Voce precisa hackear esse game para vencer

Para a maioria dos gamers, Pwn Adventure 2 bear challenge parece impossível. Uma horda de ursos atacam de todas as direções, e não importa quantos você mate, sempre terá outros para substituí-los. Mesmo se você for bom o suficiente para aguentar e matar todos os ursos, depois de 90 segundos eles revivem, pegam AK-47s e acabam com seu personagem.

A não ser que você está jogando como um hacker. Então você vai fazer uma engenharia reversa no game e perceber que a variável que determina seu poder é armazenada localmente, e não no servidor. Mudando a variável de 20 para 100, seu personagem se torna invencível, pronto para massacrar quantos zumbis ursos necessários. Após 2 minutos de jogo, um baú de tesouros aparece e abre, revelando uma bandeira, e você vence o game.

Este hack não é uma forma de trapacear o jogo, disseram Jordan Wiens e Rusty Wagner, dois pesquisadores de segurança que criaram o Pwn Adventure. Neste jogo, o objetivo é realmente hackear o jogo. "O conceito do jogo é encontrar falhas de seguranças comuns e transformar essas falhas nos desafios," disse Wagner, que apresentou o jogo em um conferência de segurança a algumas semanas. "Você vai pegar esses bugs intencionais do jogo, e com eles passar os desafios, abusando dos bugs para ganhar."

Para um observador casual do jogo, esses players alterados pareceriam ter super poderes: se mover muito mais rápido que o normal, voar, mirar com precisão absurda. Na verdade, estes são os principais truques que jogadores que trapaceiam usam, alterando e explorando coisas que os servidores não checam.

No Pwn Adventure, essas falhas são intencionais, disse Wagner, e são o único jeito de avançar no jogo. Na verdade, a maioria dos estágios necessita de um hack para passar. Por exemplo, trapacear o servidor de alguma forma que o jogador consiga ser teleportado de um cenário para outro.

Outro exemplo é um boss que ataca com armas de fogo, e somente armas de gelo pode atacá-lo. Mas ao chegar na metade da vida, o monstro regenera toda sua vida, parecendo impossível de vencer. Mas por causa de um bug em uma variável, olhando em seu código, é possível ver que em determinado momento do processo de cura, atirando com uma arma de fogo contra ele, pode-se ver sua vida subindo para mais do que cem por cento, causando que o valor vá ao negativo, já que os limites da variável foram quebrados. "Eu adoro esse," disse Wiens. "Você não precisa alterar de fato o cliente do jogo, mas mesmo assim precisa fazer engenharia reversa para descobrir."

Wiens e Wagner são veteranos em eventos de Capture the Flag, competições famosas em eventos de segurança e hacking. Em 2009 eles venceram o CTF da DEFCON, que seria equivalente ao campeonato mundial de Capture the Flag, e em 2013 terminaram em segundo.

O jogo foi lançado na conferência Shmoocon em janeiro, que fazia parte da competição do CTF. No evento, foram contabilizados mais de 250 jogadores simultâneos e mais de 1200 jogadores no total.

Fonte: Wired

Read More

Google mantém pressão e revela mais 3 bugs do Windows

A equipe de segurança do Google revelou três novos bugs do Windows na última sexta-feira, 16/1, mantendo a pressão para a Microsoft corrigir as falhas do sistema em até 90 dias.

No entanto, a Microsoft disse que nenhum desses bugs será solucionado com um update de segurança.

Desde 29/12, o Project Zero, do Google, revelou diversos bugs no Windows antes de a Microsoft conseguir corrigi-los. O Project Zero é composto de vários engenheiros de segurança do Google que investigam não apenas o próprio software da empresa, mas também de outras companhias. Após informar uma falha, o Proect Zero começa uma contagem regressiva de 90 dias, e então publica automaticamente detalhes e amostras do código de ataque caso a vulnerabilidade não tenha sido solucionada.

Uma das primeiras revelações feitas pelo Google fez com que a Microsoft detonasse a empresa de Mountain View por supostamente colocar em risco os usuários do Windows.

O Google retirou as restrições de visualização dos três bugs mais novos na sexta-feira, tornando públicos os detalhes do rastreador de bugs do Project Zero após a Microsoft afirmar que não tinha a intenção de resolver os problemas.

“A Microsoft concluiu que o problema não atende à sua barra de boletim de segurança. Eles afirmam que exigiria muito controle por parte do invasor”, afirma o rastreador de um dos bugs.

O Google informou três bugs para a Microsoft nos dias 27/10, 5/11, e 10/11, e os classificou como falhas de revelação de informação ou possível elevação de vulnerabilidades de privilégios.

Pelo sistema padrão de classificação de ameaças da Microsoft, nenhuma dessas três teria ficado numa classificação acima de “Importante”, a segunda mais importante da lista.

De qualquer, a Microsoft não irá liberar patches para nenhum desses três bugs. “Os casos liberados publicamente não oferecem nenhuma implicação séria de segurança, e não planejamos resolvê-las com updates de segurança”, afirmou um porta-voz da Microsoft.

Fonte: IDG NOW

Read More

Google expõe publicamente falha de segurança no Windows 8.1

O Google tomou uma atitude polêmica que pode atrapalhar ainda mais as relações com a Microsoft. A empresa divulgou publicamente uma falha no Windows 8.1 encontrada graças ao Project Zero, iniciativa do gigante de buscas que se propõe a encontrar vulnerabilidades no software de outras companhias. 

A falha, que permite que usuários ganhassem privilégios de administrador sem permissão, foi revelada de forma privada à Microsoft há 90 dias, afirma o Google. A empresa considera este o prazo suficiente para que qualquer membro de indústria corrija o que está errado, e que é um período de tempo razoável para executar os processos de gerenciamento de vulnerabilidades. 

No entanto, o assunto é sempre polêmico, já que, dependendo da falha, ao expô-la publicamente, é possível deixar milhões de usuários vulneráveis. Ao mesmo tempo, abrindo a falha a qualquer um, os responsáveis são obrigados a agir de forma mais rápida. Fica a dúvida: 90 dias são o suficiente? O Google acha que sim. 

O caso parece razoavelmente inofensivo, já que segundo a Microsoft, para que alguém possa explorar o bug, é necessário ter credenciais válidas para o login no computador. Ou seja: dificilmente é algo que afete o usuário doméstico, mas pode ser um problema em empresas. 

A Microsoft diz que a solução já está a caminho, no entanto, apesar da demora. Agora que a falha se tornou pública, a empresa precisa se apressar para liberar a atualização que solucione o problema.

Fonte 

Read More

Recompensas por bugs, uma boa idéia mas mal executada

Recompensas de bugs estão nas notícias novamente. O Twitter anunciou o seu próprio novo esquema, enquanto Robert Graham, da Errata Security reivindica que é mais provável a perda de dados pessoais se o prestador de serviços não tem um programa de recompensas. As recompensas do Twitter começam em $140 (sem limite máximo especificado), enquanto Graham (perito) afirma que a falta de um programa indica que a empresa violada não fez tudo o que podia para evitar a falha.

O ponto de vista de Graham implica que recompensas por bugs são um processo eficaz de segurança. As recompensas do Twitter tentam mostrar que esses programas não precisam ser caros. Mas isso pode ser levado como verdade? Veja a opinião de Ilia Kolochenko, CEO e fundador da High-tech Bridge, uma empresa especializada em testes de invasão e descoberta de vulnerabilidades.

"Bug bounties, podem ser uma ferramenta extremamente efetiva se for implementada e operada corretamente. O problema, é a dificuldade de encontrar e a raridade que é obtida, pode-se fazer mais mal que bem."

"O maior problema é que quando um programa desses é iniciado, hackers de todos os tipos, qualificações e ética consideram como um sinal verde para atacar o sistema. A maioria destes atacantes normalmente tem conhecimentos limitados ou completamente nenhum conhecimento em testes de segurança, e podem acabar danificando o sistema em quanto testam. Checar por XSS por exemplo não causa dano, e mesmo sem o programa de bugs é sempre uma boa idéia notificar o desenvolvedor", disse Kolochenko. "Mas em testes mais perigosos como SQLi por exemplo, se o pesquisador não tiver conhecimento do que pode e não pode fazer, pode sem intenção deletar alguma coisa ou tornar o sistema completamente instável. E isso que nem estou falando sobre ferramentas automáticas e scanners que causam sérios danos se usados de forma errada. Neste caso, é que a maioria dos hackers usam diversas ferramentas de scan de vulnerabilidades ao mesmo tempo, bombardeando o alvo de testes de segurança."

Em muitos casos e locais, o scan por SQLi, por exemplo, pode ser considerado ilegal. A presença de um programa de recompensa, por outro lado, remove completamente essa restrição, dando acesso a hackers mais maliciosos e de baixo conhecimento. Kolochenko também comenta que pesquisadores de segurança não veem isso como um trabalho, podem fazer isso em busca de reconhecimento, por diversão ou a nível de desafio, mas dificilmente seu trabalho principal.

Um exemplo disso é o próprio Twitter. Como comentou Kolochenko, o Twitter não é um CMS qualquer que qualquer pessoa pode auditar facilmente, é um sistema que requer experiência, qualificações e muito tempo. Também comenta que não conhece nenhum pesquisador de segurança que trabalhe por $140. Com isso pode afirmar que as pessoas que submetem bugs encontrados estão fazendo por fama ou desafio.

Outro exemplo usado por Kolochenko é o programa do Yahoo que paga a cada falha encontrada cerca de $50, podendo ser convertida em créditos da Yahoo Store, como o caso do pesquisador que encontrou uma falha de XSS no Yahoo e ganhou cerca de $12 na loja, ou seja, uma camiseta com o logo do Yahoo.

De acordo com pesquisas, um pentester ou pesquisador de segurança nos EUA ganha em torno de $60.000 a $120.000 dólares por ano, e Kolochenko conclui que para o negócio de bug bounties atrair pesquisadores mais sérios, as recompensas tem de serem maiores o suficiente para chegar próximo de um valor aceitável para viver disso para que chame a atenção de times de pesquisa de segurança.

Fonte: Net-security

Read More

Google corrige bug que afeta 99% dos aparelhos com Android

Semana passada uma equipe da Bluebox Labs alertou sobre uma falha no Android antiga e que afeta 99% dos aparelhos em uso rodando o sistema. O Google agiu rápido e já liberou uma correção, embora o seu smartphone ou tablet talvez demore um pouco para recebê-la.


A falha, para quem não se lembra, permitia que um APK (formato de arquivo dos instaladores de apps) fosse alterado sem modificar a assinatura criptográfica, o que (em tese) garante a integridade de um aplicativo. Essa modificação poderia ser usada para a injeção de código malicioso e, como a assinatura não muda, seria difícil ao usuário notar que algo está errado.

O Google anunciou, por intermédio de Gina Scigliano, Gerente de Comunicações do Android, que a correção do problema está pronta e já foi enviada às fabricantes. E aqui, provavelmente, mora o problema: depende delas, e das operadoras, repassar a correção aos usuários. Há relatos de que a Samsung já está liberando a atualização para usuários do Galaxy S 4, mas esse comportamento parece ser exceção. Se nem o Nexus 4 foi atualizado ainda, não é de se espantar que outros também estejam no aguardo.

O consolo que fica é que a falha, que existe há quatro anos, desde a época do Android 1.6 “Donut”, nunca foi explorada, e que quem baixa apps apenas do Google Play tem várias camadas de proteção, como o Bouncer. E mesmo quem costuma dar umas escapadas da loja oficial do Google conta com algumas barreiras do tipo, desde que esteja rodando o Android 4.2. [ZDNet]

Fonte: GizModo

Read More