quarta-feira, abril 22, 2015 por Gabriel SilvaNo comments
A Microsoft tem investido muito em segurança, principalmente pelo fato da mesma prometer que o Windows 10 seja mais seguro que o Windows 8 e 8.1(Será mesmo?¹). Utilizando Biometria para poder entrar no sistema, um método de criptografia bem interessante por sinal.
E recentemente a mesma declarou a extinção do seu navegador Web, o Internet Explorer, e dará um novo Voou entre os poderosos Google Chrome e Mozilla Firefox, com o Projeto Spartan. É claro, prometendo mais segurança e menos bugs(Será mesmo?²), com o seu programa de Recompensas para bugs reportados com documentação encontrados em seus produtos, com recompensas que chegam há U$ 15.000,00. Não é o valor que os Pesquisadores de segurança estão acostumados, mas, para iniciantes, é um excelente valor.
Porém, o valor da premiação é dada de acordo com o grau de risco da falha e como a documentação está feita, algo desorganizado e amador, provavelmente não valerá muita coisa. Se a falha for muito grave, obviamente conseguirás o U$ 15.000,00. Só uma breve observação, o Programa não está limitado apenas ao Projeto Spartan, mas também a outros produtos como o Azure, Sway e ao próprio Windows 10 em sua versão de testes.
E se caso você criar novos métodos para exploração, poderá ganhar até U$ 100.000,00 em recompensa, e caso crie novos métodos de defesa para os produtos Microsoft, poderá ganhar até U$ 50.000,00.
A pergunta é, por que não tentar? =D
Let's Go! Hackers =D
Lembrando, que a Data de inicio para os Reportes de Falhas, começa hoje dia 22/04/2015 e vai até o dia 22/06/2015. Para maiores Informações acesse TechNet Microsoft
terça-feira, março 24, 2015 por Gabriel SilvaNo comments
A Palo Alto Networks descobriu uma vulnerabilidade do sistema operacional Google Android que permite a invasores “sequestrar” a instalação de um aplicativo aparentemente seguro – Android Package File (APK) – em dispositivos móveis, substituindo por um aplicativo de escolha do hacker, sem o conhecimento do usuário.
Estima-se que explorações com o malware batizado Highjacking afete 49,5% dos usuários atuais de Android, permitindo a invasores distribuir a ameaça, comprometendo os dispositivos e roubando informações pessoais.
A vulnerabilidade explora uma falha no serviço do sistema de pacote de instalação do Android, possibilitando que os hackers façam invasões silenciosas e adquiram permissões ilimitadas, comprometendo os aparelhos.
O malware possibilita que invasores enganem os usuários a partir de um conjunto de permissões, enquanto potencialmente ganham acesso completo aos serviços e dados dos usuários, inclusive informações pessoais e senhas. Enquanto os usuários acreditam estar instalando um app de lanterna, ou um jogo, com um conjunto de permissões bem-definido, eles estão na verdade rodando uma ameaça.
“Esta descoberta significa que os usuários que pensam que estão acessando aplicativos legítimos com permissões aprovadas podem estar expostos a ladrões de dados e a malwares. A Palo Alto Networks alerta para que os usuários fiquem atentos quanto ao aplicativo de diagnóstico fornecido pela empresa e chequem seus dispositivos.
Para sanar a ameaça, a fornecedora disponibilizou um aplicativo para ajudar a diagnosticar dispositivos afetados. “Implante dispositivos móveis com Android 4.3_r0.9 e posteriores, mas mantenha em mente que mesmo os aparelhos de Android 4.3 são vulneráveis”, avisa a Palo Alto.
Além disso, a companhia aconselha que se instale aplicativos apenas da loja virtual Google Play nos aparelhos vulneráveis; estes arquivos são baixados no espaço protegido, que não podem ser substituídos por um invasor.
Outra recomendação é para não fornecer aplicativos permissão para acessar o “logcat”. O “logcat” é um log do sistema, que pode ser usado para simplificar e automatizar uma exploração. O Android 4.1 e outras versões de proibições padrões de aplicativos de acesso ao logcat do sistema ou de outros apps instalados. Porém, um aplicativo instalado pode conseguir acesso a outros aplicativos logcat rodados nos aparelhos.
quarta-feira, março 18, 2015 por Gabriel SilvaNo comments
E se a chave da sua casa fosse partilhada com 28 mil outros lares?
Isto é essencialmente o que os investigadores da Royal Holloway da Universidade de Londres descobriram na semana passada, durante um “scanning” na Internet para ver quantos servidores e dispositivos ainda são vulneráveis à falha de segurança conhecida como FREAK.
Revelada a 3 de Março, a falha permite que um atacante tenha acesso às informações que trafegam por uma conexão protegida pelo protocolo SSL/TLS (Secure Sockets Layer/Transport Layer Security). Esta foi a última de uma série de falhas encontradas ao longo do último ano no amplamente utilizado software open source.
Mais de um quarto dos hosts estavam vulneráveis à FREAK. Na semana passada, investigadores da Royal Holloway decidiram ver que percentagem ainda não tinha resolvido o problema.
Kenneth G. Paterson, professor do Information Security Group da Royal Holloway e co-autor do trabalho de pesquisa, caracteriza-o como um pequeno projeto que produziu resultados surpreendentes.
Os pesquisadores analisaram todo o espaço de endereços IPv4 usando o ZMap, olhando para os “hosts” que permitiriam um ataque FREAK, o que envolve forçar um “host” a aceitar uma chave criptográfica RSA de 512 bits para garantir uma conexão.
As chaves criptográficas com esse tamanho foram consideradas inseguras há mais de 15 anos. Na década de 1990, o governo dos EUA restringiu a exportação de produtos com chaves maiores e mais fortes. Mesmo após essa exigência ter sido abandonada, muitos produtos ainda suportam a versão mais fraca.
O resultado da pesquis? 9,7% dos cerca de 23 milhões de “hosts”, ou cerca de 2,2 milhões, ainda estão aceitando chaves de 512 bits – um número surpreendente, considerando a gravidade da falha FREAK e mais de duas semanas após o problema ter sido divulgado.
Mas os investigadores também fizeram uma outra descoberta surpreendente: muitos “hosts” – que podem ser servidores ou outros dispositivos ligados à Internet – compartilham a mesma chave pública de 512 bits, disse Paterson.
Num exemplo notório, 28.394 routers com um módulo SSL VPN usam todos a mesma chave pública RSA de 512 bits.
Isto nunca deveria ter acontecido.
Muito provavelmente, um fabricante gerou uma chave e depois instalou-a em muitos e diversos dispositivos. “É preguiça por parte do fabricante”, diz Paterson em entrevista ao IDG News Service. “É um pecado cardinal. Um bom exemplo de como não se deve usar a criptografia”.
quinta-feira, março 05, 2015 por Gabriel SilvaNo comments
Especialistas em segurança estão alertando os usuários uma falha séria que aparentemente passou anos sem ser detectada e pode enfraquecer as conexões criptografadas entre computadores e sites, potencialmente debilitar a segurança na web.
A vulnerabilidade, que foi apelidada de FREAK (de “Factoring attack on RSA-EXPORT Keys”), afeta o protocolo amplamente usado SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security), e pode permitir que um invasor intercepte tráfego supostamente criptografado à medida que ele se move entre clientes e servidores.
A falha foi descoberta por Karthikeyan Bhargavan, do INRIA, um instituto francês de pesquisas em ciência e tecnologia, e pela Microsoft Research. Um documento técnico descrevendo o FREAK deve ser apresentado na conferência de Segurança e Privacidade, da IEEE, em San Jose, na Califórnia.
A falha afeta muitos sites conhecidos, assim como programas, incluindo o navegador Safari, da Apple, e o sistema Android, Google, segundo os especialistas em segurança. Os aplicativos que usam uma versão do OpenSSL anterior a 1.0.1k também estão vulneráveis ao bug.
Um porta-voz da Apple anunciou nesta terça-feira, 3/3, que atualizações de sistema para o iOS e o OS X serão lançadas na próxima semana. O Google afirmou que distribuiu um patch para seus parceiros que protegerá a conexão do Android com sites vulneráveis.
O problema tem origem nas restrições de exportação impostas pelo governo dos EUA no começo dos anos 1990, que proibiam os fabricantes de software de enviar produtos com uma forte criptografia para fora do país, afirmou o professor de ciência da computação da Universidade de Princeton, Ed Felten.
Isso significa que algumas empresas enviavam uma versão dos seus produtos com chaves de criptografia mais fracas para uso em outros países. Quando a lei foi alterada e tornou-se legal exportar a criptografia mais forte, “o recurso do modo de exportação não foi removido do protocolo porque alguns softwares ainda dependiam disso”, disse Felten.
A vulnerabilidade que ficou conhecida agora essencialmente permite aos invasores fazer downgrade da segurança das conexões da criptografia forte para aquela mais fraca, “para exportação”.
Servidores e aparelhos que usam o OpenSSL, um programa de criptografia open-source, estão vulneráveis, incluindo muitos aparelhos do Google e Apple, sistemas embutidos e outros produtos, segundo um aviso. Servidores ou clientes que aceitam os pacotes RSA_EXPORT também estão em risco.
É possível fazer o downgrade das chaves ao realizar um ataque man-in-the-middle que interfere com o processo de configuração de uma conexão criptografada. Apesar de existirem defesas no protocolo SSL/TLS para evitar isso, elas podem ser burladas. A chave mais fraca de 512-bit pode ser revelada usando os computadores poderosos de hoje em dia, e o tráfego de dados pode então ser “descriptografado”.
Os protocolos atuais usam chaves de criptografia maiores, e o padrão é RSA 2048-bit. As chaves de 512-bit eram consideradas seguras há 20 anos, mas um invasor poderia recuperar a chave que precisava muito facilmente hoje em dia usando um serviço de nuvem público.
“Nos anos 1990, isso teria exigido uma computação pesada, mas hoje leva cerca de sete horas no Amazon EC2 e custa cerca de 100 dólares”, afirmou Felten.
Por tudo isso, as empresas estão se mexendo para resolver o problema o mais rápido possível.
quinta-feira, dezembro 18, 2014 por Gabriel SilvaNo comments
A McAfee selecionou as principais ameaças identificadas em 2014. A
provedora de ferramentas de segurança classifica o período como “o ano
da confiança abalada”, devido a série de eventos noticiados. A
companhia elaborou uma lista com os casos mais emblemáticos. Confira:
Heartbleed - Na avaliação da fabricante, a
vulnerabilidade no código OpenSSL que colocou em risco as informações
pessoais de milhões de usuários da internet foi uma das ameaças mais
impactantes do ano. Estima-se que o Heartbleed afetou até dois terços de
todos os sites.
BERserk - Trata-se de uma vulnerabilidade grave de
falsificação de assinatura na biblioteca de criptografia Mozilla NSS
(Network Security Services), que pode permitir que pessoas
mal-intencionadas criem sites fraudulentos, disfarçados de empresas e
outras organizações legítimas. Com a descoberta do BERserk,
aparentemente, os hackers podem burlar a autenticação em sites que
utilizam os protocolos SSL/TLS, o que significa que sites considerados
livres de perigo talvez não sejam assim tão seguros. Se o usuário
estiver realizando compras ou transações bancárias em um site que usa
SSL (ou "https://"), é possível que as informações pessoais estejam
expostas.
Shellshock - Uma nova e perigosa vulnerabilidade que
permite que hackers ou qualquer pessoa que saiba programar um código
rudimentar carregue, exclua e essencialmente tome posse de um
dispositivo remotamente. O Shellshock permite ainda que os hackers
ataquem diretamente servidores, roteadores e computadores que
compartilham atributos comuns. A distinção entre hosts vulneráveis e
realmente expostos se torna fundamental neste caso.
Outras constatações A McAfee identificou comportamentos no cenário de ameaças. As principais estatísticas levantadas ao longo do ano foram:
Dispositivos móveis: O número total de amostras de
malwares para dispositivos móveis ultrapassou cinco milhões no terceiro
trimestre de 2014, aumento de 16% neste trimestre e de 112% em relação
ao ano anterior.
Ransomware (vírus sequestrador): O volume de
ransomware teve um aumento de um milhão de novas amostras neste ano. No
entanto, esta ameaça passou por um período de repouso, pois o número de
amostras de ransomware caiu por três trimestres seguidos; mas isso não
surpreendeu os pesquisadores porque esse número voltou a crescer.
URLs suspeitos: Novos URLs suspeitos estabeleceram
um recorde de três meses, com mais de 18 milhões, um aumento de 19% no
quarto trimestre de 2014 comparado ao mesmo período de 2013 e o quarto
aumento trimestral seguido.
Malware assinado: Novos binários maliciosos
assinados continuam sendo uma forma comum de ataque, apenas no primeiro
trimestre de 2014 o aumento foi de 49%.
Redes de bots e garimpagem de moedas: A fabricante
constatou a inclusão de recursos de garimpagem de moedas virtuais nos
serviços dos provedores de redes de bots, o que reflete a popularidade
crescente de moedas digitais como o Bitcoin.
terça-feira, novembro 11, 2014 por Gabriel SilvaNo comments
A Microsoft liberou nesta terça-feira, 11/11, soluções para 14 vulnerabilidades no Windows, no Office e no Internet Explorer, incluindo quatro classificadas como críticas.
Todos os quatro bugs críticos poderiam permitir que invasores executassem programas remotamente em um sistema direcionado, algo que já permitiu a hackers roubarem informações pessoas como senhas ou “tomar” máquinas para enviar spam.
Os patches foram liberados como parte da já conhecida atualização mensal de segurança da empresa, chamada “patch Tuesday”. Originalmente, a empresa tinha planejado entregar 16 updates, mas dois estão marcados informando que ainda vão chegar.
De qualquer, essas 14 soluções representam um recorde mensal para os anos de 2013 e 2014 na Microsoft.
Elas incluem um problema com o Windows Object Linkind and Embedding que pode permitir a execução remota de código se o usuário visitar um site contendo código malicioso. Se o usuário estiver logado como o administrador, o criminoso pode ganhar a habilidade de instalar programas e alterar e apagar dados. Um patch relacionado para o Internet Explorer soluciona a vulnerabilidade com sites maliciosos e 16 outros problemas com o software, segundo a Microsoft.
Um update de segurança para o Microsoft Secure Channel no Windows soluciona um problema que deixa o Windows Server vulnerável a ataques. O quarto patch crítico arruma um “buraco” no Windows que permite a criminosos invocarem Microsoft XML Core Service de um site malicioso e então executar remotamente um código em um sistema.
Outras sete soluções são marcadas como importantes – a segunda classificação mais alta para a Microsoft.
sexta-feira, outubro 03, 2014 por UnknownNo comments
Recompensas de bugs estão nas notícias novamente. O Twitter anunciou o seu próprio novo esquema, enquanto Robert Graham, da Errata Security reivindica que é mais provável a perda de dados pessoais se o prestador de serviços não tem um programa de recompensas. As recompensas do Twitter começam em $140 (sem limite máximo especificado), enquanto Graham (perito) afirma que a falta de um programa indica que a empresa violada não fez tudo o que podia para evitar a falha.
O ponto de vista de Graham implica que recompensas por bugs são um processo eficaz de segurança. As recompensas do Twitter tentam mostrar que esses programas não precisam ser caros. Mas isso pode ser levado como verdade? Veja a opinião de Ilia Kolochenko, CEO e fundador da High-tech Bridge, uma empresa especializada em testes de invasão e descoberta de vulnerabilidades.
"Bug bounties, podem ser uma ferramenta extremamente efetiva se for implementada e operada corretamente. O problema, é a dificuldade de encontrar e a raridade que é obtida, pode-se fazer mais mal que bem."
"O maior problema é que quando um programa desses é iniciado, hackers de todos os tipos, qualificações e ética consideram como um sinal verde para atacar o sistema. A maioria destes atacantes normalmente tem conhecimentos limitados ou completamente nenhum conhecimento em testes de segurança, e podem acabar danificando o sistema em quanto testam. Checar por XSS por exemplo não causa dano, e mesmo sem o programa de bugs é sempre uma boa idéia notificar o desenvolvedor", disse Kolochenko. "Mas em testes mais perigosos como SQLi por exemplo, se o pesquisador não tiver conhecimento do que pode e não pode fazer, pode sem intenção deletar alguma coisa ou tornar o sistema completamente instável. E isso que nem estou falando sobre ferramentas automáticas e scanners que causam sérios danos se usados de forma errada. Neste caso, é que a maioria dos hackers usam diversas ferramentas de scan de vulnerabilidades ao mesmo tempo, bombardeando o alvo de testes de segurança."
Em muitos casos e locais, o scan por SQLi, por exemplo, pode ser considerado ilegal. A presença de um programa de recompensa, por outro lado, remove completamente essa restrição, dando acesso a hackers mais maliciosos e de baixo conhecimento. Kolochenko também comenta que pesquisadores de segurança não veem isso como um trabalho, podem fazer isso em busca de reconhecimento, por diversão ou a nível de desafio, mas dificilmente seu trabalho principal.
Um exemplo disso é o próprio Twitter. Como comentou Kolochenko, o Twitter não é um CMS qualquer que qualquer pessoa pode auditar facilmente, é um sistema que requer experiência, qualificações e muito tempo. Também comenta que não conhece nenhum pesquisador de segurança que trabalhe por $140. Com isso pode afirmar que as pessoas que submetem bugs encontrados estão fazendo por fama ou desafio.
Outro exemplo usado por Kolochenko é o programa do Yahoo que paga a cada falha encontrada cerca de $50, podendo ser convertida em créditos da Yahoo Store, como o caso do pesquisador que encontrou uma falha de XSS no Yahoo e ganhou cerca de $12 na loja, ou seja, uma camiseta com o logo do Yahoo.
De acordo com pesquisas, um pentester ou pesquisador de segurança nos EUA ganha em torno de $60.000 a $120.000 dólares por ano, e Kolochenko conclui que para o negócio de bug bounties atrair pesquisadores mais sérios, as recompensas tem de serem maiores o suficiente para chegar próximo de um valor aceitável para viver disso para que chame a atenção de times de pesquisa de segurança.
quinta-feira, agosto 14, 2014 por UnknownNo comments
Olá leitores do blog!
Encontrei essa palestra do GTAC de 2011 explicando muuuito basicamente como um hacker pensa e como resolve diversos problemas com objetivo de encontrar falhas de segurança e desenvolver atividades para criar os exploits para explorar essas falhas.
terça-feira, agosto 05, 2014 por UnknownNo comments
Entre abril e junho deste ano, houve um total de 237 falhas que comprometeu mais de 175 milhões de registros de clientes de informações pessoais e financeiras em todo o mundo. Para o primeiro semestre de 2014, mais de 375 milhões de registros de clientes foram roubados ou perdidos como resultado de 559 violações em todo o mundo.
O setor de varejo teve mais registros de dados comprometidos do que qualquer outra indústria no segundo trimestre, com mais de 145 milhões de registros roubados ou perdidos, ou 83% de todos os registros de dados violados. Menos de um por cento de todas as 237 violações durante o segundo trimestre foram de violações onde as soluções de criptografia ou autenticação fortemente protegidas impediram que os dados sejam usados.
"Os números são bastante surpreendentes. Registros de mais de 175 milhões roubados no segundo trimestre significa que o roubo de dados está a acontecer a um ritmo de 80 mil registros por hora. E até que nós começamos a fazer as coisas de forma diferente ele provavelmente irá continuar a subir. Fazendo a mesma coisa e esperar resultados diferentes quando se trata de sua estratégia de segurança vai continuar a ter resultados dolorosos ", disse Tsion Gonen, Chief Strategy Officer, SafeNet.
"As empresas precisam começar a pensar além do PLANO A de 'como faço para evitar uma violação' e adicionar um plano B, que se concentra em minimizar o impacto da perda de dados do consumidor. Por exemplo, o uso de criptografia para inutilizar os dados. Parece que se os consumidores não começarem a exigir que as empresas paguem o preço por essas violações, a epidemia de violação de dados atual provavelmente nunca vai acabar ", acrescentou Gonen.
segunda-feira, junho 23, 2014 por UnknownNo comments
Uma plataforma chamada Scorpyn Ticket Scanner foi criada por hackers para "furar a fila" dos compradores de ingresso que desejam assistir as partidas da Copa do Mundo da Fifa.
O aplicativo avisa aos compradores, via smartphone ou computador, quando novos lotes de ingressos estão disponíveis para compra, com minutos de antecedência, segundo prometia o site.
O processo, testado pela Veja, funciona da seguinte forma:
Os usuários cadastrados no programa recebem avisos com ofertas de ingressos em seus smartphones ou computadores em qualquer lugar do mundo.
Ao aceitar a oferta, a pessoa é colocada, automaticamente, dentro da página de compra de ingressos da Fifa para finalizar a transação.
Do ponto de vista do consumidor, a ação não se configura em um crime, já que a compra é 100% legal, dentro das regras estabelecidas pela Fifa.
No entanto, ao entrar na disputa de ingressos por meio de um programa que não seja o oficial, a pessoa infringe a proteção das informações de quem compra e fere o discurso de total segurança da entidade.
Em coletiva no Maracanã, Delia Fischer, chefe do departamento de comunicação da Fifa, disse que a entidade está apurando o caso.
Ainda segundo a reportagem, a Fifa diz que há vários sites criados para tentar adquirir ingressos de maneira privilegiada, mas que "não é possível fazer essa compra por meio de nenhum outro portal que não seja o da entidade".
No início da tarde desta sexta, 20, o site do Scorpyn Ticket Scanner estava fora do ar. Um recado com fundo branco agradece aos usuários e diz: "Vejo vocês em 2018!".
Na quinta-feira, 19, a Fifa indicou que a saída precoce da Espanha e outras seleções, da Copa do Mundo, pode provocar uma nova leva de ingressos à venda no site, por conta de cancelamento de torcedores que programaram uma estadia mais longa no Brasil e foram pegos de surpresa com o desempenho de suas equipes.
De acordo com os números divulgados pela entidade, no momento restam 7.874 ingressos à venda, mas são poucas as partidas com lugares disponíveis. No total, 3.017.024 entradas já foram vendidas, mas 187.060 ainda não foram recolhidas pelos torcedores.
SEGURANÇA
O que se discute dentre os especializados no assunto é que há uma falha de segurança nos bancos de dados da Fifa.
O sistema que gerencia a venda de ingressos para jogos da Copa de 2014 é fornecida por uma das empresas de internet mais respeitadas dos Estados Unidos, a Akamai Technologies, com sede em Cambridge, Massachusetts, que também tem como clientes empresas como Microsoft, Yahoo!, MySpace e NBA, a bilionária liga americana de basquete.
Como não há nenhuma relação ou parceria entre Fifa e Scorpyn, é possível afirmar que os hackers tiveram acesso ao sistema que deveria ser seguro e, a partir disso, passaram a ter informações do banco de dados de ingressos da Fifa.
“Se é possível ter acesso ao banco de dados de ingressos, provavelmente há uma brecha para visualizar também o conteúdo de cadastros de quem compra. É uma falha de segurança seríssima”, avalia um dos dois especialistas em segurança da internet consultados pela reportagem.
Uma das ferramentas de código aberto mais conhecidas para encriptação de dados foi descontinuada e seu uso é desencorajado pelos desenvolvedores.
Mesmo depois de um investimento forte em auditorias, através de uma chamada pública, que até mês passado, em sua primeira etapa, não revelou a existência de nenhum backdoor, desenvolvedores fizeram modificações que alertam sobre riscos em seu uso, na última versão lançada da ferramenta.
A página oficial informa os riscos associados ao uso em dados sensíveis e fornece informações de como migrar os dados para outras aplicações em ambientes Windows e Mac.
segunda-feira, maio 12, 2014 por Unknown2 comments
Normalmente hackers mal intencionados não tem um alvo específico em mente, apenas buscam por algo vulnerável e fácil de invadir. Não seria bom para eles se tivessem um motor de busca como o Google para achar esses alvos? E existe, se chama Shodan!
O que é o Shodan
Muitos descrevem o Shodan como o search engine para hackers, e o chamam de "Search engine mais perigoso do mundo". Foi desenvolvido por John Matherly em 2009, e diferente de outros motores de busca, ele indexa apenas informações sensíveis que podem ser úteis.
Shodan pesquisa por banners de serviços em servidores e dispositivos na internet, maioria em porta 80, mas também portas 21 (ftp), 22 (ssh), 23 (telnet), 161 (SNMP), e 5060 (SIP).
O que o Shodan pode mostrar
Já que qualquer novo dispositivo tem uma interface web (até mesmo seu refrigerador novo) para gerenciamento remoto, podemos acessar inúmeros web serves, dispositivos de rede, sistemas de segurança, etc.
Shodan pode encontrar webcams, sinais de trânsito, projetores, roteadores, sistema de aquecimento residencial, e até sistemas SCADA, que se você não sabe, controla usinas nucleares e empresas de energias. Se tem uma interface web o Shodan pode encontrar!
Mesmo que a maioria desses sistemas use a porta 80 usando HTTP, alguns podem usar telnet ou outros protocolos em outras portas. Lembre disso se for tentar conectar em algo...
Passo 1: Criar uma conta no Shodan
Antes de mais nada, vamos precisar de uma conta no site. Acesse shodanhq.com e você verá uma tela parecida com essa:
Passo 2: Pesquisar no Shodan
Assim que terminar o processo de registro, podemos pesquisar o que queremos na barra de busca ou podemos ir para o "Search Directory" e ver as buscas mais comuns e recentes. Se você é novo no Shodan, recomendo que vá no "Popular Searches" primeiro.
Passo 3: Encontrar Webcams desprotegidas
Um dos principais dispositivos que podemos encontrar no Shodan são inúmeras, desprotegidas, webcams e câmeras de segurança. Está é uma das que pode ser encontradas no site. Uma câmera de segurança de um hangar da Noruega. Note que temos o controle de movimento e zoom na tela, então ainda podemos mover e dar zoom na imagem.
Passo 4: Encontrando Sinais de trânsito
Outra coisa muito interessante que pode ser encontrada no Shodan são dispositivos de trânsito como sinaleiras e câmeras que detectam as placas dos carros para identificar para quem mandar as multas.
Muito cuidado! Hackear sistema de trânsito pode causar alguma fatalidade, sem falar que é ilegal.
Passo 5: Encontrar roteadores
O Shodan tem um catálogo de milhares, se não milhões, de roteadores, a maioria deles não está nem protegido. Aqui está uma foto de um que foi encontrado e acessado com a combinação de usuário e senha "admin/admin".
Obviamente, se eu tivesse intenções maliciosas, poderia mudar as configurações do roteador e até redirecionar o tráfego dessa rede, interceptando tudo que passa pelos usuários.
Passo 6: Encontrando sistemas SCADA
Sistemas SCADA são normalmente atacados com o objetivo de cyber terrorismo. Com uma pesquisa rápida pode-se encontrar, por exemplo, o IP de uma hidreletrica de Genoa, Itália.
Clicando no link na página, cai direto na página de login da hidreletrica.
Imagine o estrago se o usuário e senha desse painel fosse "admin/admin".
O Shodan também tem filtros nas buscas como por exemplo, tipo de dispositivo, login, porta, e até localização geográfica.
segunda-feira, março 10, 2014 por UnknownNo comments
A remoção de direitos de administrador do Windows nos usuários mitiga 92% das vulnerabilidades críticas e 60% de todas as vulnerabilidades relatadas pela empresa de software no ano passado, um estudo revelou.
O estudo realizado pela empresa de gestão Avecto analisou dados de boletins de segurança emitidos pela Microsoft ao longo de 2013.
O estudo mostrou que a remoção de direitos de administrador mitigaria 96% das vulnerabilidades críticas que afetam os sistemas operacionais Windows, 91% das vulnerabilidades críticas que afetam o Microsoft Office e 100% de vulnerabilidades no Internet Explorer.
A medida de segurança também mitiga 100% de vulnerabilidades de execução de código remoto críticos e 80% das vulnerabilidades críticas de divulgação de informações.
Usuários com administrador pode instalar, modificar e apagar arquivos e softwares, bem como alterar configurações do sistema.
O relatório disse que isso significa que se o malware infecta um usuário com direitos de administrador, pode causar danos no local, bem como em uma rede mais ampla.
"É surpreendente quantas vulnerabilidades podem ser superadas pela remoção de direitos de administrador", disse Paul Kenyon, co-fundador e vice-presidente executivo de Avecto.
No entanto, ele disse que muitas empresas ainda não estão plenamente conscientes de quantos usuários de administração que eles têm e, consequentemente, enfrentar uma ameaça de segurança desconhecido e não quantificado.
"A consciência da importância da gestão de privilégio está crescendo, mas precisamos chegar ao ponto em que é uma medida padrão para todas as organizações", disse Kenyon.
"Estes resultados deixam claro que a gestão de privilégio é um elemento crítico de uma estratégia de segurança de terminais que não pode ser ignorada", disse ele.
quinta-feira, novembro 28, 2013 por UnknownNo comments
Falhas graves de segurança foram encontradas em três aplicativos para iOS, o Easy File Manager, o WiFi HD Free e o FTPDrive. O responsável pelo achado foi o hacker Bruno Oliveira, consultor sênior de segurança da Trustwave. Segundo ele, as brechas permitem que invasores leiam e até mesmo apaguem arquivos de um iPhone.
A descoberta foi revelada pelo brasileiro durante o evento de segurança AppSec, realizado nesta semana nos Estados Unidos. Oliveira pesquisou mais de uma dezena de aplicativos criados para armazenar e compartilhar arquivos, e vulnerabilidades foram encontradas nesses três. Segundo o hacker, o Easy File Manager é talvez o mais problemático, já que “permite a um possível invasor ver, listar, publicar e deletar arquivos” de um dispositivo com iOS.
As consequências para quem utiliza um dos apps do trio são diversas. Um cracker pode, por exemplo, roubar informações pessoais do usuário armazenadas no dispositivo. E a situação pode ser ainda pior caso o aparelho esteja conectado a uma rede corporativa.
“Nesse caso, o mesmo invasor poderia utilizar o dispositivo para acessar, monitorar e investigar a rede”, diz Oliveira. “Ou pior: até atacá-la, utilizando como sistema base o aparelho iOS comprometido.” Em um iPhone com jailbreak (desbloqueado), o ataque pode ser ainda mais devastador, já que não há limitações do sistema que impeçam um cracker de praticamente tomar o controle do smartphone ou tablet – e possa até mesmo apagar o sistema operacional.
Prevenção – Aos usuários, a recomendação para evitar tais problemas é não baixar apps de fabricantes desconhecidos – ou, no caso, um dos três mencionados, ao menos até que correções sejam feitas. Já as empresas precisam dedicar uma atenção especial à segurança no desenvolvimento de seus software, evitando vulnerabilidades do tipo. “Isso inclui condução de testes de penetração em suas aplicações, antes de estarem disponíveis para os usuários”, diz o hacker. E, claro, também é preciso se preocupar com a segurança dos próprios aparelhos.
Oliveira também destaca a importância de realizar “constantes treinamentos de conscientização dos funcionários”, para assim deixá-los a par “das melhores práticas de segurança”. Para as companhias, ainda vale a implementação de controles de segurança que possam “isolar um dispositivo móvel do resto da rede, caso o aparelho esteja comprometido”.
Papel da Apple – Para Oliveira, a empresa “realiza um bom trabalho de prevenção de malware na loja virtual”. “É quase impossível impedir falhas de software em aplicativos”, diz ele, caracterizando o trabalho como exaustivo e interminável. E completa: “um app só se mostra vulnerável a partir da descoberta da falha por um pesquisador”. Ou seja, de certa forma, o papel da Apple de evitar apps maliciosos está cumprido. O que falta é atenção por parte dos desenvolvedores.
segunda-feira, setembro 16, 2013 por UnknownNo comments
Empresas ao redor do mundo ainda ignoram as atualizações de Java, aponta um estudo da empresa de segurança Websense. O relatório aponta que menos de um quinto dos computadores corporativos rodavam a última versão do software à época, a 7u25 - a atual é a 7u40.
A análise foi baseada em pedidos de atualização detectados pelo sistema Websense ThreatSeeker Intelligence Cloud, envolveu “múltiplas empresas” ao redor do mundo e foi feita entre 1 e 29 de agosto deste ano. E, entre outros dados, ela ainda revela que cerca de 40% das solicitações de update do Java vieram de PCs com a versão 6 instalada nos browsers.
Além de ser uma edição comprovadamente com brechas de segurança, o Java 6 SE teve o suporte descontinuado em abril de 2013 – e uma quantidade tão grande de computadores que ainda o têm instalado preocupa. E o perigo aumenta ainda mais graças à popularidade do plug-in: 83,6% dos navegadores nos PCs corporativos analisados o mantém Java ativo.
As brechas mais recentes do Java, que receberam os “nomes” CVE-2013-2473 e CVE-2013-2463, datam de junho deste ano. Ambas servem como porta de entrada para cibercriminosos e seus ransomware, por exemplo, que podem “sequestrar” uma máquina. Um exemplo de ferramenta que tira proveito dessas falhas do Java é o Neutrino Exploit Kit, que teve registrado um pequeno aumento no uso nas semanas em que o estudo foi feito pela Websense.
Problemas com Flash e o lado positivo – O Java, no entanto, não é o único esquecido pelas empresas. O plug-in Flash, da Adobe, encontra-se desatualizado em 40% dos navegadores nos PCs analisados pela empresa de segurança. Dessas, 25% das versões têm ao menos seis meses de idade, enquanto 20% têm um ano e quase 11% chega aos dois anos.
Mas o estudo da Websense ainda tem um lado positivo, por incrível que pareça. Se comparados com as análises divulgadas no começo deste ano, os dados apontam para uma redução no número de computadores com a versão 6 do plug-in – de 70% para 40% do total. Com isso, dá para ver que, de todas as “múltiplas” empresas analisadas pela companhia, ao menos algumas veem as questões de segurança com um pouco mais de urgência.
segunda-feira, setembro 02, 2013 por UnknownNo comments
Mais um bug no Facebook foi descoberto e divulgado nesta semana. Desta vez, a falha permitia que uma pessoa qualquer removesse fotos do álbum de um usuário, sendo amigo dele ou não.
A brecha na segurança foi descoberta pelo pesquisador indiano Arul Kumar, que a divulgou em seu blog pessoal depois de repassá-la ao próprio Facebook. O problema foi devidamente corrigido e Kumar, ao contrário de Khalil Shreateh e o bug de algumas semanas atrás, foi bonificado com um pagamento de 12.500 dólares.
Aproveitar-se da falha descoberta pelo indiano, considerada gravíssima, era relativamente simples, o que explica o alto preço da correção. Ela se aproveitava de problemas no painel de controle do suporte do Facebook, que permitia que um usuário conferisse o status de uma denúncia de foto inapropriada, por exemplo, enviada para avaliação.
Caso uma imagem reportada não fosse removida pelos técnicos da rede social, o usuário que havia feito a acusação recebia um link. Através dele, era possível enviar uma solicitação de remoção diretamente ao responsável pela imagem – e neste endereço que estava o problema. Um vídeo gravado por Kumar mostra todo o processo.
Com algumas poucas alterações na URL, o “invasor” podia simplesmente acessar a interface visível pelo dono da foto, amigo dele ou não, e deletá-la. Dada a facilidade da execução, não levaria muito tempo para que uma ferramenta destinada unicamente para isso fosse desenvolvida, por exemplo.
A parte curiosa da denúncia é que o bug foi demonstrado usando como "vítima" o perfil de Mark Zuckerberg. No entanto, ao contrário de Shreateh, que postou no mural do dono da rede social, Kumar não colocou a falha em ação – ou seja, nenhuma foto de Zuckerberg foi apagada durante a ação. Como não houve violação nos termos de uso do Facebook, o pesquisador indiano seguiu apto a receber a bonificação.
sexta-feira, agosto 02, 2013 por UnknownNo comments
As revelações sobre o grau de vulnerabilidade que hoje atinge sistemas da administração pública federal provocaram críticas de parlamentares ao governo. Com base em documentos do Centro de Tratamento de Incidentes de Segurança de Redes de Computadores (CTIR-Gov) do Gabinete de Segurança Institucional (GSI), o iG revelou esta semana que, apenas no primeiro semestre de 2013,houve 67 casos em que a segurança tecnológica do governo foi rompida , permitindo o acesso a informações sigilosas de órgãos do governo. Nesse mesmo período, como mostra a série de reportagens, sites de órgãos federais ficaram fora do ar 672 vezes após ataques de hackers.
A principal crítica feita por senadores diz respeito à falta de investimento em tecnologia e no combate a crimes cibernéticos e a lentidão de medidas de impacto. O iG mostrou, por exemplo, que o Executivo negou um pedido de R$ 15 milhões para investimentos na Delegacia de Crimes Cibernéticos da Polícia Federal. O próprio projeto de Implantação do Sistema de Defesa Cibernética, programa encabeçado pelo Exército, e que visa fechar as lacunas que possam permitir acessos ilegais aos sistemas do governo, caminha a passos lentos. Dos R$ 90 milhões previstos para serem aplicados em 2013, apenas R$ 917 mil foram gastos até a semana passada.
O senador Alvaro Dias (PSDB-PR), líder tucano no Senado, disse que essas informações refletem um “governo atrelado ao atraso”. “Não há uma preocupação nem com a própria segurança”, disse Dias. “Essas vulnerabilidades refletem o perfil do próprio governo. Se não temos competência para combater invasões internas, imagine uma eventual espionagem internacional?”, completou, em referência a revelações de que a Agência de Segurança Nacional dos Estados Unidos (NSA) espionou e-mails e ligações de pessoas residentes ou em trânsito no Brasil.
Integrante da Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT), o senador Randolf Rodrigues (Psol-AP) classificou como preocupante os dados revelados pelo iG durante esta semana e afirmou que isso confirma as falhas de vulnerabilidade dos sistemas de informática do governo. “O Brasil hoje paga pelas escolhas que fez durante os anos de 1990, ao privatizar o sistemas de telecomunicações e não investir no desenvolvimento de sistemas nacionais de informática. Hoje somos reféns dos sistemas de informática importados”, criticou. “Qualquer militante genuíno do Anonymous (grupo de hackers responsáveis por vários ataques aos sistemas de informática do Poder Executivo) do Brasil consegue derrubar os sites do governo federal”, diz ele.
Já o líder do governo no Senado, Eduardo Braga (PMDB-AM), minimizou as críticas e disse que hoje o Brasil já tem mecanismos de punições a crimes cibernéticos do gênero. Ele citou a lei 12.737/2012, conhecida como “Lei Carolina Dieckmann”. A norma passou a punir com um até três anos de prisão pessoas que invadirem ou violarem sistemas de informática. “Nós, enquanto legisladores, tivemos a iniciativa de aprovar uma lei para fortalecer o combate ao crime cibernético”, afirmou Braga, que foi relator da matéria do Senado. “Agora, sem dúvida o governo está atento a tentativas de invasões em seus sistemas”, declarou.
sexta-feira, julho 19, 2013 por Gabriel SilvaNo comments
Falha permite a crackers contornar a sandbox do software e executar um código arbitrário no sistema subjacente.
Pesquisadores da empresa de pesquisa de vulnerabilidades Security
Explorations afirmam ter identificado uma nova vulnerabilidade no Java
7, que pode permitir a atacantes contornar a sandbox (mecanismo de
segurança) do software e executar um código arbitrário no sistema
subjacente.
A vulnerabilidade foi divulgada na quinta-feira (18) para a Oracle,
juntamente com o código prova de conceito (PoC), disse Adam Gowdiak, CEO
e fundador da Security Explorations, em uma mensagem no fórum Full Disclosure.
De acordo com Gowdiak, a vulnerabilidade está localizada na
Reflection API (application programming interface), um recurso que foi
introduzido no Java 7 e que tem sido fonte de muitas vulnerabilidades
críticas no software até o momento. A empresa de segurança confirmou que
o código de exploração PoC funciona no Java SE 7 Update 25 e versões
anteriores, disse.
O novo problema identificado pela Security Explorations pode permitir
a crackers executar um ataque "clássico", conhecido há pelo menos 10
anos, disse Gowdiak. Este tipo abordagem costumava ser usada para afetar
a máquina virtual (VM) Java em seus primeiros dias, no final dos anos
90, disse via e-mail.
"É um desses riscos os quais deve-se proteger, em primeiro lugar,
quando novos recursos são adicionados ao Java no nível VM núcleo", disse
Gowdiak. É surpreendente descobrir que a proteção contra este tipo de
ataque não foi implementada para a Reflection API no Java 7, quando
estava sendo desenvolvido, disse.
O pesquisador afirma que a vulnerabilidade permite a atacantes violar
uma característica fundamental da segurança da VM - a segurança do seu
sistema de tipagem.
"Como resultado do ataque, pode-se realizar operações arbitrárias de
conversão de tipo entre tipos de dados do Java como um inteiro e um
ponteiro", disse ele por e-mail. "Em Java, as operações de conversão de
tipo precisam seguir regras rígidas, para que a memória seja acessada de
forma segura."
Gowdiak criticou a implementação da Reflection API no passado,
dizendo que o recurso não parece ter sido submetida a uma revisão de
segurança completa.
Ele acredita que a presença desta nova vulnerabilidade no Java 7
levanta dúvidas sobre a eficácia da garantia de segurança de software da
Oracle e práticas de revisão de código de segurança. "Uma enorme
quantidade de bugs passam despercebidos por essas políticas e
procedimentos", disse ele.
Como diz o Ditado: "Recordar, é viver", mais uma vez provando, que estudar falhas antigas, pode fazer a diferença na vida de um Analista de Segurança...
quinta-feira, julho 18, 2013 por Gabriel SilvaNo comments
A Oracle disse na terça-feira (16) que a sua rodada mensal de
correções para julho inclui 89 correções, 27 das quais abordam
vulnerabilidades exploráveis remotamente em quatro produtos amplamente
utilizados.
Dessa, a vulnerabilidade mais crítica afeta o Oracle Database, o
Fusion Middleware, a Oracle and Sun Systems Product Suite, e o banco de
dados MySQL, escreveu Eric P. Maurice, diretor de garantia de segurança de software da empresa.
"Como de costume, a Oracle recomenda que os clientes apliquem a Critical Patch Update o mais breve possível", escreveu.
O Fusion Middleware recebeu 21 correções, 16 das quais podem ser
exploradas remotamente. Uma das atualizações é relacionada ao JRockit, a
Máquina Virtual Java no Fusion Middleware. A vulnerabilidade está
relacionada a uma série de questões Java corrigidas em updates de junho
da Oracle para Java SE (Server Edition), escreveu Maurice.
A Oracle afirmou no início deste ano
que começaria a liberar atualizações Java juntamente com suas
atualizações mensais de correção, a partir de outubro. A iniciativa veio
após várias vulnerabilidades 0-day que afetavam o plugin do Java para
navegador serem descobertas, o que levou um olhar mais atento à
segurança do software.
Maurice também escreveu que a última rodada de correções engloba "uma série de bugs conhecidos no servidor HTTP da Oracle."
O restante dos patches corrigem questões relacionadas ao Hyperion,
Enterprise Manager Grid Control, E-Business Suite, PeopleSoft
Enterprise, Industry Applications, Supply Chain Products Suite e
produtos VM.
segunda-feira, julho 15, 2013 por Gabriel SilvaNo comments
Foto: Kaspersky / Divulgação
Da África do Sul à Coreia do Sul, o negócio de descobrir
brechas de seguranças e bugs em sistemas está crescendo para os
hackers, segundo reportagem do The New York Times. As falhas encontradas
pelos programadores podem dar acesso a sistemas como o Windows, da
Microsoft, e permitir ao comprador do segredo acesso ao computador de
qualquer companhia ou governo que use o sistema.
Até alguns anos atrás, os bugs descobertos eram vendidos
às próprias fabricantes do software defeituoso. Microsoft e Apple, por
exemplo, pagam por essas informações - e Redmond inclusive aumentou o
valor máximo por erro para US$ 150 mil no mês passado. O Facebook gastou
US$ 1 milhão desde 2011, quando iniciou seu programa de recompensas, e o
Google paga até US$ 20 mil por falhas encontradas no navegador Chrome. A
Apple não tem uma iniciativa de recompensa, e diz-se no ramo que uma
falha no iOS uma vez foi vendida por US$ 500 mil.
Mas atualmente os governos pagam por esse tipo de
informação do que as companhias desenvolvedoras dos softwares, uma vez
que países podem explorar os dados para conseguir estar à frente - ainda
que por tempo limitado - de nações rivais com que travam disputas. De
acordo com companhias do setor, uma falha custa hoje, em média, entre
US$ 35 mil e US$ 160 mil. Um dos modelos de negócio exige US$ 100 mil de
assinatura anual, para olhar o "catálogo" de falhas e, uma vez
escolhida a brecha desejada, cobra por cada item separadamente.
Os profissionais do ramo chamam essas falhas de "zero
days" - algo como "tempo zero", em tradução livre -, em referência ao
fato de que o usuário não tem tempo nenhum de se proteger: a falha
vendida pode ser usada imediatamente por quem a comprar.
"Governos estão começando a dizer, 'para proteger meu
país, preciso encontrar vulnerabilidades em outras nações'", afirma
Howard Schmidt, ex-coordenador de cibersegurança da Casa Branca. "O
problema é que estamos essencialmente ficando menos seguros", contrapõe.
O jornal americano cita dados da Symantec de que falhas
'zero days' persistem por cerca de 312 antes de ser detectada - nesse
tempo, a brecha pode ser explorada por golpistas ou governos. Os Estados
Unidos seriam um dos países compradores desse tipo de informação, de
acordo com os dados vazados pelo ex-agente da CIA Edward Snowden sobre o
esquema de vigilância em massa do governo americano através da agência
nacional de segurança ianque (NSA).
Mas os EUA não estariam sozinhos. Israel, Reino Unido,
Rússia, Índia e Brasil investiriam pesado na compra desses bugs. A
Coreia do Norte e agências de inteligência em alguns países do Oriente
Médio também, segundo Luigi Auriemma e Donato Ferrante, dois
profissionais do ramo que moram em Malta e falaram ao NYT. De acordo com
o Centro para Estratégias e Estudos Internacional, de Washington,
países da Ásia como Malásia e Singapura, completam a lista.
A negociação entre hackers e governos é feita por
corretores, que cobram 15% do valor do negócio em comissão. Em alguns
casos, o programador que descobre a falha ganha um adicional por cada
mês em que o bug não é arrumado - ou seja, em que a brecha continua
aberta ao invasor.
Mas o lado confidencial é essencial ao negócio desses
corretores. Um dos mias famosos, que atua de Bangcoc e atende na conta
Grugq do Twitter, deu entrevista à revista Forbes no ano passado e viu
as transações diminuírem, porque os clientes ficaram desconfiados.
Apesar disso, de acordo com o jornal americano, a
abordagem não precisa ser discreta. A reportagem cita quatro startups
que anunciam que vendem vulnerabilidades para fins de ciberespionagem e,
em alguns casos, ciberataque.
Uma delas, onde atua um ex-gerente da NSA, afirma que
oferece suas ferramentas para encontrar brechas primeiramente ao governo
americano. Outra, diz que todos os seus clientes são americanos. Uma
terceira alega que não vende a países com os quais a União Europeia, os
EUA ou a ONU têm embargo.
O mercado, alegam todos os players, começou a crescer em
2010, quando Estados Unidos e Israel compraram falhas para atacar o
sistema iraniano de enriquecimento de uranio. Agora, mais países pagam, e
pagam melhor, para obter essas informações. Hackers afirmam que não é
possível escolher os clientes, ou o profissional acaba "escanteado".
Alguns, inclusive, defendem que não se deve entregar de graça
conhecimento profissional. "Há sempre alguém interessado em pagar",
lamenta Schmidt, ex-Casa Branca.
Nos dias de hoje Segurança Digital é um dos temas mais comentados nas mídias sociais e veículos de comunicação. Tudo gira em torno de privacidade, segurança e os maldosos hackers ....
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
Foto: Kaspersky / Divulgação
