Cerca de 1 milhão de certificados SSL estão vulneráveis

Cerca de 1 milhão de sites estão sob riscos de segurança porque eles usam SHA-1 algoritmo de hash; que os pesquisadores de segurança rotulou como inseguro. Grande número de sites, incluindo a banca, governo e sites do setor corporativo são SHA-1 certifica que os investigadores encontraram mais vulneráveis.

Paul Mutton pesquisador Netcraft disse; "SHA-1 certificados com base está prestes a ser banido - o / corpo diretivo Navegador Forum CA tem governado há novas tais certificados podem ser emitidos após o início de 2016, e já proíbe quaisquer certificados existentes que são válidos para além do final de 2017. "

Os pesquisadores acreditam que, devido a essas vulnerabilidades; um hacker bem financiado pode facilmente passar por um site SSL que usa um SHA-1 certificado confiável publicamente. Pior ainda, enquanto os navegadores ainda aceitar SHA-1 assinaturas, sites SSL continuam em risco, mesmo após a migração para SHA-2: Se um invasor para comprometer um certificado CA intermediário assinado com SHA-1, ele poderia gerar certificados válidos para domínios arbitrários.

Mesmo depois de todos esses preocupações com SHA-1; as autoridades já emitiu mais de 120.000 SHA-1 certificados; que Mutton encontrado muito chocante. Mas partir do próximo ano estas autoridades estão proibidos de issung estes SHA-1 certificados aos novos assinantes.

Alguns dos certificados emitidos este ano tem uma data de validade para além de 2017; que é muito chocante por causa de SHA-1 é ragarded como fraco e inseguro de algum tempo. As empresas ou proprietários que compraram esses certificados definitivamente substituí-los depois destes relatório antes da sua data de validade.

Fonte: ehacking

Read More

Falha - Stagefright RCE no Android (CVE-2015-1538)

Amigos leitores, os que acompanham o mundo já devem estar cientes dessa falha que foi divulgada no mês passado.

Aviso Importante

O material a seguir tem a pretensão de ser puramente educacional e fornecer aos usuários comuns uma forma de estar mais protegido.

Lembre-se que "invadir sistemas sem o consentimento/autorização do proprietário é crime" e que crimes cibernéticos são enquadrados pela Lei "Carolina Diekmann" (que pode ser lida aqui).

Stagefright

Ela possui três pontos críticos (que formam um "combo"): é relativamente simples de ser explorada; Afeta todas as versões do Android; Pode ser explorada à distância.

O ataque funciona da seguinte forma: O atacante monta um arquivo mal formado de mídia, com o exploit embutido. Pronto, agora é só enviar para as vítimas (pode ser por MMS, site isca, engenharia social, correntes (hoax ou não), entre outras), assim que a execução da mídia ocorrer o exploit é executado em segundo plano.

OBS: Os arquivos no formato MP4 e 3GP já foram confirmados como vetores.

Caso a exploração seja completada, o aparelho pode ser comandado à distância pelo atacante por meio de códigos específicos, podendo obter acesso total (incluindo à câmera e microfones) sem o menor consentimento do usuário.

Confirmando a falha

É muito simples saber se seu aparelho está vulnerável, vá a Play Store e instale o seguinte APP:

Link: "Detector" na Play Store

Após isso abra-o e na tela inicial clique em "Fazer Análise" ou "Testar".

Pronto aguarde o teste (demorou menos de 5 minutos num Moto X1 com o Lolipop 5.1) e então veja a mensagem final.

As falhas testadas são:

CVE-2015-3876
CVE-2015-6602
CVE-2015-3864
CVE-2015-3828
CVE-2015-3824
CVE-2015-3829
CVE-2015-3827
CVE-2015-1538

Como se prevenir

-> Atualizações

Muitas fabricantes já atualizaram seus aparelhos para corrigir a falha, logo ir nas configurações e buscar por uma atualização de software pode ser talvez a melhor opção.

-> Faça você mesmo

Caso não ainda não tenham ocorrido atualizações do seu aparelho, tente os passos à seguir:

*Simples

- Desative o download automático de MMS;
- Desative o APP Hangouts (caso possua);
- Desative o download automático de mídias de outros APPS que julgar necessário (Whatsapp, Telegram, Viber, etc);

*Avançado

OBS: Tenha certeza que sabe o que está fazendo.

- Instale a CyanogenMod no aparelho;
- Utilize um IPS Móvel (como esse aqui) que pode custar dinheiro e é mais recomendado para usuários empresariais;

Referência (em inglês): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1538

Download do Exploit: Clique Aqui (cuidado com o manuseio do arquivo, certamente seu anti-vírus o detectará como infectado).

Página oficial da CyanogenMod (parcialmente traduzida do inglês):
https://wiki.cyanogenmod.org/w/About/pt-br (original: clique aqui)

"Conhecimento não é crime, crime é o que fazem com ele"

Read More

Analizando e escrevendo um exploit local

Olá leitores!

Andei meio sumido, a quantidade de posts caiu, mas não parou!

Muita correria com toda a equipe na verdade, mas sempre que sobra um tempo viemos postar aqui, desculpe por isso!

Agora sim vamos ao post.

Pelas minhas andanças pelo RSS encontrei essa série do Infosec Institute sobre analisar e escrever um exploit.

É uma série de posts bem como as que gostamos de fazer por aqui, a série em si já tem 8 partes, mas as duas últimas (7 e 8) são as que mais me chamaram a atenção que é justamente analisar uma aplicação em baixo nível e criar um exploit. 

Pretendo criar uma versão da BS deste artigo já a um bom tempo, começando de algo mais básico e mais detalhado para que todos possam entender.

Mas em quanto esse post não sai fique com a versão do Infosec Institute. (Inglês)

Analizando e escrevendo um exploit local - Parte 1

Analizando e escrevendo um exploit local - Parte 2

Read More

Vulnerabilidade - Ubuntu execução de shell local com acesso root (CVE 2015-1328)

Amigos, no dia de ontem foi divulgada uma vulnerabilidade que afeta o Ubuntu. Ela se trata de um exploit escrito em C, executado localmente que permite uma execução, por meio do serviço overlayfs do sistema, de um terminal/console com privilégios root (super usuário) sem a necessidade de senha e afeta 22 pacotes do sistema base e do kernel.

Resumo

Sistemas Afetados: Debian, Ubuntu

Versões Afetadas: Debian 7/8, Ubuntu 12.04-15.10, Kernel Linux (todas até 3.19.0)

Lista de pacotes base afetados:

linux
linux-armadaxp
linux-ec2
linux-flo
linux-fsl-imx51
linux-goldfish
linux-lts-backport-maverick
linux-lts-backport-natty
linux-lts-quantal
linux-lts-rating
linux-lts-saucy
linux-lts-trusty
linux-lts-utopic
linux-lts-vivid
linux-mako
linux-manta
linux-mvl-dove
linux-ti-omap4

Solução

Atualização imediata do sistema após a liberação das atualizações. Os usuários do Debian (Testing) já podem atualizar seus sistemas pois a atualização já foi liberada.

Referência

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1328

Estejam atentos à nossa página e grupo no Facebook pois estaremos acompanhando as atualizações e postaremos por lá. Boa noite.

Read More

Cibercriminosos desviam centenas de dólares de gift-cards do Starbucks

O Starbucks ainda está tendo dores de cabeça com fraudes que envolvem cartões de presente virtuais de seus clientes – com vítimas tendo centenas de dólares roubados. 

Fraudes relacionadas aos gift-cards da rede não são novidade. No entanto, nesta semana vítimas recentes foram destaque em um artigo escrito pelo jornalista Bob Sullivan.

O Starbucks informou que os clientes não serão penalizados por cobranças ou transferências que eles não fizeram. 

Aqueles que estão sob risco são clientes que têm sua conta no PayPal ou ainda cartão de crédito linkadas com o serviço online do Starbucks – que pode ser utilizado para enviar cartões de presente para pessoas com saldos pré-pagos. Os cartões podem armazenar saldo de até US$ 500.

Há registros de que o Starbucks tem sido alvo de cibercriminosos, pelo menos, nos últimos dois anos. 

O cartão em si pode ser utilizado para pagar itens nas lojas, e a conta online pode ser utilizada para enviar a um amigo, por exemplo, um certificado de presente por e-mail. É também uma ferramenta de fidelidade de clientes, com a qual o Starbucks oferece opções gratuitas, recompensas em bebidas e outros descontos. 

Assim como muitos serviços online, a empresa exige um nome de usuário e uma senha para acessá-lo, o que significa que cibercriminosos podem obter tais credenciais para si. 

O que parece é que hackers tiveram acesso a números significativos dessas credenciais, de acordo com um post feito no extinto site Evolution – domínio utilizado para fazer transação de produtos ilegais, semelhante ao Silk Road. 

Uma varredura em mensagens arquivadas mostrou um mercado próprio para cartões da  rede de café. 

Pouco antes do Evolution ser desativado, um vendedor escreveu: "estamos no processo de peneirar milhares e milhares de possíveis logins com saldo para o Starbucks."

E desde que pessoas geralmente utilizam as mesmas senhas e logins para diferentes serviços, hackers tentarão destravar outras contas. 

Uma vez com o controle das contas, os fraudadores podem transferir o saldo para outros cartões do Starbucks. Um anúncio em um fórum bitcoin bem conhecido de setembro do ano passado ofereceu um cartão de presente de US$ 100 por US $ 35 no valor da moeda virtual.

Existem algumas maneiras do Starbucks reforçar a segurança em torno de suas contas. Uma delas é oferecer autenticação de dois fatores, que requer a introdução de um código de acesso urgente junto com as credenciais de login. 

A companhia também poderia descartar a possibilidade de enviar saldos de um cartão para outro, embora, provavelmente, resulte em menos vendas para a empresa. 

Fonte: IDG Now!

Read More

Segurança: nova falha permite sequestro de aplicativos Android

A Palo Alto Networks descobriu uma vulnerabilidade do sistema operacional Google Android que permite a invasores “sequestrar” a instalação de um aplicativo aparentemente seguro – Android Package File (APK) – em dispositivos móveis, substituindo por um aplicativo de escolha do hacker, sem o conhecimento do usuário.

Estima-se que explorações com o malware batizado Highjacking afete 49,5% dos usuários atuais de Android, permitindo a invasores distribuir a ameaça, comprometendo os dispositivos e roubando informações pessoais.

A vulnerabilidade explora uma falha no serviço do sistema de pacote de instalação do Android, possibilitando que os hackers façam invasões silenciosas e adquiram permissões ilimitadas, comprometendo os aparelhos.

O malware possibilita que invasores enganem os usuários a partir de um conjunto de permissões, enquanto potencialmente ganham acesso completo aos serviços e dados dos usuários, inclusive informações pessoais e senhas. Enquanto os usuários acreditam estar instalando um app de lanterna, ou um jogo, com um conjunto de permissões bem-definido, eles estão na verdade rodando uma ameaça.

“Esta descoberta significa que os usuários que pensam que estão acessando aplicativos legítimos com permissões aprovadas podem estar expostos a ladrões de dados e a malwares. A Palo Alto Networks alerta para que os usuários fiquem atentos quanto ao aplicativo de diagnóstico fornecido pela empresa e chequem seus dispositivos.

Para sanar a ameaça, a fornecedora disponibilizou um aplicativo para ajudar a diagnosticar dispositivos afetados. “Implante dispositivos móveis com Android 4.3_r0.9 e posteriores, mas mantenha em mente que mesmo os aparelhos de Android 4.3 são vulneráveis”, avisa a Palo Alto.

Além disso, a companhia aconselha que se instale aplicativos apenas da loja virtual Google Play nos aparelhos vulneráveis; estes arquivos são baixados no espaço protegido, que não podem ser substituídos por um invasor.

Outra recomendação é para não fornecer aplicativos permissão para acessar o “logcat”. O “logcat” é um log do sistema, que pode ser usado para simplificar e automatizar uma exploração. O Android 4.1 e outras versões de proibições padrões de aplicativos de acesso ao logcat do sistema ou de outros apps instalados. Porém, um aplicativo instalado pode conseguir acesso a outros aplicativos logcat rodados nos aparelhos.

Fonte: IDG Now!

Read More

Vulnerabilidade crítica GHOST afeta a maioria dos sistemas Linux

Uma vulnerabilidade crítica encontrada na biblioteca GNU C (glibc), usada em praticamente qualquer distribuição Linux, o que permite a atacantes executar código malicioso em servidores e ganhar controle remotamente de máquinas Linux.

A vulnerabilidade, conhecida como "GHOST" e recebeu o código CVE-2015-0235, foi descoberta e reportada por pesquisadores da Qualys.

Tão crítica quanto Heartbleed e Shellshock

GHOST é considerada crítica pelo fato de hackers poderem facilmente explorar e ganhar acesso completo ao sistema sem a necessidade de conhecimento das credenciais.

Esta falha representa um grande risco, similar a Heartbleed, Shellshock e Poodle, descobertas ano passado.

Versões afetadas

Essa vulnerabilidade afeta as versões até a glibc-2.2, liberada em 2000. Mas grandes distribuições como Red Hat, Debian e Ubuntu já tem a algumas semanas um patch para correção.

Fonte: The Hacker News

Read More