Analizando e escrevendo um exploit local

Olá leitores!

Andei meio sumido, a quantidade de posts caiu, mas não parou!

Muita correria com toda a equipe na verdade, mas sempre que sobra um tempo viemos postar aqui, desculpe por isso!

Agora sim vamos ao post.

Pelas minhas andanças pelo RSS encontrei essa série do Infosec Institute sobre analisar e escrever um exploit.

É uma série de posts bem como as que gostamos de fazer por aqui, a série em si já tem 8 partes, mas as duas últimas (7 e 8) são as que mais me chamaram a atenção que é justamente analisar uma aplicação em baixo nível e criar um exploit. 

Pretendo criar uma versão da BS deste artigo já a um bom tempo, começando de algo mais básico e mais detalhado para que todos possam entender.

Mas em quanto esse post não sai fique com a versão do Infosec Institute. (Inglês)

Analizando e escrevendo um exploit local - Parte 1

Analizando e escrevendo um exploit local - Parte 2

Read More

Entrevista: Daniel Leme - Criador do POG

E ai galera!

Gravamos uma entrevista com o Daniel Leme, o criador de uma ferramenta chamada POG. O objetivo desta ferramenta é utilizar comandos de voz para controlar computadores.

Fica ai então nosso apoio aos Devs brasileiros que como o Daniel, tem criatividade e potencial para desenvolver algo interessante.

Projeto com muito potencial! Siga desenvolvendo e aprimorando.

Video:

E você ai, tem algum projeto interessante ou algum texto/artigo que gostaria de contribuir? Entre em contato e divulgaremos seu trabalho com o maior prazer :D

Read More

Um bom modo de estudar programação

E ai pessoal!

Como provavelmente vocês já viram o post "A importância da programação", programação é realmente muito importante. Eu não sou nenhum expert em programação, pelo contrário, sou bem mediano, para não dizer ruim.

Para resolver isso, estou melhorando minhas habilidades de programação e um dos primeiros conteúdos que fui atras foi o famoso curso de programação de Harvard. Se você não está sabendo, a Universidade de Harvard dos EUA disponibiliza online a disciplina de programação do curso de Ciência da Computação no portal edX. Neste portal também podem encontrar diversos outros cursos, então fica a dica.

Descobri recentemente que existe uma comunidade brasileira que redistribui este curso. Para o pessoal que ainda tem um problema com o idioma inglês deixo aqui a dica do site cc50.com.br, que tem o curso e algumas outras informações da comunidade.

O curso em si é muito bom, mas já aviso, antes de cair de cara é necessário que você já tenha um conhecimento básico de lógica de programação e quem sabe até mesmo programação em si. O curso de Ciência da Computação tem um nível elevado comparado com a maioria dos cursos similares daqui, então se você pensa em seguir com o curso prepare-se para estudar muito.

Mais uma informação, no curso a linguagem de programação usada é o C, e o Scratch na primeira aula.

Deixo essa dica e fico por aqui!

Vou lá estudar programação também! :D

Read More

Hacker vazam SKD do Xbox One, o que pode permitir a criação de apps para o console

A algumas semanas atras, no natal, as empresas Sony e Microsoft sofreram um ataque DDoS que tirou e deixou instável por várias horas as redes de jogos do Playstation e do Xbox, mas esse não foi o fim das preocupações da Microsoft.

Desta vez, não foram serviços, mas sim o software de desenvolvimento (SDK) do Xbox One, que já está circulando pela internet. Com o SDK disponível é possível que diversos aplicativos "caseiros" para o console.

O grupo divulgou o SDK no Twitter oficial e o vazamento conta com o SDK, as ferramentas e plugins auxiliares, firmwares e documentação.

O grupo H4LT alegou que a divulgação do SDK serve para permitir "mais criatividade e pesquisa, pelos aplicativos caseiros"

Veja explicação que o grupo deu ao TechGame, via direct message do Twitter:

Nós vazamos para a comunidade porque se alguma coisa é compartilhada, o progresso é alcançado mais rápido que sozinho. Compartilhar com a comunidade = criatividade e pesquisa. O SDK vai basicamente permitir que a comunidade abra portas e criem funcionalidades que ainda não estavam disponíveis no Xbox One.

O grupo também falou que não estava envolvido nos ataques de DDoS do Lizard Squad, e em um tweet direto ao grupo o H4LT atacou: "Vocês se divertem em derrubar servidores. Porque não nos divertir vaz-*COF COF* dando isso?"

Fonte: The Hacker News

Read More

Desenvolvedor diz que fork do truecrypt é impossivel

Apesar de um número de pessoas que manifestaram interesse em continuar o desenvolvimento do TrueCrypt, o futuro desses projetos é questionável como um dos desenvolvedores do TrueCrypt sente que fazer um "fork" do software não seria uma boa idéia.

Esta declaração, postada no Pastebin, vem como uma resposta a uma pergunta feita por Matthew Green, criptógrafo e pesquisa professor da Universidade Johns Hopkins e uma das entradas do projeto de auditoria OpenCrypto, que pretende executar uma auditoria crowdfunded de segurança, pública do TrueCrypt.

"Nos últimos meses temos (muito lentamente) auditado o código do TC. Agora que você não vai mais mantê-lo, não parece haver um grande interesse em desenvolve-lo. Acho que esse interesse chegou ao ponto onde um fork é praticamente inevitável ", escreveu Verde no e-mail dirigido ao desenvolvedor anônimo.

Ele passou a explicar que "o plano atual está sendo conduzido por um grupo de pessoas que têm uma grande experiência com criptografia e os conhecimentos necessários para identificar falhas, mas prefere não projetar a partir do zero." Ele provavelmente se refere a disposição de OCAP considerar apoiar e se envolver em um fork sob uma licença livre apropriada.

"A principal preocupação que temos agora é com a estrutura de licenciamento e marcas associados com TrueCrypt. É claro que alguns irão o rejeitar, independentemente das questões legais, mas isso não parece adequada, sem uma orientação clara. O que nós gostaríamos é a permissão para ter, pelo menos, partes da base de código atual e criar o fork sob uma licença open source padrão (por exemplo, GPL / MIT / BSD). Gostaríamos também que a permissão de uso da marca TrueCrypt como parte deste esforço. Se isso não for possível, faríamos aceitar uma declaração clara de que você prefere o software não ser renomeado ", explicou Green.

"Eu sinto muito, mas eu acho que o que você está pedindo aqui é impossível", respondeu o desenvolvedor TrueCrypt.

"Eu não sinto que fork TrueCrypt seria uma boa idéia, uma reescrita completa era algo que queria fazer há algum tempo. Acredito que começar do zero não exigiria muito mais trabalho do que realmente aprender e compreender toda a atual base de código do TrueCrypt. Eu não tenho nenhum problema com o código-fonte a ser utilizada como referência. "

Fonte: Help Net Security

Read More

Icculus diz que o Linux está se transformando neste momento em uma plataforma viável para jogos

Ryan "icculus" Gordon, o desenvolvedor que desde os tempos da Loki Software está entre os que mais fizeram para trazer para o Linux jogos de outras plataformas, foi entrevistado pelo Gamasutra e, ao ser perguntado sobre o que seria necessário para fazer do Linux uma plataforma mais viável para jogos, tanto para os usuários quanto para os desenvolvedores, respondeu: você está vendo isso acontecer, hoje mesmo.

Segundo ele, são 3 fatores que convergem para oferecer a oportunidade perfeita para os jogos no Linux: o Humble Bundle demonstrando que o Linux tem usuários dispostos a pagar por jogos, o engine de jogos multiplataforma Unity3D torna trivial lançar versões nativas para o Linux, e a Valve lançou um cliente da Steam para o Linux.

Fonte:  Br-Linux

Read More

Kaspersky Lab diz que Trojans bancários são o tipo de malware actualmente mais perigoso

Analistas da Kaspersky Lab estudaram a fundo os mecanismos utilizados nos ataques à banca online e apresentam agora as suas conclusões.

Os Trojans bancários são o tipo de malware actualmente mais perigoso. Uma vez instalado no computador da vítima, o Trojan recolhe automaticamente todos os dados de pagamento online e inclusive chega a realizar transacções financeiras em nome da vítima.

Os cibercriminosos utilizam dois tipos de malware para perpetrar estes ataques. Por um lado, estão os Trojans bancários multi-alvo, capazes de atacar clientes de diferentes bancos e sistemas de pagamento e, por outro, os Trojans dirigidos aos clientes de um banco específico.

Os cibercriminosos enviam estes Trojans através de emails phishing que imitam mensagens de bancos reais para atrair a atenção dos utilizadores. Para a sua distribuição em massa, os cibercriminosos exploram as vulnerabilidades dos programas mais populares do Windows através de exploits que instalam o Trojan no equipamento.

Os Trojans bancários são capazes de contornar as protecções adicionais de segurança como a autenticação através de dois passos com passwords de uma só utilização (códigos TAN).

Um dos comportamentos do Trojan ZEUS consistia em mostrar uma notificação falsa, assim que a vítima entrava num sistema de banca online e introduzia este tipo de códigos, que indicava que a lista actual dos códigos TAN é inválida e convidava o utilizador a obter uma nova lista de senhas.

Para tal, a vítima tinha que introduzir todos os códigos TAN disponíveis no formulário correspondente criado pelo Zeus. Como resultado, os criminosos adquiriam todos os códigos da vítima e podiam utilizá-los imediatamente para transferir o dinheiro para as suas próprias contas.

Fonte:  Pcguia

Read More

"Linux é o futuro dos games para PC", afirma fundador da Valve

Newell se mostra otimista sobre a plataforma de código aberto, mesmo ela tendo participação praticamente nula no mercado, mas que poderá ser potencializado com as apostas da Valve em um dispositivo voltado para jogos.

O Steam já está disponível no Linux desde fevereiro e a loja já oferece 198 jogos para o sistema operacional. Mesmo assim, jogos para a plataforma representam menos de 1% em número de jogadores, minutos de jogo e receita gerada. O movimento de levar a loja para o sistema foi "um sinal para parceiros de desenvolvimento que estamos falando sério sobre o Linux", afirma .

Mesmo assim, o Steam Box deve ser uma realidade em breve, e Newell já promete novidades para a próxima semana. Um anúncio oficial? Ele não confirma e deixa espaço para especulação. "Semana que vem, iremos dar mais informações sobre quais são as oportunidades de hardware para levar o Linux para as salas", afirma durante a Linuxcon.

De qualquer forma, os esforços da Valve já se provam úteis para o ecossistema Linux para atrair desenvolvedores. A companhia já mostrou que é possível superar os desafios de instalação e atualização dos jogos com Left 4 Dead 2, jogo próprio que foi adaptado para a plataforma aberta com sucesso.

Newell reiterou suas reclamações sobre o Windows 8, que considera uma catástrofe para o PC. Segundo ele, plataformas fechadas irão perder para as abertas que possibilitam maior inovação. "Sistemas que abraçam a abertura e são mais amigáveis a inovações terão vantagem competitiva sobre sistemas mais fechados", ele conclui.

Fonte:  Olhar Digital

Read More

Câmara promove maratona hacker para aumentar transparência de dados

Entre os dias 29 de outubro e 1º de novembro, programadores e desenvolvedores de todo o País vão se reunir na Câmara para criar aplicativos que aumentem a transparência na divulgação do trabalho parlamentar e colaborem para a melhoria do processo legislativo.

Para participar, é preciso apresentar um projeto de solução web que facilite o acesso às informações sobre a atividade legislativa e utilize os dados públicos para a promoção de um conhecimento mais aprofundado sobre a atuação do Congresso Nacional.

Interesse público

Serão selecionadas até 50 propostas consideradas mais criativas e alinhadas ao interesse público. Seus autores terão todas as despesas com passagem aérea, hospedagem, alimentação e traslado custeadas pela Câmara. Durante quatro dias, poderão desenvolver os aplicativos a partir dos dados disponíveis no portal da Câmara na internet e de outras bases públicas.

Uma comissão avaliadora formada por técnicos da Casa e por representantes da sociedade irá escolher os três grandes vencedores, que receberão, cada um, prêmio de R$ 5 mil, com patrocínio do Sindicato dos Servidores do Poder Legislativo Federal e do Tribunal de Contas da União (Sindilegis).

Inscrições

As inscrições estão abertas até o dia 20 de setembro. Podem participar programadores, desenvolvedores e inventores em geral. É preciso ser brasileiro e ter idade igual ou superior a 18 anos no momento da inscrição.

As propostas, que devem ser inscritas exclusivamente por meio de formulário disponível no portal da Câmara, podem ser assinadas individualmente ou por equipes de até três integrantes.

Fonte: Diário de Pernambuco

Read More

Câmara abre inscrições para Hackaton 2013; prêmios são de R$5 mil

Inscrições estão abertas de 2 a 20 de setembro. Para participar é preciso ser brasileiro e ter idade igual ou superior a 18 anos.

 

A Câmara dos Deputados promoverá entre os dias 29 de outubro e 1º de novembro um concurso hacker que premiará programadores e desenvolvedores de todo o País que criarem aplicativos voltados para ampliar a transparência na divulgação do trabalho parlamentar. A iniciativa é parte das comemorações dos 25 anos da Constituição Federal.

Para participar, é preciso apresentar um projeto de solução web que facilite o acesso às informações sobre a atividade legislativa e utilize os dados públicos para a promoção de um conhecimento mais aprofundado sobre a atuação do Congresso Nacional.

Serão selecionadas as 50 propostas consideradas mais criativas e alinhadas ao interesse público. Seus autores terão todas as despesas com passagem aérea, hospedagem, alimentação e traslado custeadas pela Câmara.

Durante os quatro dias de concurso, os participantes poderão desenvolver os aplicativos a partir dos dados disponíveis no portal da Câmara na Internet e de outras bases públicas.

Uma comissão avaliadora formada por técnicos da Casa e representantes da sociedade irá escolher os três grandes vencedores, que receberão o prêmio de 5 mil reais cada um, com patrocínio do Sindicato dos Servidores do Poder Legislativo Federal e do Tribunal de Contas da União (Sindilegis).

As inscrições estão abertas a partir da próxima segunda-feira (2) e vão até o dia 20 de setembro. Para participar é preciso ser brasileiro e ter idade igual ou superior a 18 anos no momento da inscrição.

As propostas, que devem ser inscritas exclusivamente por meio de formulário disponível no site www.camara.leg.br/hackathon, podem ser assinadas individualmente ou por equipes de até três integrantes.

Fonte: IDG Now

Read More