de janeiro de 2015

Hack
(Reprodução - Info)

John McAfee, milionário e fundador da empresa de antivírus McAfee, hackeou o smartphone de um apresentador da emissora americana Fox.

McAfee foi convidado para o programa Varney & Company desta semana, na Fox Business, para demonstrar como teria ocorrido a invasão aos servidores da Sony Pictures, no final do ano passado.

Para isso, ele hackeou o smartphone do apresentador Stuart Varney, acessou a lista de contatos e fez uma ligação que parecia vir de um telefone da Fox News. Segundo McAfee, os invasores teriam imitado agentes do FBI e solicitado nomes de usuários e senhas de todos os funcionários que conseguiram.

Essa história é muito diferente do que o FBI informou ao Congresso americano. Na versão oficial, o ataque à Sony Pictures foi viabilizado por uma das maiores brechas de segurança de todos os tempos.

Veja a seguir John McAfee hackeando o smartphone de Stuart Varney.

Fonte: INFO

quarta-feira, 14 de janeiro de 2015

As empresas Silent Circle e Lavabit se juntaram para criar o Dark Mail Technical Alliance, um grupo que está trabalhando em uma nova geração de e-mail totalmente criptografado.
Segundo o próprio Dark Mail diz em seu site oficial, sua missão é “trazer ao mundo nosso protocolo e nossa arquitetura criptografados que são a 'próxima geração de e-mail privado e seguro"."Silent Circle e Lavabit estão desenvolvendo uma nova forma de fazer e-mail com criptografia end-to-end. Damos as boas vindas a organizações semelhantes que queiram se juntar à nossa aliança".
A empresa diz, ainda, que a Silent Circle e a Lavabit agora trabalham para trazer outros membros para a aliança e auxiliá-los na implementação do novo protocolo e, em conjunto trabalhar para proliferar o primeiro ‘“-mail 3.0’ criptografado do mundo por meio de provedores de e-mail do mundo todo.
"Nosso objetivo é abrir o código do protocolo e da arquitetura e ajudar os outros a implementar esta nova tecnologia para responder às preocupações de privacidade contra a vigilância e as ameaças de back door de qualquer tipo”. 
Os interessados podem deixar seu e-mail na Mailing List do site para receber novidades sobre o Dark Mail.
Fonte: Info

terça-feira, 13 de janeiro de 2015


A algumas semanas atras, no natal, as empresas Sony e Microsoft sofreram um ataque DDoS que tirou e deixou instável por várias horas as redes de jogos do Playstation e do Xbox, mas esse não foi o fim das preocupações da Microsoft.

Desta vez, não foram serviços, mas sim o software de desenvolvimento (SDK) do Xbox One, que já está circulando pela internet. Com o SDK disponível é possível que diversos aplicativos "caseiros" para o console.

O grupo divulgou o SDK no Twitter oficial e o vazamento conta com o SDK, as ferramentas e plugins auxiliares, firmwares e documentação.

O grupo H4LT alegou que a divulgação do SDK serve para permitir "mais criatividade e pesquisa, pelos aplicativos caseiros"

Veja explicação que o grupo deu ao TechGame, via direct message do Twitter:

Nós vazamos para a comunidade porque se alguma coisa é compartilhada, o progresso é alcançado mais rápido que sozinho. Compartilhar com a comunidade = criatividade e pesquisa. O SDK vai basicamente permitir que a comunidade abra portas e criem funcionalidades que ainda não estavam disponíveis no Xbox One.
O grupo também falou que não estava envolvido nos ataques de DDoS do Lizard Squad, e em um tweet direto ao grupo o H4LT atacou: "Vocês se divertem em derrubar servidores. Porque não nos divertir vaz-*COF COF* dando isso?"


Fonte: The Hacker News
O projecto USBdriveby foi inicialmente desenhado para OS X mas pode ser adaptado a Windows ou Linux. com apenas 20 dólares, em hardware, podes ter acesso ao computador alheio.

O USBdriveby foi criado por Samy Kamkar e tem como objetivo entrar num computador alheio. Basta o computador estar ligado e… já está.

O hardware é barato e o método explicado em grande detalhe na página do projeto e neste vídeo:


Este dispositivo permite alterar os DNS (alterando para um DNS teu consegues efetivamente saber o tráfego que um determinado computador está fazendo) bem como alterar propriedades da máquina, escrever comandos “invisíveis” e mexer o mouse do computador.

Isto é possível porque o código faz com que o dispositivo USBdriveby se disfarce de um mouse e/ou um teclado, e este tipo de dispositivos não precisam de “autorização” para serem executados como dispositivos USB na maioria dos sistemas operacionais.

Interessado? Na página do projeto pode encontrar o material necessário para comprar (hardware) e o código.

E o melhor de tudo… é que pode se usar com uma corrente no pescoço. Pouca gente vai descobrir para que é que isto serve.

E ai, que tal?

Fonte: Hackers Portugal

segunda-feira, 12 de janeiro de 2015

E ai pessoal!

Dando uma passada rapida por aqui pra deixar esse video de alguns dias atras, de um cara que hackeou de uma forma ate meio boba, uma smart TV.

Não tem muito o que dizer do vídeo ou da técnica, vejam e tomem suas próprias conclusões...

Mais um dispositivo na sua casa que tem que se preocupar com segurança.


domingo, 11 de janeiro de 2015

E ae pessoal!

Algumas horas já se passaram, e já é dia 11 de janeiro, e ontem a Brutal Security comemorou o seu Segundo Ano de existência. E junto de nossa comemoração, queremos aqui agradecer a todos nossos colaboradores, e principalmente aos nossos visitantes, que fazem a Brutal Security ser o sucesso que hoje ela é.

Podemos hoje afirmar que, ultrapassamos a meta que colocamos em prática em 2014, que era duplicar o público que tivemos em 2013, e isso conseguimos graças à vocês! Ultrapassamos o Dobro!

Agradecer a Novatec Editora, pela confiança que nos deu, ao fechar parceria conosco, assim, ajudando nossos leitores a adquirir livros mais baratos para reforçarem seus conhecimentos.

Agradecer aos nossos parceiros, que por mais um ano, nosso laço seja renovado.

E agradecer principalmente aos meus amigos, Deivid e Natan, em especial ao Deivid, por manter o projeto vivo e segurar as pontas pelo tempo que sumir

Reforçando também, que os artigos que planejamos de "Segurança em Redes sem fio:", irá continuar, a falta de tempo útil, fez com que a sequência atrasa-se, e entre outras séries que iremos manter. Aguardem novidades para esse ano, pois acredito que todos ficarão satisfeitos com o que planejamos.

Bom, é isso! Que a Brutal Security permaneça por mais anos e anos ativa.

Muito Obrigado Pessoal!

sábado, 3 de janeiro de 2015



O Google tomou uma atitude polêmica que pode atrapalhar ainda mais as relações com a Microsoft. A empresa divulgou publicamente uma falha no Windows 8.1 encontrada graças ao Project Zero, iniciativa do gigante de buscas que se propõe a encontrar vulnerabilidades no software de outras companhias. 
A falha, que permite que usuários ganhassem privilégios de administrador sem permissão, foi revelada de forma privada à Microsoft há 90 dias, afirma o Google. A empresa considera este o prazo suficiente para que qualquer membro de indústria corrija o que está errado, e que é um período de tempo razoável para executar os processos de gerenciamento de vulnerabilidades. 
No entanto, o assunto é sempre polêmico, já que, dependendo da falha, ao expô-la publicamente, é possível deixar milhões de usuários vulneráveis. Ao mesmo tempo, abrindo a falha a qualquer um, os responsáveis são obrigados a agir de forma mais rápida. Fica a dúvida: 90 dias são o suficiente? O Google acha que sim. 
O caso parece razoavelmente inofensivo, já que segundo a Microsoft, para que alguém possa explorar o bug, é necessário ter credenciais válidas para o login no computador. Ou seja: dificilmente é algo que afete o usuário doméstico, mas pode ser um problema em empresas. 
A Microsoft diz que a solução já está a caminho, no entanto, apesar da demora. Agora que a falha se tornou pública, a empresa precisa se apressar para liberar a atualização que solucione o problema.

Subscribe to RSS Feed Follow me on Twitter!