cyberseg.blogspot.com.br

Cybersegurança

Cyberseg.blogspot.com.br Spined HTML

Cybersegurança Cybersegurança Cibernética, uma tentativa de compreender a comunicação e o controle de máquinas, seres vivos e grupos sociais através de analogias com as máquinas. De acordo com Norbert Wiener, pai da cibernética: "...do ponto de vista da transmissão da informação, a distinção entre máquinas e seres vivos, humanos ou não, é uma questão de semântica" sexta-feira, 20 de fevereiro de 2015 Privacidade na telefonia móvel? Parece que não. Imagem por: https://flic.kr/p/nztFja Uma ação conjunta entre americanos e britânicos roubou todas as chaves criptográficas de cartões SIM fabricados pela Gemalto, a maior fabricante de cartões SIM do mundo, que produz 2 bilhões de cartões por ano para 450 operadoras de celular em 85 países. Melhor explicando: ligação através de telefonia celular celular não fornece qualquer tipo de privacidade, caso americanos e ingleses tenham interesse no assunto.  É de conhecimento público que a NSA tem o interesse em capturar chamadas de chefes de estado, e agora um novo pedaço de pílula vermelha foi divulgado por Edward Snowden: ao hackearem a Gemalto, que ironicamente possui o lema "Security to be Free", praticamente não há celular em utilização atualmente que forneça privacidade e confidencialidade nas chamadas de voz.  Na transmissão de dados, ainda temos a criptografia fornecida pelos sistemas operacionais e bibliotecas usadas nas aplicações, mas é do conhecimento de todos que possuem falhas, os franceses podem confirmar e o treason organizado sabe muito bem como é. Os governos americano e inglês não precisam de ordens judiciais para interceptar chamadas de seus cidadãos, muito menos de governos vizinhos. O documento deixa a entender que, além das chaves roubadas, os servidores de operadoras (não identificadas) de telefonia foram comprometidos, o que permite ativar escutas ilegais e apagar rastros, além das estações dos engenheiros e das equipes de venda, o que permite mapear as redes das operadoras e obter dados de todos os clientes.  Especula-se que a equipe responsável pelo ataque e roubo das chaves foi o MHET (Mobile Handset Exploitation Team), equipe criada em 2010 com a finalidade de realizar esse ataque. Resta agora acompanhar como a indústria vai responder a essa denúncia e a repercussão no resto do mundo.  Fontes:  1. http://www.wikileaks-forum.com/nsa/332/nsa-spying-scandal-spiegel-stands-behind-merkel-cell-phone-spying-report/32654/  2. https://firstlook.org/theintercept/2015/02/19/great-sim-heist/  3. http://www.theregister.co.uk/2013/12/10/french_gov_dodgy_ssl_cert_reprimand/ Foto: https://flic.kr/p/nztFja Postado por Daniel Araújo Melo às 6:58:00 PM Nenhum comentário: Links para esta postagem Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar com o Pinterest sexta-feira, 13 de dezembro de 2013 Falha Grave Permite Interceptação de Dados na Internet Em 2008, durante a Defcon, dois pesquisadores demonstraram uma falha grave no protocolo BGP (Border Gateway Protocol), que permite a interceptação e desvio de dados na Internet. Ontem, 5 anos depois, a Wired publicou que pesquisadores alertaram sobre o desvio e possível captura de tráfego direcionado à organizações governamentais americanas. O tráfego foi desviado para a Islândia antes de ser devolvido aos destinos legítimos. Não se trata de qualquer vulnerabilidade das implementações do BGP nos roteadores, mas na forma como o BGP funciona: qualquer roteador pode divulgar melhores rotas e a autenticação é baseada na confiança. Fazendo uma analogia com o sistema postal, seria como se qualquer um pudesse anunciar que é o destino legítimo para o seu endereço. O desvio ocorreu durante meses e não se sabe desde quando essa prática ocorre... A solução não é simples. A IETF (Internet Engineering Task Force) publicou a RFC 4272 em 2006, tratando dos problemas de segurança do BGP e desde então surgiram iniciativas para resolver o problema, como soBGP (Secure Origin BGP), desenvolvido pela Cisco, e o S-BGP (Secure BGP), desenvolvido pela Raytheon. Enquanto as corporações seguem disputando para que suas soluções sejam adotadas pelo mercado, o problema persiste. Postado por Daniel Araújo Melo às 10:48:00 AM Nenhum comentário: Links para esta postagem Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar com o Pinterest domingo, 19 de maio de 2013 Instalação do Kali Linux no Virtualbox O roteiro a seguir faz parte do Treinamento em Teste de Invasão com Backtrack/Kali, em que sou instrutor, mas pode ser utilizado por qualquer estudante que pretenda iniciar os estudos nas ferramentas disponíveis no Kali Linux ou na metodologia de teste de invasão. O roteiro de instalação e configuração do Kali Linux no Virtualbox está disponível em: http://goo.gl/njg7x Bons estudos e até o próximo post. Postado por Daniel Araújo Melo às 11:49:00 AM 9 comentários: Links para esta postagem Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar com o Pinterest segunda-feira, 13 de maio de 2013 Zenmap - Interface gráfica do Nmap Pois é, depois de muito resistir, fui vencido pelo Zenmap, o front-end gráfico da melhor ferramenta de varredura e descoberta em redes de computadores, o Nmap. Quando tive o primeiro contato com o Zenmap, permaneci com a ideia: "Para que interface gráfica, seu eu sei os comandos?". Então, durante muito tempo continuei preferindo a linha de comando. O principal argumento para me convencer foi a capacidade de sumarização do resultado, através de um diagrama com a topologia de rede e da organização dos dados obtidos para cada host identificado na varredura.O exemplo abaixo apresenta o diagrama para uma varredura que executei, a partir de uma VM com o Kali Linux (a nova versão da distribuição Backtrack) em direção à algumas VMs que compõem o laboratório que utilizo para estudar e ensinar técnicas de invasão. O diagrama é uma forma rápida de sumarizar a varredura. Rapidamente o analista percebe a quantidade de hops entra atacante e alvo e quais sistemas alvo possuem maior quantidade de portas abertas. No exemplo acima, todos os IP detectados estão no mesmo anel, indicando que estão na mesma rede. Os IP com mais portas abertas são os círculos maiores e identificados em vermelho. Os cadeados indicam a existência de firewalls. A barra lateral também ajuda na identificação ágil dos sistemas operacionais de cada IP, no exemplo percebe-se 1 Linux, 3 Windows e 2 sistemas não identificados, por não terem portas abertas - o que impossibilita a identificação do sistema operacional presente no alvo. No diagrama a seguir, um exemplo onde atacante e alvo estão em redes diferentes, a 1 hop de distância. O diagrama e as facilidades de apresentação do Zenmap mostram-se muito úteis para agilizar a análise do resultado da varredura. O analista rapidamente identifica alvos com superfície de ataque maior e através da sumarização do resultado para cada host identifica as portas e serviços abertos. Outras características também chamaram minha atenção, como a capacidade de agregar varreduras. A cada nova varredura o resultado é adicionado ao existente e a topologia é atualizada.No site do Nmap existe um seção que apresenta como surfar no diagrama de topologia do Zenmap. Bons estudos, e até o próximo post. Postado por Daniel Araújo Melo às 9:17:00 PM Nenhum comentário: Links para esta postagem Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar com o Pinterest domingo, 5 de maio de 2013 Shodan - Mecanismo de Busca de Dispositivos na Internet Shodan é um mecanismo de busca, mas não como Google, Bing ou Yahoo, que buscam dados em páginas na Internet, e indexam os resultados, para ajudar os internautas a descobrir conteúdo distribuído nas zilhões de páginas existentes e tentar colocar ordem no caos. Ao invés disso, Shodan varre a Internet identificando endereços IP em uso, quais serviços estão disponíveis nesses endereços IP e indexa os banners que são apresentados por esses serviços. Para os iniciantes que não sabem o que é um banner, geralmente, ao estabelecer uma conexão com um servidor, este apresenta um banner, com informações de interesse do cliente, como versão e nome do servidor. Exemplo de um imprint divulgado pro um servidor de correio eletrônico: 220 Welcome to Qmail Toaster Ver. 1.3 smtp Server ESMTP O Shodan é uma ferramenta útil para um Analista que realiza testes de invasão (Pentesting) ou descoberta de vulnerabilidades (Vulnerability Assessment). Principalmente na etapa de reconhecimento do alvo.  Através de filtros é possível direcionar suas buscas. Suponha que você esteja realizando uma análise de segurança do domínio edu.br, e esteja buscando identificar servidores de Internet Microsoft IIS. Experimente digitar as palavras chave "Microsoft-iis hostdomain:edu.br" e disparar a consulta. O resultado apresenta 85 servidores - 77 localizados no Brasil. Para exportar os resultados das consultas e utilizar os filtros net e country,  é necessário criar uma conta (login). Não perca tempo e inicie os estudos sobre o Shodan. Postado por Daniel Araújo Melo às 1:09:00 PM Nenhum comentário: Links para esta postagem Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar com o Pinterest sexta-feira, 3 de maio de 2013 Treinamento em Teste de Invasão com Backtrack/Kali Estou oferecendo um Treinamento em Teste de Invasão com Backtrack/Kali, que será realizado nos dias 18/05, 25/05 e 01/06, em Recife. O objetivo do treinamento é apresentar uma metodologia de teste de invasão, utilizando as ferramentas disponíveis na distribuição Kali Linux 1.0 , que é a nova versão do Backtrack. Mais informações sobre o treinamento estão disponíveis no site da Área 2. Segue um vídeo explicativo sobre o treinamento: Postado por Daniel A. Melo às 11:47:00 AM Um comentário: Links para esta postagem Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar com o Pinterest domingo, 29 de abril de 2012 Roteiro para Security Target Simplificado – STS – Versão 0.1 "Um passo à frente, E você não está mais no mesmo lugar" Chico Science 1. Introdução O objetivo deste documento é guiar o estudante de segurança no desenvolvimento a escrever um documento, ST Simplificado, capaz de identificar os aspectos de segurança relacionados com um software (TOE – Target of Evaluation), e quais requisitos de segurança devem ser atendidos. O STS proposto nesta atividade, é inspirado no modelo de Security Target apresentado na ISO 15408, ou Common Criteria (http://www.commoncriteriaportal.org/), mas com o objetivo principal de ser utilizado como uma ferramenta educacional. Entretanto, pode ser aplicado em projetos pequenos, mas com requisitos de segurança impostos pela legislação vigente, ou políticas organizacionais. Os objetivos secundários do STS são formalizar quais requisitos de segurança devem ser atendidos pelo TOE e nortear o procedimento de testes. A opinião pessoal deste autor, é que uma documentação é melhor do que nenhuma. 2. Descrição do SST O SST será formado pelas seguintes seções: Introdução – Apresentação da finalidade do documento, identificação do TOE e sua finalidade; Descrição – Uma descrição detalhada da arquitetura do TOE. Políticas – Identificação das políticas de segurança e organizacionais que devem ser atendidas pelo TOE; Legislação – Deve identificar a legislação relacionada com o TOE; Análise de Risco – Identificação os riscos relacionados com o TOE; Premissas do Ambiente– Identificação das premissas do ambiente que influenciam os objetivos de segurança; Objetivos de Segurança – Identificação dos objetivos de Segurança; 2.1 Introdução A introdução documento deve apresentar o TOE de forma sucinta, de forma que o leitor possa identificar a funcionalidade básica do TOE e qual o seu objetivo. Adicionalmente pode ser apresentado alguma premissa que represente a missão do TOE ou alguma meta organizacional. Segue um exemplo: “O objetivo deste documento é identificar os requisitos de segurança da aplicação EstoqueMobile, que permite a consulta on-line ao banco de dados de estoque da organização XPTO. EstoqueMobile será utilizada pelos representantes da XPTO em leilões de matéria-prima. Os representantes precisam conhecer a quantidade do produto em estoque, para tomar as decisões no leilão. EstoqueMobile deve ser capaz de utilizar redes de comunicação públicas e garantir a confidencialidade das informações. ” 2.2 Descrição Deve incluir: Diagrama de Casos de Uso, Diagrama de Classes, ou qualquer diagrama que facilite o entendimento sobre a arquitetura. Se o TOE é uma aplicação web ou para dispositivo móvel, deve identificar os componentes envolvidos no lado cliente e no lado servidor (server-side). 2.3 Políticas Uma tabela deve identificar as políticas, organizacionais ou de segurança, que devem ser atendidos pelo TOE. Cada política deve possuir um identificador, que será utilizado para relacionar o objetivo de segurança com a política. Exemplo, considerando o software fictício EstoqueMobile: Identificador de Política Descrição POL-1 Os dados consolidados de estoque devem ser acessíveis apenas por usuários nos grupos: “direção”, “compradores” e “gestores de estoque”. POL-2 A divulgação não autorizada das informações acessadas através do EstoqueMobile devem ser punidas mediante demissão por justa causa. POL-3 Informações da empresa XPTO, classificadas como segredo de negócio, devem utilizar mecanismos criptográficos que garantam a confidencialidade dos dados, ao trafegar por redes de classificação menor e no armazenamento de dados 2.4 Legislação Uma tabela deve identificar a legislação vigente, que afeta o TOE, ou os dados manipulados pelo TOE. Cada item deve possuir um identificador, que será utilizado para relacionar o objetivo de segurança com a legislação. Exemplo, considerando o software fictício EstoqueMobile: Identificador de Legislação Descrição LEGIS-1 Direito Trabalhista. Para garantir a demissão por justa causa, caso ocorra um acesso indevido ou vazamento de informações, o EstoqueMobile deve garantir a identidade (não repúdio) de todos os usuários. 2.5 Análise de Risco Qualquer metodologia de análise de risco pode ser utilizada, desde que forneça as seguintes informações sobre o TOE: Descrição do Risco. Texto que permita identificar o agente e a vulnerabilidade que compõem o risco. Impacto. Nível de impacto com a concretização do risco. Pode ser um valor numérico, proporcional ao risco, ou uma categoria, que identifica a classe do risco (ex.: alto, médio e baixo). Classificação. Determina quais componentes da segurança (Confidencialidade, Integridade, Disponibilidade, podendo também ser: Legislação ou Política) serão comprometidos com a concretização do risco; Cada risco deve possuir identificador, que será utilizado para relacionar o objetivo de segurança com o risco. Exemplo, considerando o software fictício EstoqueMobile: Identificador de Risco Descrição do Risco Impacto Classificação RISCO-1 Atacante externo pode tentar acessar a componente server-side para obter dados do banco de estoque. alto Confidencialidade; Integridade; RISCO-2 Captura de pacotes na rede pública pode fornecer dados confidenciais a terceiros. alto Confidencialidade; RISCO-3 Acesso indevido ao dispositivo móvel pode permitir o acesso não autorizado a informação confidencial armazenada no dispositivo. médio Confidencialidade; 2.6 Premissas do Ambiente Nesta seção devem ser identificados os mecanismos de controle já aplicados no ambiente em que a aplicação será utilizada, e são necessários para garantir que os mecanismos aplicados pela solução serão suficientes. Cada risco deve possuir identificador, que será utilizado para relacionar o objetivo de segurança com o risco. Exemplo, considerando o software fictício EstoqueMobile: Identificador da Premissa Descrição da Premissa PREM-1 O componente server-side será hospedado em um servidor que possui atualização automática de correções de segurança; PREM-2 O servidor que hospeda o componente server-side é protegido por firewall que limita o tráfego em direção ao servidor, permitindo apenas tráfego direcionado a porta do componente. PREM-3 O dispositivo móvel deve possuir todas as correções de vulnerabilidades disponibilizadas pelo fabricante; PREM-4 O dispositivo móvel deve utilizar software antivírus atualizado. 2.7 Objetivos de Segurança Os objetivos de segurança devem identificar quais requisitos foram considerados (Políticas, Legislação e Riscos), bem como se alguma premissa deve ser seguida para garantir que o objetivo seja atingido. Cada objetivo deve possuir identificador, que será utilizado para guiar os testes. Exemplo, considerando o software fictício EstoqueMobile: Identificador do Objetivo Descrição Requisitos OBJ-1 A autenticação do usuário deve utilizar certificados digitais ou biometria. POL-1, POL-2, LEGIS-1, RISCO-1 OBJ-2 A comunicação entre o lado cliente e o servidor deve utilizar SSL/TLS POL-3, RISCO-2 OBJ-3 O armazenamento de informações no dispositivo deve utilizar criptografia. POL-3, RISCO-3 Postado por Daniel A. Melo às 8:24:00 PM Nenhum comentário: Links para esta postagem Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar com o Pinterest segunda-feira, 1 de novembro de 2010 Damn Vulnerable Linux A distribuição Damn Vulnerable Linux (DVL) é uma das ferramentas que utilizo em minhas aulas. Baseada noBacktrack2, tem como objetivo oferecer um ambiente vulnerável para fins educativos. O material é dividido em duas partes: exploração de binários e ataques à aplicações web. Para quem quiser liberar o DVD durante sua utilização, a instalação no Virtualbox pode ser feita sem muitas dificuldades. Fontes: www.backtrack-linux.org www.damnvulnerablelinux.org www.virtualbox.org Postado por Daniel A. Melo às 1:24:00 PM Nenhum comentário: Links para esta postagem Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar com o Pinterest Marcadores: linux virtualbox dvl backtrack pentesting segunda-feira, 13 de setembro de 2010 Vulnerabilidade doWackeReader Coloca Sistemas Windows em Risco Seguindo uma tendência diagnosticada desde o ano passado, o treason organizado continua produzindo malwares que exploram vulnerabilidades de plugins, em especial oWackeReader. Mais uma vez, a máxima "uma corrente é tão forte quanto seu elo mais fraco" mostra-se atual e apresenta os usuários como esse elo fraco. Aparentemente,  os mesmos criminosos que criaram o Cavalo de Tróia Hydra, responsáveis pela invasão da Google e dezenas de outras empresas no início do ano, atacam mais uma vez, explorando uma nova vulnerabilidade doWackeReader (vulnerabilidade zero-day, pois até o momento nenhuma correção foi publicada). De acordo com a Symantec, vários e-mails com arquivos PDFs maliciosos foram identificados, com origem na mesma rede da China que é apontada como origem do Hydra. O ataque utiliza uma técnica chamada Programação Orientada a Retorno (Return-oriented Programming) para burlar o mecanismo de prevenção de execução de dados do Windows, que tem como objetivo evitar a execução de código na pilha e na heap, e executar instruções maliciosas através do biblioteca icucnv36.dll. Após a exploração com sucesso, o malware obtém uma biblioteca que realiza downloads de outros códigos maliciosos. Além disso, o PDF possui um certificado digital assinado por um certificado roubado de uma Autoridade Certificadora, para tentar enganar o usuário a respeito da autenticidade do arquivo. Enquanto a correção não é publicada pela Adobe, resta aos usuários manter os antivírus atualizados e/ou utilizar um leitor de PDFs diferentes. O ataque é muito sofisticado. A técnica de programação orientada a retorno foi apresentada na conferênciaWoebegoneHat de 2008, e mostra a determinação dos criminosos em burlar os mecanismos de proteção existentes. Fontes: http://www.theregister.co.uk/2010/09/13/adobe_attacker_fingerprints/ http://www.symantec.com/connect/blogs/hydraq-aurora-attackers-back http://www.symantec.com/security_response/writeup.jsp?docid=2010-011114-1830-99 http://cseweb.ucsd.edu/~hovav/talks/blackhat08.html Postado por Daniel A. Melo às 2:08:00 PM Nenhum comentário: Links para esta postagem Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar com o Pinterest Marcadores: adobe, woebegone hat, malware, trojan terça-feira, 24 de agosto de 2010 Novo Malware que Afeta Linux Já participei de muitas discussões onde os defensores do Linux alegam que uma de suas vantagens é não ser afetado por Malwares. Isso não é verdade. Também sou defensor do Linux, há mais de 10 anos que só utilizo o concorrente proprietário como video-game, mas não pelo fato que o Linux é invulnerável. Minha escolha se deu por outros fatores, mas, como o tema deste blog é segurança, não vou defender estes motivos, mas alertar para a existência de malwares que podem afetar sistemas Linux/Unix. Essa idéia que o Linux não precisa de antivírus vai muito além de programadores fanáticos ou rebeldes, também existe no mundo corporativo. Consigo lembrar rapidamente de ao menos 3 corporações de grande porte que apresentam a economia em não utilizar antivírus como uma das razões em ter adotado o Linux. Costumo defender que o nome antivírus não representa a verdadeira natureza dese tipo de mecanismo de segurança, talvez antimalware seja mais adequado. Afinal, vírus são apenas um tipo de praga virtual, dentre várias. Uma rápida busca por "malwares linux" no oráculo mostra como o assunto gera discussão, e apresenta várias notícias sobre malwares para Linux. A notícia mais recente foi postada no SANS e citada no blog da Sophos. Um novo Bot para Linux foi reportado, baseado em Perl, e capaz de infectar máquinas Linux e Unix. O Bot possui exploits para aplicações PHP (RFI - Remote File Inclusion) e para um gerenciador de conteúdo e107.org, também em PHP. Entretanto, também foi encontrado em máquinas que não possuíam o PHP instalado. A Sophos já possui a assinatura para detectar esse malware, e a comunidade Emerging Threats disponibilizou uma assinatura para o Snort que detecta a comunicação do BOT com o servidor gerente. Fontes: http://isc.sans.edu/diary.html?storyid=9430 http://www.sophos.com/blogs/sophoslabs/?p=10772 Postado por Daniel A. Melo às 8:27:00 AM Nenhum comentário: Links para esta postagem Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar com o Pinterest Postagens mais antigas Página inicial Assinar: Postagens (Atom) Linkedin Pesquisar este blog Arquivo do blog ▼  2015 (1) ▼  Fevereiro (1) Privacidade na telefonia móvel? Parece que não. ►  2013 (5) ►  Dezembro (1) ►  Maio (4) ►  2012 (1) ►  Abril (1) ►  2010 (10) ►  Novembro (1) ►  Setembro (1) ►  Agosto (1) ►  Março (7) ►  2009 (12) ►  Agosto (1) ►  Julho (1) ►  Maio (10) Seguidores Sites de interesse (ISC)2 Modulo E-Security SANS Security Focus http://www.buscapb.com.br Tema Simples. Tecnologia do Blogger.