OWASP Top 10: A5 Security Misconfiguration

E ai!

Hoje vamos falar de mais um grupo de falhas do OWASP top 10. Novamente, se você não viu os outros configura na página "Guias"

Dessa vez vai ser algo fácil, o nome já diz tudo, erros de configurações de segurança.

A OWASP teve de criar uma categoria de erros de configuração e configurações default, porque são absurdamente comuns. Quantas vezes já vimos relatos de alguém ou algum grupo que rodou scans em todos os IP's da internet e encontrou milhões de painéis de login com credenciais default. Tanto é verdade que temos o Shodan, que é basicamente um motor de buscas para páginas e equipamentos vulneráveis na internet, sendo a maioria com problemas de segurança ou erros de configuração.

Neste ponto temos problemas bem simples tanto de explorar quanto de resolver. O primeiro deles é as senhas padrões. Praticamente todas as ferramentas, aplicações e dispositivos vem com um padrão de senha bem simples, algo como admin/admin ou similar. Isso é um problema, ja que nenhum sistema de proteção vai conseguir impedir que alguém entre com as credenciais padrão se estiverem ativas.

Outra coisa muito importante é as configurações gerais e de segurança padrões. Você instalar e configurar seu sistema operacional com todas as opções no padrão, o famoso "Next, Next, Finish", não apresenta grandes problemas, os sistemas para usuário final já estão começando a se ligar nisso e proteger o usuário, já que ele mesmo não faz isso. Mas para servidores isso não funciona muito bem, um servidor web configurado por padrão, ou qualquer outro, pode deixar aberto diversas brechas que permitem que um usuário mal intencionado use isso para acessar páginas que não tem acesso, obter informações, atacar diretamente o servidor e por ai vai.

Patchs de segurança não aplicados, ou aplicados sem nenhuma verificação também entram nesse grupo. Não atualizar suas ferramentas e serviços é um problema, acredito que vocês já devem saber isso, mas atualizar tudo sem olhar também pode causar problemas. Um patch de segurança pode corrigir uma falha e causar outras falhas. Sempre é bom ler atentamente o que o patch vai fazer no seu sistema e testá-lo em um laboratório antes de instalar, para evitar novas falhas. Outra coisa que é interessante é apenas instalar as correções para serviços que são usados. Por exemplo, você tem uma aplicação web no servidor e o pacote office está instalado lá. Se vier uma atualização para o a aplicação web deve ser testada antes e se nao causar nada ai sim instalar, mas se vier para o Office não é tão necessário, até porque é um servidor, ele necessita mesmo ter o Office? Caso a resposta seja negativa aproveite e ja remova todo software desnecessário da máquina.

E para finalizar, a maioria das instalações por Default e por má prática da maioria das pessoas, normalmente se usa políticas de black list, bloqueando ameaças a cada incidente onde elas ocorrem, o que muitos sugerem é o uso de white list, onde tudo é bloqueado e só é liberado o que é garantido que não pode causar problemas.

E era isso por hoje! :)

Agora com um pouco mais de tempo livre pretendo terminar o OWASP Top 10 ainda esse ano. Até o próximo!

Read More

OWASP Top 10: A4 Insecure Direct Object References

Olá leitores, hoje vamos ver o quarto grupo de falhas do top 10 da OWASP. Se você não viu os outros três acesse a página "Guias" do site e confira.

Bom vamos lá!

Antes de mais nada, uma referência direta a objeto ocorre quando o desenvolvedor expõe uma referência a uma implementação de um objeto interno, por exemplo um arquivo, diretório, ou informação de banco de dados. Sem uma verificação de controle de acesso ou outro tipo de proteção, um atacante pode manipular essas referências para acessar informações não autorizadas.

Normalmente esse tipo de referência é feito pela URL, e muitas vezes a entrada do usuário vai ajudar a construir a URL, isso quer dizer que se nenhum filtro for aplicado, um usuário malicioso pode ter acesso a áreas onde não deveria ter acesso.

Um exemplo simples desse tipo de referência é os sistemas de blog. Provavelmente você já viu uma URL assim:

http://exemplo.com.br/archive/2014/12/

Se mudarmos na própria URL as datas, vamos direto para outro registro. Por exemplo, se mudarmos o 12 nesse exemplo acima para 11, os posts mostrados são os do mês de novembro, e se mudarmos o 2014 mudaremos o ano. Claro que nesse exemplo todos os posts e páginas são públicas a qualquer usuário, incluindo os não autenticados, mas o ponto aqui é, muitos sites usam esse tipo de referência e poucos se preocupam em verificar se o usuário é válido para a informação.

Um exemplo recente desse tipo de falha foi encontrado a algumas semanas no site Alibaba (Aliexpress), onde um usuário autenticado, pela sua página de informações pessoais conseguia manipular a URL e acessar as informações pessoais de outros usuários, como pode se ver nesse link.

Esse grupo é algo bem simples e fácil, não precisa de ferramentas e nem de muita informação, apenas testando a aplicação e colocando valores arbitrários pode levar a uma falha dessas.

Eu fico por aqui e logo logo pretendo publicar o grupo A5 que também é algo simples e rápido.

Até a próxima o/

Read More

OWASP Top 10: A2 Broken Authentication and Session Management

E ai pessoal!

A muito tempo atrás eu comecei a postar uma série explicando como funciona cada uma das 10 falhas mais comuns, classificadas pela OWASP. Só agora me sobrou um tempo para continuar postando.

Até agora temos 2 falhas já explicadas basicamente. Assim que eu tiver um tempo eu faço um repost um pouco mais detalhado.

Já atualizando para a nova versão do OWASP Top 10, temos até o momento:

OWASP Top 10: A1 Injection
OWASP Top 10: A3 Cross Site Scripting

E vamos ao que interessa!


Cerca de 90% das aplicações web hoje em dia usam simples formulários em HMTL para autenticação, capturando o usuário e senha informado e encaminhando para uma função de autenticação.

Funções de autenticação ou sessão são normalmente desenvolvidas com falhas graves que podem ser facilmente ignoradas podendo causar o vazamento de credenciais, e também causar escalação de privilégios horizontalmente. Escalação de privilégios horizontalmente quer dizer, um usuário comum acessar informações de outro usuário comum, e a escalação vertical é quando um usuário normal acessa informações de uma conta com acesso superior.

O comum nas aplicações web atuais é um sistema de login seguro e completamente blindado onde nenhuma requisição maliciosa pode passar, mas em outros campos como “Esqueci minha senha”, “Lembrar-me”, troca de senha, entre outros, nenhuma verificação de segurança é realizada e através desses campos as informações podem ser obtidas. 

O erro do desenvolvedor está em não dar a mesma atenção com relação a segurança a todos os campos e funções onde o usuário interage com a aplicação. Outro erro bem comum é utilizar exatamente a mesma função de segurança para todas as páginas e campos, o que pode causar algum bug e escapar dos métodos de segurança.

Este tipo de falha está cada vez mais comum hoje em dia, subindo para segundo lugar nesta última versão, tomando o lugar do XSS. Vejamos algumas falhas na criação das aplicações de hoje em dia:

- Senhas fracas: Muitas aplicações web hoje em dia ainda tem falhas críticas nas suas políticas de senha. É comum ver sites que permitem senhas muito curtas ou até mesmo em branco, permitem palavras presentes em dicionários ou nomes, uma senha padrão, ou até mesmo o login na senha.

- Possibilidade de Bruteforce: Sem dúvida você viu o vazamento de fotos que vazou de celebridades a algum tempo atrás. Isso foi causado por essa falta de cuidado. A aplicação permite que um usuário tente diversas vezes combinações de usuário/senha sem problema nenhum, isso quer dizer, permite o uso da técnica de bruteforce de tentar milhares de tentativas.

- Mensagens de erro vazando informação: Normalmente aplicações usam 2 ou mais campos para autenticar usuários, como por exemplo login/senha, e até mesmo outras informações como tokens, senhas de dois passos, datas de nascimento e etc. O maior erro dos desenvolvedores é avisar indiretamente, com mensagens de erros diferentes, qual é o campo que está errado, em vez de uma mensagem genérica.

- Falhas na funcionalidade de mudar a senha: Em muitas aplicações é comum que um campo seja informado errado e volte uma mensagem de erro informando que algum campo de login foi inserido errado. O erro dos desenvolvedores está em informar exatamente qual o campo está errado com mensagens de erro diferente. Um usuário mal intencionado pode usar isso para enumerar possíveis usuários da aplicação e depois executar um ataque de dicionário ou bruteforce para conseguir as senhas. O correto seria uma mensagem genérica de "usuário ou senha incorreta" para dificultar e não vazar informações sensíveis.

- Sistemas de troca de senha falhos: Sistemas de troca de senha ou recuperação de senha podem por descuido também informar informações sensíveis da senha atual. Por exemplo, o campo "Nova senha" pode retornar mensagens de erro como "Nova senha não pode ser igual a senha atual".

E vou ficando por aqui! Eu poderia escrever muito mais falhas e erros básicos que os desenvolvedores cometem até mesmo sem saber, no intuito de fazer algo bom e seguro, que entram nessa categoria de Broken Authentication, mas isso já está bom para exemplificar o que esta categoria do OWASP Top 10 quer dizer.

Imagens originalmente publicadas no livro The Web Application Hacker's Handbook.

Read More

Infográfico: Como se tornar um hacker

E ai pessoal!

Achei por ai esse infográfico muito interessante com algumas informações interessantes para o pessoal iniciante se localizar na área. Fica a dica.

Read More

Porque hackers poderiam estar atrás de você

As principais atrações da conferência hacker Black Hat é a demonstração de vulnerabilidades, o que leva a nos perguntar sobre segurança, seja ela em computadores, carros ou até no banheiro. Outra coisa interessante na Black Hat é os gurus da segurança, que são frequentemente definidos como hackers. Ao contrário dos cyber criminosos, hackers não necessariamente buscam por segredos ou dinheiro de alguém, o que leva a questão, o que eles são? A empresa de segurança Thycotic, fez uma pesquisa com mais de 100 visitantes da conferência que se denominam hackers O objetivo da pesquisa é descobrir quais são as motivações dos hackers.

Surpreendentemente, 86% dos hackers responderam que tem certeza que não serão punidos por suas ações e não terão consequências. Impunidade é um dos fatos primários das ações dos cyber criminosos.

Outra descoberta interessante é os alvos dos ataques. 40% dos entrevistados afirmaram escolher empresas terceiras como alvos primários. Normalmente as empresas prestadoras de serviços tem acesso a redes de outras empresas, mas não tem necessariamente as mesmas políticas de segurança.

A maioria dos hackers são realistas e estão cientes de que possuir certas capacidades nem sempre significa que estão seguros. Até mesmo os hackers consideram seus dados vulneráveis a ataques, 88% deles julga que suas informações podem ser roubadas por outros hackers.

Curiosamente, a lista da Thycotic não conta com empresas/setores de RH e RP que contém muitas informações sensíveis. Pouco mais da metade dos entrevistados (51%) hackeiam tudo que virem na frente, apenas por diversão ou desafio, e destes, 18% visam lucro material. 30% dos hackers seguem princípios éticos, o que é uma coisa boa.

Fonte: Blog Kaspersky

Read More

Para hackear chaves de criptografia, basta tocar um laptop do jeito certo

Pesquisadores descobriram uma maneira de usar o toque físico para decodificar chaves de criptografia, feitas para proteger suas informações. Para isso, basta medir o potencial elétrico percorrendo seu computador enquanto ele está trabalhando.

O MIT Technology Review discute um trabalho feito na Universidade de Tel Aviv (Israel) que detalha o processo de medir o potencial elétrico em laptops. Existem várias maneiras de fazer isso: você poderia, por exemplo, inserir um fio no computador. Mas isso não é tão emocionante quanto usar sua própria mão - de preferência suada! - ligada a um fio, e depois "analisar o sinal usando um software sofisticado".

Os autores explicam o processo no texto Tire Suas Mãos do Meu Laptop:
Este potencial pode ser medido por um fio simples e não-invasivo que toca uma parte condutora do laptop (como o dissipador de calor ou a blindagem eletromagnética de portas HDMI, USB, Ethernet, VGA e DisplayPort), e que esteja conectado a um amplificador e digitalizador adequado. O potencial do chassi, medido dessa forma, é afetado pelo processamento feito no computador, e nossos ataques exploram isso para extrair chaves RSA e ElGamal dentro de alguns segundos.
Segundo os pesquisadores, usar a mão para roubar chaves de criptografia "é especialmente eficaz em clima quente, uma vez que os dedos suados oferecem menor resistência elétrica".

Basicamente, eles aproveitam o "ruído" que seu computador faz enquanto usa a chave de criptografia para então identificá-la. A pegadinha é que você precisa manter contato com o laptop enquanto dados - uma pasta ou uma mensagem de e-mail, por exemplo - são descriptografados.

Isso nos leva a um ponto importante: como evitar esse tipo de ataque - que talvez seja improvável no seu laptop, mas poderia acontecer com alvos mais visados. De acordo com o MIT, é "possível evitar tais ataques adicionando dados aleatórios aos cálculos feitos pelo computador". Em outras palavras, precisamos criar códigos para colocar no código já existente.

Este método de extrair chaves de criptografia foi demonstrado com sucesso em uma conferência nos EUA nesta semana, e será apresentado mês que vem na Coreia do Sul.


Imagens por Lasse Kristensen/Shutterstock e Tel Aviv University Research






Fonte: MSN

Read More

Windows 8: Acabando com a festa dos hackers

Este foi o tema do painel apresentado pelos profissionais de segurança Chris Valasek e Tarjei Mandt na Black Hat USA de Las Vegas deste ano.

Valasek e Mandt são hackers White Hat, profissionais de segurança que testam vulnerabilidade em sistemas e componentes Windows, como o kernel do Windows.

De acordo com Valasek, pesquisador de segurança sênior da Coverity, uma empresa especializada em desenvolvimento de softwares de testes e hardening, o seu trabalho está para se tornar cada vez mais difícil.

Isso porque a Microsoft mudou diversas coisas no seu novo sistema o Windows 8 que vai parar vários ataques já conhecidos. "Se você tem algum exploit de transbordo da pilha que funciona no Windows 7, provavelmente ele não vai funcionar no Windows 8", disse Valasek na sua apresentação.

Nos últimos anos, white hats desenvolveram diversas novas técnicas para comprometer a pilha e o kernel do Windows.

Um dos últimos, por exemplo, refere ao modo de como o Windows distribui dinamicamente a memória. Este é um dos alvos favoritos dos hackers, ou crackers, que tentam exploitar essas vulnerabilidades para causar um overflow de memória, que poderia causar um DoS, ou na pior das hipóteses execução de código.

Um resultado esperado era que estas vulnerabilidades do kernel e da pilha seriam o alvo maior dos malwares. Lá em 2008, por exemplo, o pesquisador de segurança e white hat Ben Hawkes identificou uma falha na pilha do Windows Vista. Hawkes criou um POC (Prova de conceito) que foi capaz de corromper a pilha do Vista e expo-la a execução de código.

Já naquele tempo, Hawkes pode notar que ataques desse tipo antes comuns agora estão ficando mais difíceis e complexos, como o teste dele por exemplo.

O exploit do Hawkes funcionava também no Windows 7, mas não no Windows 8, de acordo com Valasek, a Microsoft fechou a porta na cara do exploit do Hawkes.

E não para por ai. Valasek mostrou um slide comparando o pontencial de exploitabilidade de cada um dos sistemas, entre eles Windows 7, Vista e 8. O que pode-se notar é que no último pode se encontrar muito mais "X" vermelhos do que "√" verdes.

O que a Microsoft mudou na memória que deixou tudo mais difícil, basicamente foi o modo de distribuição em memória, agora sendo aleatório e com alguns outros detalhes mais complexos, como por exemplo, diversos métodos para os programadores encerrarem seus programas caso algo seja modificado de maneira incorreta.

Valasek ainda comenta, "A Microsoft trabalhou duro para cuidar disso e prever problemas antes de ter que reagir e corrigir falhas já expostas".

Ele também adicionou que falhas ainda existem, já com alguns exploits hipotéticos em sua cabeça e confirma que alguns deles irão funcionar.

E o kernel não foi diferente, como Tarjei Mandt comentou, "o kernel continua o mesmo, nenhuma mudança significativa na estrutura foi feita, mas tem alguma camadas de segurança a mais, algo similar a hardening".

Fonte: Redmond Magazine

Read More

Falha no Facebook permitia apagar fotos de qualquer usuário

Mais um bug no Facebook foi descoberto e divulgado nesta semana. Desta vez, a falha permitia que uma pessoa qualquer removesse fotos do álbum de um usuário, sendo amigo dele ou não.

A brecha na segurança foi descoberta pelo pesquisador indiano Arul Kumar, que a divulgou em seu blog pessoal depois de repassá-la ao próprio Facebook. O problema foi devidamente corrigido e Kumar, ao contrário de Khalil Shreateh e o bug de algumas semanas atrás, foi bonificado com um pagamento de 12.500 dólares.

Aproveitar-se da falha descoberta pelo indiano, considerada gravíssima, era relativamente simples, o que explica o alto preço da correção. Ela se aproveitava de problemas no painel de controle do suporte do Facebook, que permitia que um usuário conferisse o status de uma denúncia de foto inapropriada, por exemplo, enviada para avaliação.

Caso uma imagem reportada não fosse removida pelos técnicos da rede social, o usuário que havia feito a acusação recebia um link. Através dele, era possível enviar uma solicitação de remoção diretamente ao responsável pela imagem – e neste endereço que estava o problema. Um vídeo gravado por Kumar mostra todo o processo.

Com algumas poucas alterações na URL, o “invasor” podia simplesmente acessar a interface visível pelo dono da foto, amigo dele ou não, e deletá-la. Dada a facilidade da execução, não levaria muito tempo para que uma ferramenta destinada unicamente para isso fosse desenvolvida, por exemplo.

A parte curiosa da denúncia é que o bug foi demonstrado usando como "vítima" o perfil de Mark Zuckerberg. No entanto, ao contrário de Shreateh, que postou no mural do dono da rede social, Kumar não colocou a falha em ação – ou seja, nenhuma foto de Zuckerberg foi apagada durante a ação. Como não houve violação nos termos de uso do Facebook, o pesquisador indiano seguiu apto a receber a bonificação.

Fonte: Revista Info

Read More

Escapando de sandboxes Windows

E ai pessoal!

Achei mais uma palestra ótima do Hack in Paris 2011, nesta palestra veremos como podemos escapar das sandboxes Windows e elevar nossos privilégios para o sistema.

Read More

Canais do Youtube sobre Infosec

E ai pessoal!

Andei buscando pelo Youtube alguns canais de pentest para assistir no tempo livre e encontrei alguns muito bons.

Três canais que eu recomendo são o Hak5 com episódios semanais, mas a algum tempo parado, o SecureNinja também com uma periodicidade legal e o PaulDotCom, o videocast/podcast mais bem humorado de infosec que você verá por aqui.

Estes três canais contam com grandes nomes da infosec mundial então não temos dúvidas quanto ao conteúdo. E obviamente estes canais são em inglês.

E para não dizer que só tem gringos aqui, deixo também o WorkshopSegInfo, do blog SegInfo, obviamente, que é brasileiro e conta com vários vídeos super interessantes.

Read More

Empresa premiará hacker que expôs falha do FB

Um homem que invadiu a página de Mark Zuckerberg no Facebook para expor uma falha de software está recebendo doações de hackers ao redor do mundo, depois que a empresa se recusou a recompensá-lo com base em um programa que normalmente premia pessoas que relatam tais problemas.

Khalil Shreateh descobriu e relatou a falha, mas inicialmente foi ignorado pela equipe de segurança do Facebook. Em seguida, ele postou uma mensagem na página do bilionário para provar a existência do bug.

Agora, Marc Maiffret, diretor de tecnologia da empresa de segurança cibernética BeyondTrust, está tentando mobilizar hackers para levantar uma recompensa de 10 mil dólares para Shreateh após a recusa do Facebook.

Maiffret, hacker autodidata que abandonou o colégio, disse nesta terça-feira que até o momento arrecadou cerca de 9 mil dólares, incluindo os 2 mil dólares que ele contribuiu inicialmente.
Ele e outros hackers dizem que o Facebook negou pagamento a Shreateh, um palestino, no âmbito do programa "Bug Bounty". A empresa distribui um mínimo de 500 dólares a indivíduos que chamam a atenção da empresa para erros de software.

Shreateh descobriu a falha no site da empresa que permite aos membros postarem mensagens na página de qualquer usuário, incluindo Zuckerberg. Ele tentou submeter a falha para revisão, mas a equipe de segurança do site não aceitou o seu relatório.

Em seguida, ele postou uma mensagem para o próprio Zuckerberg na conta privada do executivo, dizendo que ele estava tendo problemas para conseguir a atenção de sua equipe. "Desculpe por violar a sua privacidade", disse Shreateh na mensagem.

O erro foi rapidamente corrigido e o Facebook emitiu um pedido de desculpas na segunda-feira por ter sido "demasiado apressado e indiferente" ao relatório do Shreateh. Mas não pagou-lhe uma recompensa.

"Nós não vamos mudar a nossa prática de não pagar recompensas a pesquisadores que testaram vulnerabilidades contra usuários reais", disse o vice-presidente de segurança Joe Sullivan em uma mensagem na rede social.

Ele disse que o Facebook já pagou mais de 1 milhão de dólares no âmbito desse programa para os pesquisadores que seguiram suas regras.

Fonte: Revista Info

Read More

19 extensões para pentest no Chrome

Querendo ou não, o Google Chrome hoje tem tudo para ser o browser mais popular no mundo. É leve e tem uma interface limpa. Esse é o principal motivo de sua popularidade. O Chrome tem também diversas ferramentas para fazer a navegação ficar mais rápida e fácil. Do mesmo modo que o Firefox, o Chrome também suporta add-ons mas os chama de extensões.

Extensões nos ajuda a melhorar a funcionalidade do Google Chrome. Existem milhares de extensões do Google Chrome disponíveis que adicionam boas ferramentas diretamente no navegador e reduzem a necessidade de instalação de ferramentas separadas para essas obras. Como o Firefox, também podemos tornar o Google Chrome uma ferramenta de segurança com o uso de algumas extensões de segurança agradáveis.

Neste post, eu coletei todas as extensões que nos ajudam no processo de pentest. Todas essas extensões estão disponíveis gratuitamente para download a partir da loja Web do Google Chrome. Algumas extensões não estão disponíveis oficialmente. Então, você precisa fazer o download de seu site oficial.




1 - Web Developer

Esta extensão adiciona uma barra de ferramentas com várias ferramentas de desenvolvimento web diretamente no Chrome. Com estas tools, podemos fazer várias atividades de desenvolvimento, como por exemplo analizar elementos web como HTML e JS. Adicione Web Developer no seu Chrome aqui:

https://chrome.google.com/webstore/detail/web-developer/bfbameneiokkgbdmiekhjnmfkcnldhhm


2 - Firebug Lite for Chrome

O grande Firebug do Firefox está presente no Chrome. O Firebug é um ambiente para analizar elementos HTML, DOM e outros modelos. Também permite edição direta no HTML e CSS, permitindo prever como e se a aplicação funcionará no cliente. Adicione Firebug Lite no seu Chrome aqui: https://chrome.google.com/webstore/detail/firebug-lite-for-google-c/bmagokdooijbeehmkpknfglimnifench 


3 - d3coder

 O d3coder é outra ferramenta muito útil que vai ajudar em um pentest. Ela nos permite codificar e decodificar textos de diversas formas. Tendo tudo em uma ferramenta só nos poupa tempo descobrindo e codificando strings. Veja abaixo algumas funções do d3coder:

Timestamp decoding
rot13 en-/decoding
base64 encoding
base64 decoding
CRC32 hashing
MD5 hashing
SHA1 hashing
bin2hex
bin2txt
HTML entity encoding
HTML entity decoding
HTML special chars encoding
HTML special chars decoding
URI encoding
URI decoding
Quoted printable decoding
Quoted printable encoding
Escapeshellarg
Base64 decode
Base64 encode
Unserialize
L33T-en/decode

Adicione d3coder no seu Chrome aqui: https://chrome.google.com/webstore/detail/d3coder/gncnbkghencmkfgeepfaonmegemakcol?hl=en-US


4 - Site Spider

Uma extensão que adiciona um crawler ao Chrome. Ela escaneia e busca por links. Também aceita autenticação para acessar páginas que possam solicitar. Adicione Site Spider no seu Chrome aqui: https://chrome.google.com/webstore/detail/site-spider/ddlodfbcplakmddhdlffebcggbbighda


5 - Form Fuzzer

É usado para preencher com caracteres pré-definidos em todos os campos editáveis. Também pode marcar checkboxes, radio buttons e selecionar itens em formulários. Muito bom para testar vulnerabilidades em formulários. Com esta tool podemos facilmente encontrar vulnerabilidades como XSS e SQLi. Adicione Form Fuzzer no seu Chrome aqui: https://chrome.google.com/webstore/detail/form-fuzzer/cbpplldpcdcfejdaldmnfhlodoadjhii 


6 - Session Manager

Mais uma extensão poderosa, que nos permite salvar, atualizar, restaurar e remover várias abas ao mesmo tempo. Você pode criar grupos de abas conforme seus interesses e abrir com um simples clique. Adicione Session Manager no seu Google Chrome aqui: https://chrome.google.com/webstore/detail/session-manager/mghenlmbmjcpehccoangkdpagbcbkdpc


7 - Request Maker

Um dos fundamentais em um pentest. Essa tool é usada para criar e capturar requestes. Pode capturar requisições feitas via página ou XMLHttpRequests. Esta ferramenta é similar e frequentemente comparada com o Burp. Ajuda muito em vários tipos de ataques a aplicações web modificando requisições. Adicione Request Maker no seu Chrome aqui:  https://chrome.google.com/webstore/detail/request-maker/kajfghlhfkcocafkcjlajldicbikpgnp


8 -Proxy SwitchySharp

É uma extensão que facilita a administração e troca entre multiplos proxies rapidamente. Tem uma opção para alternar automaticamente de proxy baseado na URL que você está. Adicione Proxy SwitchySharp no seu Chrome: https://chrome.google.com/webstore/detail/proxy-switchysharp/dpplabbmogkhghncfbfdeeokoefdjegm/details 


9 - Cookie Editor

Basicamente é uma extensão que permite a edição de cookies. Muito boa para atacar aplicações com sessões vulneráveis. Adicione Cookie Editor no seu Chrome aqui: https://chrome.google.com/webstore/detail/edit-this-cookie/fngmhnnpilhplaeedifhccceomclgfbg


10 - Cache Killer

Uma bela extensão que automaticamente limpa o cache antes de carregar páginas. Pode ser facilmente ativado e desativado com um simples clique. Adicione Cache Killer no seu Chrome aqui: https://chrome.google.com/webstore/detail/cache-killer/jpfbieopdmepaolggioebjmedmclkbap


11 - XSS Rays

Uma extensão que ajuda a encontrar XSS em um website. Pode descobrir como um site filtra o código e checar por injection. Adicione XSS Rays no seu Chrome: https://chrome.google.com/webstore/detail/xss-rays/kkopfbcgaebdaklghbnfmjeeonmabidj


12 -WebSecurify

É uma ferramenta de testes multiplataforma. É capaz de encontrar XSS, XSRF, CSRF, SQLi, File Upload, Redirection e várias outras vulnerabilidades, também tem um crawler imbutido para pesquisar por páginas. A ferramenta vai levantar possíveis falhas que devem ser confirmadas manualmente depois. Adicione Websecurify no seu Chrome aqui: https://chrome.google.com/webstore/detail/websecurify/gbecpbaknodhccppnfndfmjifmonefdm


13 - Port Scanner

Esta extensão adiciona uma função de scanner no seu browser. Com esta extensão você pode escanear conexões TCP. Adicione Port Scanner no seu Chrome aqui: https://chrome.google.com/webstore/detail/port-scanner/jicgaglejpnmiodpgjidiofpjmfmlgjo


14 - XSS Chef

Mais uma ferramenta para descoberta de XSS. Bem similar ao BeEF, mas direto no seu browser. Adicione XSS Chef no seu Chrome aqui: https://github.com/koto/xsschef


15 - HPP Finder

Muito útil para encontrar vulnerabilidades HTTP Parameter Pollution (HPP) e explorá-las. Adicione HPP Finder no seu Chrome aqui: https://chrome.google.com/webstore/detail/hpp-finder/nogojgcobcolombicplhimbbakkcmhio


16 - The Exploit Database

Não é uma ferramenta para pentest, mas mantém você atualizado aos novos explois, códigos e papers disponíveis no Exploit DB. Adicione The Exploit Database no seu Chrome aqui: https://chrome.google.com/webstore/detail/the-exploit-database/lkgjhdamnlnhppkolhfiocgnpciaiane  


17 - GHBD

Basicamente um buscador de strings para google hacking. Adicione GHBD no seu Chrome aqui: https://chrome.google.com/webstore/detail/ghdb/jopoimgcafajndmonondpmlknbahbgdb 


18 - iMacros

Automação de algumas tarefas em uma auditoria em aplicações web. Adicione iMacros no seu Chrome aqui: https://chrome.google.com/webstore/detail/imacros-for-chrome/cplklnmnlbnpmjogncfgfijoopmnlemp


19 - IP Address and Domain Information

Uma extensão para levantamento de informações sobre geolocalização de servidores, DNS, whois, roteamento, buscas, host, domínios visinhos, e outros. Adicione IP Address and Domain Information no seu Chrome aqui: https://chrome.google.com/webstore/detail/ip-address-and-domain-inf/lhgkegeccnckoiliokondpaaalbhafoa

Fonte: infosecinstitute

Read More

Hacker invade perfil de Mark Zuckerberg e não ganha nada como recompensa

Mark Zuckerberg, CEO do Facebook, teve seu perfil invadido por um pesquisador de segurança, após a rede social ignorar seus alertas de que um bug no serviço permitiria a qualquer pessoa publicar no mural de um estranho.

O palestino Khalil Shreateh, especialista de sistema da informação, afirmou que reportou a vulnerabilidade ao time do Facebook por duas vezes.

Ele demonstrou que o bug era real ao publicar um vídeo do cantor Enrique Iglesias no mural de uma das amigas de Zuckerberg, Sarah Goodin, com quem Shreateh não tem nenhuma ligação.

No entanto, o Facebook não deu relevância ao alerta, alegando que o problema não era um bug, uma vez que apenas os amigos de Goodin poderiam ver a publicação no mural.

Shreateh então decidiu usar o bug para invadir o perfil de Zuckerberg. Em um post, que já foi removido, ele pede desculpas por quebrar a privacidade do CEO, mas que tomou a decisão após a rede social ignorar seus relatórios.

Menos de um minuto após essa ação, a página de Shreateh no Facebook foi suspensa e ele foi contatado por um engenheiro da rede social solicitando detalhes sobre o bug.

“Infelizmente seu relatório enviado para nosso sistema Whitehat não continha informações técnicas suficientes para que pudéssemos tomar uma atitude. Nós não temos como responder a relatórios que não contêm detalhes suficientes para reproduzir o erro”, disse o engenheiro do Facebook em e-mail a Shreateh.

Além disso, o Facebook mantém uma política onde oferece um mínimo de US$ 500 para qualquer falha de segurança identificada na rede social. No entanto, a empresa se recusou a pagar Shreateh, pois suas ações violaram os termos de serviço.

O Facebook afirmou que o erro já foi corrigido e reconheceu que a empresa deveria ter solicitado mais detalhes a Shreateh após ele enviar seu relatório.

O pesquisador também publicou um vídeo no YouTube onde demonstra o bug:

Segundo grandes portais de notícias, além de alguns emails de um engenheiro do Facebook o pesquisador não ganhou nada pela descoberta, mesmo a rede social tendo um sistema de recompensas, o pesquisador não recebeu nada e ainda por cima teve sua conta suspensa até a resolução do problema.

Read More

Brecha no Chrome permite visualizar senhas salvas

As senhas armazenadas nos navegadores podem não estar tão seguras quanto se imagina. Ao menos em relação ao Chrome. 

O desenvolvedor Elliot Kember afirmou ter acessado facilmente a lista de senhas salvas no navegador Chrome. 

Segundo Kember, para visualizar as senhas salvas basta acessar o endereço “chrome://settings/passwords” e clicar em uma das senhas salvas. 

Um botão “mostrar” irá aparecer ao lado dos caracteres ocultados e basta clicar para visualizar a senha salva. 

Um dos engenheiros da equipe do Chrome, Justin Schuh, respondeu em um fórum que após uma pessoa passar pelo login no sistema operacional, em tese ela poderia encontrar suas informações pessoais de qualquer forma, não apenas no navegador.  

Mas possivelmente o Google será forçado a atualizar o Chrome para que de fato oculte as senhas salvas no navegador. Até lá, evite deixar seu computador aberto para qualquer pessoa caso a máquina seja compartilhada.

Read More

Trilhas de certificação em Segurança da Informação – Qual caminho seguir?

Você quer estudar e seguir carreira na área de segurança da informação mas não sabe para onde ir? Seus problemas acabaram, confira esse fluxograma criado pela Clavis.

A Clavis Segurança da Informação, a fim de minimizar dúvidas sobre as certificações na área de Segurança da Informação, patrocinou: o artigo Principais Certificações na área de Segurança da Informação – Segurança de Redes, Forense Computacional, Segurança no Desenvolvimento de Software, Gestão e Auditoria; os podcasts SegInfocast #4 – Certificações na área de Segurança da Informação e SegInfocast #1 – Certificação CompTIA Security+ publicados no Blog SegInfo; e ainda o Webinar #15 – “Certificação CompTIA Security+ | Yuri Diógenes”. Agora está disponibilizando o roadmapabaixo para ajudar ainda mais os interessados em obter certificações na área de SI.

Veja mais detalhes sobre as certificações abaixo.

Passo inicial

A CompTIA Security+, é o primeiro passo para todas as áreas de Segurança da Informação. Ela é o passo inicial para os profissionais da área de Segurança da Informação, pois aborda conceitos básicos de Segurança da Informação, tais como: Segurança de Redes; Conformidade e Segurança Operacional; Ameaças e Vulnerabilidades; Segurança de Aplicações, Dados e Estações; Controle de Acesso e Gerência de Identidade; e Criptografia.

Ela garante que os candidatos não estarão somente aptos a aplicar os conhecimentos de conceitos, ferramentas e procedimentos de segurança para reagir a incidentes de segurança, como também estarão aptos a antecipar riscos de segurança, sendo capazes de tomar as medidas proativas necessárias.

Formação Completa em Teste de Invasão

Seguindo a área de Teste de Invasão, temos a Formação Auditor em Teste de Invasão composta por cinco treinamentos: Teste de Invasão em Redes e Sistemas EAD, Metasploit Framework EAD, Teste de Invasão em Redes sem Fio EAD, Auditoria de Segurança em Aplicações Web EAD e Direito para Peritos Forense, Pentesters e Administradores de Redes EAD.

Logo após a certificação CEH (Certified Ethical Hacker) que tem sido amplamente utilizado pelo Pentágono a fim de treinar os profissionais que atuam na área de defesa de redes, como parte da Diretiva 8570 do Departamento de Defesa de Americano e também uma das selecionadas pelo DSIC(Departamento de Segurança da Informação e Comunicações) do Gabinete de Segurança Institucional da Presidência da República.

Fechando a formação Auditor em Teste de Invasão temos a certificação EC-Council Certified Security Analyst (ECSA) que complementa a certificação Certified Ethical Hacker (CEH) com foco na análise dos dados obtidos em um teste de invasão.

Formação Completa em Forense Computacional

Já para aqueles que pretendem seguir a área Forense Computacional, temos a Formação Perito em Análise Forense Computacional, composta por cinco treinamentos: Análise Forense Computacional EAD, Direito para Peritos Forense, Pentesters e Administradores de Redes EAD, Análise Forense de Redes EAD, Análise de Malware EAD e Análise Forense Computacional em ambientes Windows EAD.

Finalizando temos a CHFI (Computer Hacking Forensic Investigator), uma certificação que prepara o profissional para detectar ataques e extrair adequadamente as evidências para a comprovação do crime cibernético, assim como a condução de auditorias que visam prevenir futuros incidentes. Computer forensics é simplesmente a aplicação de investigações cibernéticas e técnicas de análises com o fim de determinar a evidência legal. A evidência pode ser classificada dentro de uma ampla gama de crimes digitais, incluindo, dentre outros, o roubo de segredos comerciais, espionagem corporativa, destruição ou uso indevido de propriedade intelectual, sabotagem, fraude e mau uso de programas e sistemas.

Gestor de Segurança da Informação

Para aqueles que pretendem seguir a área de Gestão em Segurança da Informação, o próximo passo após a Security + é aCISM (Certified Information Security Manager). A CISM é hoje a principal certificação em Segurança da Informação, por ser destinada especificamente aos profissionais que visam atuar ou já atuam na gestão de segurança da informação. Ela é para profissionais que projetam, dirigem e avaliam os programas de segurança de informação de corporações.

Seguindo o roadmap, sugerimos a CASP (CompTIA Advanced Security Practitioner), que abrange conhecimentos técnicos e habilidades necessárias para projetar, conceituar e aplicar soluções de segurança em ambientes corporativos complexos.

Finalizando a área de gestão, temos a CISSP – Certified Information Systems Security Professional. Um CISSP é um profissional de segurança da informação que define a arquitetura, design, gestão e/ou controles que garantem a segurança de ambientes corporativos. A vasta amplitude de conhecimentos e experiências necessários para aprovação no exame é o que diferencia um CISSP. A credencial demonstra um nível reconhecido globalmente de competência fornecido pelo CBK® do (ISC)2®, que cobre tópicos críticos em segurança atual, incluindo computação em nuvem, segurança móvel, segurança no desenvolvimento de aplicativos, gestão de riscos, e outros.

Formação Desenvolvimento Seguro

Por último, para aqueles que pretendem seguir a área de desenvolvimento seguro, temos o treinamento Desenvolvimento Seguro – Security Development Lifecycle (SDL). Usando metodologias de mercado, normas internacionais e ferramentas disponíveis na Internet, os alunos serão capacitados nas técnicas de desenvolvimento seguro, análise de riscos e implementação do SDL, possibilitando que o aprendizado seja utilizado para incluir os aspectos necessários de segurança nos processos de desenvolvimento e/ou manutenção de software.

Fechando esta área, sugerimos o CSSLP (Certified Secure Software Lifecycle Professional). A CSSLP foi uma das primeiras certificações no mundo a abordar o desenvolvimento seguro. Possui como requisito 4 anos de experiência, no mínimo, em desenvolvimento seguro. Certifica proficiência em: desenvolvimento de um programa de segurança de aplicações na organização; redução de custos de produção, vulnerabilidades em aplicações e atrasos de entrega; melhoria da credibilidade da organização e da sua equipe de desenvolvimento; redução de perda financeira devido a violação de softwares inseguros. A Academia Clavis em breve abrirá uma turma para o treinamento oficial CSSLP.

Fonte: Blog Clavis

Read More

FBI aumenta uso táticas hacker para espionar suspeitos, diz jornal

SÃO PAULO, SP, 2 de agosto (Folhapress) - O FBI (polícia federal americana) está aumentando o uso de táticas usadas por hackers para coletar informações de suspeitos, diz uma reportagem do "The Wall Street Journal" publicada na quinta-feira (1º). 
Segundo o jornal, documentos judiciais e entrevistas com ex-agentes envolvidos nessas operações trouxeram detalhes sobre as ferramentas, que eram mantidas em sigilo. 
As táticas incluem o envio de "spywares" para computadores e smartphones através de e-mails ou links -procedimentos geralmente utilizados por hackers. 
A tecnologia permite que investigadores ativem microfones e gravem conversas em celulares que utilizam o sistema Android, e pode ser usada também para ativar microfones de laptops sem que o donos dos aparelhos percebam. 
De acordo com um ex-agente, as táticas são usadas com ordem judicial, normalmente em casos que envolvam crime organizado, pornografia infantil e combate ao terrorismo. 
O órgão desenvolve programas ou os compra do setor privado. O FBI e o Google não quiseram comentar a respeito, diz o jornal.  

Read More

Pesquisadores turcos reivindicam responsabilidade pela descoberta da falha do Dev Center da Apple

Quando o portal de desenvolvedores da Apple saiu do ar semana passada, gerou várias questões não respondidas. Uma das principais foi, quem foi responsável pelo ataque? O pesquisador de segurança turco Ibrahim Balic está reinvidicando que estava por trás do ataque, mas não teve intenção de causar dano. Balic falou que reportou apropriadamente a Apple, mas parece que seus esforços não pararam por ai. Ele também explorou a falha que ele mesmo descobriu, o que deu acesso aos nomes, emails e endereços de desenvolvedores da Apple. No total ele descobriu 13 bugs, pelo menos 1 foi demonstrado num vídeo no Youtube, que parece mostrar a ele os nomes e ID's de todos os desenvolvedores. Segundo ele em um tweet, expor a falha publicamente é absolutamente necessário para que a Apple veja a severidade da falha.

O pesquisador insiste que suas ações foram éticas e legais. Ele disse ao The Guardian que ele apenas acessou as contas de desenvolvedores para descobrir quão fundo ele conseguia ir e o que conseguiria de informações. Ele também afirma que o dev center saiu do ar logo após ele entrar em contato avisando das falhas, mas ele nunca recebeu uma resposta da empresa.

Fonte: engadget

Read More

Hackers demonstram como hackear um carro com um notebook

Muitos geeks já sabiam que era possível invadir os sistemas dos carros atuais, e finalmente, dois hackers, Charlie Miller e Chris Valasek, patrocinados pelo centro de pesquisa DARPA do pentágono, demonstraram como é fácil para hackers mal intencionados sequestar fisicamente um carro moderno apenas com um computador.

Preocupado em comprar um carro novo agora? Você até está certo em se preocupar, é muito preocupante ver a facilidade que dois caras, inicialmente financiados pelo governo, conseguiram tomar o controle de um carro, tanto suas funções internas como até mesmo computador de bordo e sistema de freios.

Esqueça agora hackear contas, computadores e dispositivos móveis, agora que essas falhas foram descobertas, por um tempo o foco será os sistemas internos dos carros.

Os hackers que descobriram essas vulnerabilidades ganharam do governo americano 80 mil dólares pela descoberta.

Conectando um MacBook da Apple no OBD-II (On-Board Diagnostic System) do painel do carro, eles dispararam uma série de eventos que poderia tanto incomodar o motorista como causar um sério acidente. Alguns hacks podem manipular os medidores de gasolina e velocidade, apertar ou soltar os sintos e soar a buzina.

O vídeo a seguir mostra como eles podem esculhambar com algumas funções dos carros, para os testes foram usados um Ford Escapade e um Toyota Prius, ambos modelo 2010.

Mas as descobertas estão apenas começando e de fato é uma tarefa difícil, mas não impossível. Os engenheiros da Toyota não encontraram nenhuma vulnerabilidade, mas isso não quer dizer que não existam.

Fonte: The Hacker News

Read More

68% das empresas latinas são vulneráveis, diz Kaspersky

As empresas da América Latina são bastante vulneráveis na parte de segurança digital. É o que constata um estudo feito pela empresa de antivírus Kaspersk, com cerca de três mil profissionais de TI de 22 países.

Segundo o estudo, 68% das empresas da América latina – incluem-se nesta lista as brasileiras – já tiveram a infraestrutura de TI infectada por malware, como vírus e spyware, e ataques sofisticados, que visam o roubo de dados.

O problema, diz o estudo, atinge empresas de todos os tamanhos, incluindo os grandes conglomerados que investem milhões em tecnologia para proteger dados estratégicos e de clientes. “E acontece porque a cultura de segurança da informação no Brasil e nos países latinos é tratada como assunto não importante por empresários e grandes executivos”, afirma Fabio Assolini, analista sênior de malware da Kaspersky,

De acordo com a Kaspersky, 63% das pequenas empresas analisadas no estudo enfrentaram problemas de TI causados por malware nos últimos 12 meses. O problema se repetiu em 60% das médias empresas.

Nos dois nichos, os problemas de segurança são causados por conta de brechas em programas desatualizados, sistemas de proteção piratas ou configurações fracas no ambiente de rede.

Segundo o estudo da Kaspersky, as empresas de menor porte não se preparam para evitar problemas de segurança na infraestrutura tecnológica. E costumam reagir aos ataques somente depois que eles acontecem.

As grandes empresas, geralmente, conseguem barrar o ataque de malware mais simples, como vírus de computador. Contudo, explica a Kaspersky, não ficam livres de ataques sofisticados. Os hackers e crackers usam avançadas técnicas para invadir as redes dessas empresas e causar danos sérios, como o roubo de dados – que são vendidos no mercado negro ou repassados aos concorrentes.

Segundo Assolini, há uma razão para tanto despreparo. E ela está na legislação da maioria desses países: “As leis brasileiras, por exemplo, não punem as empresas que são invadidas e perdem dados de seus clientes”, diz. “Nos países europeus e nos Estados Unidos, uma empresa que perde dados, por exemplo, deve ir ao mercado anunciar o que aconteceu para evitar uma penalidade alta”.

Nessas empresas, os ataques geralmente são do tipo DDoS, phishing e por códigos maliciosos avançados que permitem o acesso remoto de servidores e desktops. Para evitá-los, as corporações não precisam apenas de sistemas avançados, mas também de conscientização dos funcionários.

Fonte: Revista Info

Read More

Hacker lendário, Barnaby Jack morre às vésperas da Black Hat

O famoso hacker Barnaby Jack morreu, esta semana, em sua casa em São Francisco, na Califórnia, de causas desconhecidas. A morte aconteceu dias antes de Jack realizar uma apresentação na conferência de segurança Black Hat sobre como é possível invadir dispositivos médicos a atacar pessoas que usam próteses eletrônicas em seus corpos mesmo à distância. 

De acordo com o jornal San Francisco Chronical, um representante da polícia de São Francisco afirmou que Jack foi encontrado morto em seu apartamento por familiares. A hipótese de crime foi descartada pela polícia, diz o jornal. Uma das possibilidades é que o hacker tenha sofrido um ataque cardíaco.

Em nota,  os organizadores da Black Hat afirmam que a “vida e o trabalho de Barnaby Jack são lendários e insubstituíveis”. “Barnaby sabia explicar de forma simples temas complexos e intrincados da tecnologia”, diz o comunicado.

Ex-pesquisador das empresas McAfee e Juniper, Jack ganhou grande fama em 2010, quando demonstrou, ao vivo, num evento em São Francisco, como seria possível hackear caixas eletrônicos de bancos e fazê-los liberar dinheiro.  A apresentação foi feita após Jack dar tempo aos bancos para que corrigissem a falha. 

Entre as descobertas de segurança na área médica, Jack demonstrou que dispositivos remotos poderiam explorar falhas de bombas de insulina implantadas em pacientes com diabetes e fazê-las serem descarregadas em conjunto, levando o paciente ao óbito.

Read More