Segurança Importa ? - Who Cares ?

Capture The Flag - Por una Cabeza

2011-09-26T10:09:00.004-03:00

Durante os dias 21 e 23 de Setembro de 2011, acontenceu a Eko Party, um evento de segurança da informação na Argentina, considerado por muitos a Defcon Latina. ( prometo um outro post falando mais sobre o evento )

Quem gosta de segurança e tem skills tecnicos, deveria participar, pelo menos uma vez de um desafio de CTF ( Capture The Flag ).

Estavamos na EkoParty (Argentina) e resolvemos (eu e outros brasileiros) participar de um.
Ouvimos dizer, que o desafio rodaria em uma maquina virtual, assim a ideia principal, seria, pegar uma copia da Maquina virtual para estuda-la depois.
Fizemos a inscrição, ganhamos acesso, e percemos que o desafio inteiro estava dentro de maquinas viruais, e não teriamos acesso (fisico) as mesmas, ou para cópia, e sim, acesso por rede.

O que custa tentar ?
Começamos completamente desacreditados, tanto pela organização do evento, quanto pelos outros times, pois estavamos com pelo menos meio dia de atraso frente aos outros times.
Entramos como o time, 9 de 10 times.
Fizemos um reconhecimento do nossos servidor, tentando entender o desafio como um todo.
Ficamos aproximandamente 2 horas conectados e saimos. Desconectamos nossos equipamentos, fomos assisitir as palestras e almoçar.
Porem, eu vi uma coisa no servidor que ninguem mais viu, e baseado nisso, durante o almoço, conversamos um pouco, dividimos tarefas e montamos uma estrategia basica.
Voltando do almoço, e em algumas horas, conseguimos pontuar, mais do que todos os outros times, que estavam com um dia de vantagem.
Brasileiros na Frente !!!!

Isso gerou a ira dos argentinos.

Em uma manobra baseada na Arte da Guerra, chamada de fazer aliados, TODOS os argentinos se juntaram contra nós.
Mais de 50 argentinos contra 6 brasileiros. Pelos conhecidos laços de amizade, ficou Claramente um jogo de Argentina contra Brasil.

Nos sentimos como no filme 300, mas fazia parte. ( No Retreat No Surrender )
Como não estavamos preparados para "jogar", não pensamos em estrategias, de ataque e defesa, estavamos na realidade nos divertindo.
Nessa "marcada", não defendemos corretamente nosso servidor.
Após isso, ficamos empatados em primeiro, com o outro time "do todos" contra um.
Nós em primeiros na ofensive e eles em primeiro na defensiva.

"Por una Cabeza", e de acordo com as regras (que ficamos sabendo bem no final do evento), em caso de empate, caberia o primeiro lugar a equipe que tivesse pego a primeira bandeira. Como começamos depois .....

O que eu achei bem interessante, foi que na hora da premiação, subiram ao palco somente 5 argentinos !
Perguntei inclusive, em voz alta, onde estavm os outros 50 ou 100 que trabalharam juntos, contra nós. ( sem resposta é claro )

Conclusões:
Trabalho em GRUPO é TUDO: Juntamos um time de especilistas brasileiros, e em pouco tempo mostramos nossa raça e qualificação técnica.
Desabafo: Mesmo ja tendo pensando em desistir dessa área diversas vezes, percebo que temos potencial e que esse conhecimento deve ser aprovietado. Porem infelizmente, vejo no Brasil (governo e empresas), pouco interesse e investimento nessa área.
Futuro: Estou buscando patrocínio, nacional ou estrangeiro, para um time de Capture The Flag.
Para que esse time, possa participar de desafios, pelo mundo a fora e compartilhar os conhecimentos adquiridos com as empresas patrocinadoras e com as novas gerações de profissionais, pensando sempre na Etica e na Moral. Se voce está interessado em patrocinar esse grupo ou ter mais detalhes sobre isso, entre em contato. Ficarei muito feliz em saber que existem empresas e pessoas que se importam.

Eu tenho certeza que Segurança Importa.
Abraços

Para que gastar ?

2011-08-23T06:49:00.000-03:00

As tecnicas de enganar as pessoas, vao mudando com o passar dos tempos.
Ja tivemos a epoca dos emails bonitos, copias fieis de emails ou sites de empresas licitas.
Quanto mais bonito ou quanto mais parecido com o original, mais gente consegue enganar.

Agora, se funciona sem nada, porque fazer bonito ?
Recebi hoje um email que dizia somente "clique aqui para atualizar".

Os mais credulos podem acreditar se tratar de um problema com o navegador, ou com o cliente de email, porem não é.
Não existe pagina alguma para ser visualizada, o email é composto por somente uma linha.
Essa linha um link para um arquivo malicioso .
Essa tecnica esta sendo usada, com pouco ou sem nenhum texto como no exemplo acima.

Mais uma vez a dica.
CUIDADO !!

O que importa ? Segurança ou um email bonito ?

Site gratis Crime na certa

2011-07-26T10:44:00.000-03:00

Descobri hoje um site de hospedagem gratis, porem alem de mim muitas outras pessoas tambem.
O interessante de tudo isso é que cada um pensa de maneira diferente, quando se depara com uma situação dessas.
Alguns pensam em se auto promover, outros em gerar informações, e outros ainda em gerar negocios, mesmo que esses negócios sejam ilegais.

O site em questão, tinha um dominio registrado dentre os ultimos que me chamou a atenção pela familiaridade do nome.

A primeira pergunta que me vem sempre a cabeça .. Estaria essa empresa passando por necessidades financeiras e optando por fazer hospedagem Gratuita para conter gastos ?

É claro que deve ser um GOLPE .

O Site em questão leva a uma pagina FALSA, solicitando o cadastro para algum tipo de promoção.

Após o cadastro voce é redirecionado para uma pagina de agradecimentos, etc,etc

A atenção a alguns detalhes pode fazer a diferença entre cair e não em golpes.

A proposito:
O responsavel legal pelo dominio vitima já foi notificado.

Eu acho que segurança importa, e voce ?

O Portão de controle

2011-07-25T10:14:00.000-03:00

Minha história hoje, é sobre segurança fisica.

Em um condominio, um morador, teve o carro roubado.
Dentro desse carro, o controle remoto para abrir os portões do condiminio.
No mesmo dia, avisos no elevador dizendo :
Por questões de segurança, entreguem seus controles para que o codigo seja alterado.

Vou explicar os motivos, mas já vou avisar :
" Controle remoto + portões automaticos (como geralmente conhecemos) são equipamentos de CONFORTO e não de SEGURANÇA"

Um portão automatico, impede que voce:
- Saia do carro para abrir o portão. ( diminuindo assim seu tempo de exposição FORA do carro )
- Tome chuva

Um portão automatico, não impede que:
- Entrem dois carros, um atraz do outro.
- Entre um carro e uma pessoa, a pé ao lado desse carro.
- Entre alguem a mais DENTRO do seu carro.
- Que voce seja assaltado.

Normalmente os controles remotos são padrão e podem ser comprados em qualquer lugar (até mesmo em bancas de jornal e chaveiros).
Esses controles permitem 256 combinações de senha.

Não sou especialista em eletronica, porem acredito não ser dificil pazer um "testador de combinações". Um equipamento desses poderia abrir um portão em 5 minutos. ( levando em conta que estamos fazendo um teste de cada vez e levando um segundo cada teste ) [comprar 256 controles ia ficar caro]

Já vi dispositivos capazes de verificar, a frequencia que o controle esta emitindo. Assim o sujeito espera alguem utilizar o controle, verifica a frequencia utilizada, utiliza a mesma para abri-lo.

Sei que existe a possbilidade de ataques de REPLAY.

Em qualquer das situações acima, o porteiro, poderia no maximo, gritar.

INFELIZMENTE são poucos os condominios que se preocupam com segurança.
Os moradores buscam conforto e alguns não admitem serem parados ou terem seus amigos parados em uma portaria.
Tambem são poucas as empresas de portaria, que dão treinamentos de segurança a seus funcionários.

No final ... para que server o controle ? Para trocar de canal !

Quem se importa com segurança ?

Com Segurança, SemGas

2011-06-17T10:45:00.000-03:00

Eu sempre fico perguntando ... Quem se importa com segurança ?
Acho que encontrei uma empresa...

A alguns dias, um amigo meu ligou para a concessionária de Gas da região, reportando, um problema.
No meio da conversa, ele disse a palavra " vazamento " .
De acordo com ele, e como em um filme de Hollywood, a atendente mudou o tom de voz, mudou o script de atendimento, e disse que o tecnico estaria na residencia dele em menos de 1 ( uma ) hora.
Alguem ja viu isso ? Geralmente as promessas de atendimento são genericas, tipo, periodo da manhã( que vai das 8:00 as 18:00) sem respeitar o cliente que na maioria das vezes TRABALHA.

Voltando .. Acreditem ou não, mesmo dizendo que irai sair para Trabalhar a atendente disse que o Tecnico já estava a caminho. Mais uma vez, caso raro de se screditar, o Tecnico apareceu, em MENOS de UMA HORA.
Desligou o GAS, fez testes, deu recomendações e antes de ir embora, removeu o Relógio de Gas e Lacrando os canos e impedindo que o Gas daquela residencia, fosse irresponsavelmente ligado.
O tecnico, não estava preocupado com o possivel banho frio, ou com o almoço das crianças.
Estava preocupado com a segurança do meu amigo e do predio como um todo.
Meu amigo, ficou .. SEMGAS !

O Triste é que nos espantamos com aquilo, que era para ser normal.

Tenho só mais uma coisa a dizer.

PARABENS COMGAS !

Aprendemos com nossos erros ?

2011-06-01T17:20:00.000-03:00

Algumas pessoas sim, outras não ! E as empresas ?
Um amigo me disse uma vez que "as empresas eram perfeitas, mas elas tinham um problema: as pessoas !!".
Assim dependendo do tipo de pessoa que essa empresa tenha, o aprendizado será bem mais lento e dolorido.

Depois de anos no mercado, sofrendo ataques em seus sistemas operacionais, a Microsoft aprendeu a lição. Reescreveu alguns de seus softwares, montou grupos especificos para tratar de assuntos de segurança, e hoje tem um processo formal para trabalhar essas questões.

Nos ultimos meses, temos visto a Sony virar a bola da vez.
Foi invadida tantas vezes que ninguem sabe o número correto mais.
Varias ações foram tomadas, dentre elas, notas na midia, que ao meu ver foram super desastrosas. dentre as frases, algumas para entrar na categoria de pérolas:

"até o momento, nosso grupo responsavel pelos serviços de rede foi incapaz de determinar, que tipo de dados foram transferidos, e por isso eles desativaram a PlayStation Network" (At the time, the network service team was unable to determine what type of data had been transferred, and they therefore shut the PlayStation Network system down)

"A detecção foi dificil devido ao nivel de sofisticação da invasão "("Detection was difficult because of the sheer sophistication of the intrusion," )

"Segundo, a detecção foi dificil porque os Hackers criminosos exploraram uma vulnerabilidade de software no sistema"
("Second, detection was difficult because the criminal hackers exploited a system software vulnerability.")
Porem um executivo da empresa havia informado que os hackers haviam ganho acesso atravez de uma "vulnerabilidade conhecida" que a empresa não sabia da existencia.

http://arstechnica.com/gaming/news/2011/05/sony-wont-testify-on-psn-attack-names-anonymous-in-written-answers.ars
http://graphics8.nytimes.com/packages/pdf/technology/20110504-sony-letter.pdf
http://pastebin.com/vQcdsm48

Não bastando isso, a SONY começou a enviar email para os clientes da PSN cada hora com um endereço de email diferente. "Playstation_Network@playstation.sony.com", "PlayStation_Network@playstation-email.com", "PlayStation_Network@playstation.innovyx.net" .
Sabendo que a empresa foi invadida, voce recebe um email com um remetente suspeito, voce faz, oque ?
Conheço diversas pessoas que acharam que estavam sendo vitimas de golpe ( os forums ao redor do mundo estão lotados de gente questionando). Infelimente ou felizmente os emails são verdadeiros.

Isso me lembra uma empresa onde trabalhei, onde o objetivo era executar, sem chance de pensar (isso na área de segurança). Era permitido fazer 100 vezes errado, mas não era permitido pensar, visando acertar na primeira ou segunda (ou mais).

As coisas mais tristes ( ao meu ver ) já começaram a acontecer.
Em alguns paises, comerciantes, estavam oferecendo XBOX em troca do PS3.

As empresas, independente do ramo de atividade, tem que considerar, que são dependentes da tecnologia, e a mesma tecnologia que as levanta, pode derruba-las. Não adianta executar, tem que pensar primeiro.

A Microsoft usou a experiencia dos sistemas operacionis e outros sistema online para utilizar em seu video game. 100% seguro ? Claro que não, isso não existe, porem mais seguro que o concorrente.

Acho que o segredo é sempre pensar ... " e se ? ". Com tudo isso implementado, "e se" acontecer algo diferente ? e por ai vai .

Segurança é igual manutenção de casas ou carros. Existem alguns cuidados que vc tem que tomar de tempos em tempos. Se for deixando para tomar esses cuidados de uma unica vez, o preço será muito maior.

As ações da Sony na NASDQ, cairam e muito, desde o começo do ano.

O negócio é ganhar dinheiro, sempre funcionou assim !!

Será que eles vão aprender ?

Segurança ! Quem se importa ?

O Profeta - 1

2011-05-18T15:04:00.000-03:00

Sempre tive "carinho especial" por algumas empresas / grupos.
Porem com o passar dos tempos, vi diversas delas serem adquiridas por outras e fecharem.

Uma dessas empresas, a ISS.
Possuiam, um time, chamado X-force. A nata dos profissionais de segurança.
Durante muito tempo, eles foram os melhores, divulgando vulnerabilidades, aos montes para todos os sistemas operacionais, softwares e equipamentos.
Suas descobretas eram incluidas nas assinaturas de seu Scanner de Vulnerabilidade e IDS.

Logo apos a compra da ISS pela IBM ( agosto de 2006 ), conversei com varios profissionais e vi uma série de coisas acontecerem.
- A empresa pequena e agil, ficou engessada, por uma tonelada de burocracia (previsivel)
- Parte do time da Xforce saiu ( não sei os motivos )
Porem em 2008 assisti, uma palestra onde a executiva da compradora, dizia que sua empresa iria focar em serviços.

Para mim foi um sinal muito claro, que os produtos da linha ISS seriam abandonados e talvez a propria empresa morresse.

Para os mais otimistas (ou cegos), eu estava louco.

Depois no mesmo ano (2008) durante um decisão de compra de produtos IDS/IPS na empresa a qual eu atuava, minha opinião, tambem não valeu nada. Nada conveceu os superiores a troca ou compra do produto adequado ( e/ou que teria maior vida ).

Não foi a primeira vez que recebi esse tipo de tratamento, porem, agora, alguns anos depois, ai esta a comprovação dos fatos.

http://www-01.ibm.com/cgi-bin/common/ssi/ssialias?infotype=an&subtype=ca&htmlfid=897%2FENUS911-082&appname=isource&language=enus#toc

Diversos produtos com data para morrer.

Fica mais uma vez o alerta.

Segurança ? Quem se importa ?

Recuperando Rastros Franceses

2011-04-27T07:04:00.000-03:00

No Final do ano fui chamado para ajudar em uma Resposta a Incidente.
O que me foi reportado:
Maquina linux, foi invadida.
Uma pagina alterada. ( defacement )

Detalhes:
1- Fui chamado 3 horas após o incidente.
2- A pessoa que fez o primeiro atendimento, por inexperiencia, rebootou a maquina 3 vezes.
3- maquina com 2 hds rodando Raid 1 (mirror).

Minha missão:
1 - descobir o que aconteceu e como.
2 - tornar a maquina estavel tempo suficiente para a migração e backup dos dados.

Assim, remotamente, uma vez dentro da maquina, fui atras de arquivos de log.
NADA. Todos os logs foram deletados.
Olhando no /tmp, encontrei alguns scripts utilizados pelo atacante .

Descobri, que o script alterava todo e qualquer arquivo da maquina, com os nomes index, default e home.
Essa informação foi crucial para poder voltar ao funcionamento alguns serviços, como o email.
O script ainda indicava que após a "invasão" o site Zone-H era contactado.

Continuando ..

Verifiquei a data corrente da maquina.
# date

sabendo aproximadamente o horario da invasão, utilizei o comando touch do linux para " criar um arquivo de "referencia" algum tempo antes da invasão.

################################
touch -d "27 Dec 2010 08:00:00" /tmp/date_marker
###############################

apos isso utilizei o find para localizar todos os arquivos modificados na maquina após essa data e horario.

######################################
find / -newer /tmp/date_marker
######################################

Olhando a lista de arquivos, notei uma instalação do JOOMLA.
"Navegando dentro da maquina" descobri que a mesma era ANTIGA, e vulneravel a diversos tipos de ataque.

Consegui inclusive encontrar, outros arquivos, até partes de um rootkit.

O que e como eu já havia descoberto.
Voltei os serviços minimos da maquina, a um estado aceitavel.

Mesmo o cliente estando satisfeito, eu queria saber quem. ( e talvez alguns detalhes a mais do como )

Agora vem a pergunta ...
Como recuperar dados de um HD remoto, discos em mirror, sabendo que a maquina foi rebootada 3 vezes e que o mirror/fsck teve tempo suficiente para syncronizar os discos ?

Para minha sorte havia o NETCAT instalado na maquina ( default em alguns sistemas operacionais )
Assim, fiz a tranferencia de alguns arquivos, e depois tentei procurar algum resto de log que pudesse me ajudar.

Na maquina invadida:

# dd if=/dev/sda | strings | nc 11223

Na maquina destino ( minha maquina ):

# nc -l -p 11223 >>/tmp/strings.txt

O procedimento acima poderia ser utilizado nos 3 devices ... :-)
/dev/md0
/dev/sda
/dev/sdb

Depois de algumas horas eu interrompi a transferencia.
Buscando no arquivo /tmp/strings.txt na minha maquina um simples GREP com palavras chave do log HTTP, consegui recuperar TODOS os LOGS para remontar as ações do atacante.
Atacante, vindo de um IP de range FRANCES, usando um navegador FRANCES, fazendo Defacement de paginas no Brasil, com textos em Portugues - Brasileiro.

#########################
Minha primeira ação nesse caso, seria "quebrar" o mirror, separando os discos, tentando preservar algum dado, em algum HD, e é claro não rebootar a maquina. ( ou tardar o maximo essa ação )
#########################

MOTIVAÇÃO:
- mulecagem - Mass defacement - Mirror no Zone H

Conclusões.

0 - somente o arquivo "zerado" criado no /tmp, foi criado/alterdo na maquina.
1 - Sempre dá para achar alguma coisa.
2 - Não acredito que pilotos de ferramenta conseguissem fazer o que foi feito, principalmente remotamente.

#########################################################
alguns parametros, detalhes e endereços foram omitidos
#########################################################
Para quem não entendeu a dificuldade.

Raid 1 = Mirror.
Tudo feito na maquina é replicado para nos HDs.
Em caso de problemas com um disco voce DEVE ter dois discos iguais.
Assim, separando o mirror, voce consegue manter um backup.

O problema é que se um arquivo for apagado, será apagado dos dois HDs.
Se for executado um reboot, existe a chance do sistema efetuar rotinas normais de verificação e fazer a sincronizacao desses dados. ( apagar em um HD o que já foi apagado no outro )
#########################################################

Para quem se importa, existem algumas opções.
1- Estudar e aprender.
2- contratar alguem que saiba o que esta fazendo.

Abraços

T R A M - L L A W

2011-03-20T20:02:00.000-03:00

Atualmente toda grande loja fisica, geralmente possui uma loja virtual tambem, em tempos de internet, todo mundo quer estar dentro do mercado.
Quem voce coloca para gerenciar sua loja virual ?
Qual a experiencia dessa pessoa ? ( com gerencia e com Internet )

Essa rede de lojas é mais uma que costuma despresar os clientes, alegando "erros no sistema".

Espero que eles continuem prosperando e vendendo mouses a esse valor ( que deve ser comum na loja, pois parece que somente os internautas perceberam isso )

Isso é o que dá, trabalhar com uma ferramenta que voce não conhece.

Abraços
Nesse caso. Nada importa, muito menos segurança.

Quando dinheiro não é tudo.

2011-02-23T13:03:00.000-03:00

Normalmente, em segurança, quanto mais dinheiro, mais segurança.
Se voce tem dinheiro, compra um carro blindado, se não tem anda de onibus. Facil de entender não ?
Baseado nisso, se voce tem dinheiro infinito, poderia ter segurança infinita, certo ?

Sim, mas ... e se ninguem se importasse com segurança, se importando somente com o dinheiro ?

Mesmo sabendo das dificuldades dos administradores, existem situações onde eu acho LAMENTAVEL e INADIMISSIVEL o que eu vejo.

Hoje, recebi no twitter e depois em uma lista, um link de um Banco Brasileiro ( Não era Phishing )

A pagina exibia a mensagem "Hello World!".

Para quem não sabe esse é um texto padrão que recomenda-se ser utilizado aos futuros programadores em seus primeiros programas, em qualquer linguagem, para dar sorte ! (lenda)
Agora me explica, o que uma mensagem de "Hello World!", faz em um servidor de Produção de um SUPER Banco Brasileiro ?

E esta agora !!! " Servidor OK" , Fiquei muito feliz de saber que o servidor esta OK !!

Esta na hora de acabar com a hipocresia e as instituições começarem a mandar seus gerentes, diretores e superintendentes embora, ou no minimo realoca-los para areas de sua competencia.
(Não fica tentando aprender durante sua estadia no cargo.)

Quanto custa a IMAGEM da instituição, mostrando que eles não gerenciam mudanças, ativos, configuração, segurança, etc ?
Quem foi ? foi um terceiro ?
Então, esta na hora de aplicar as multas contratuais e punir as grandes empresas, por suas grandes economias porcas e contratação de pessoas mal instruidas que não merecem ser chamados de Profissionais.

Se voce contratou o cara errado, RUA para ele, se foi mais que um ( errado ) Rua para voce tambem .
Se voce contratou o outsourcing errado, RUA para voce, para ele e mais MULTA para ele.

No final, fica a mensagem "Hello World!" em um servidor de produção de uma empresa dita "séria" que guarda o seu dinheiro.

Segurança Importa ?, se sim, tira essa maquina do ar agora !!!!

Quer ser meu amigo ?

2011-02-22T01:02:00.000-03:00

Assim como muitos de voces, recebi hoje uma solicitação de alguem que queria me seguir no Twitter.
Porem assim como nas outras redes socias que participo, eu sempre procuro "investigar" quem esta querendo me seguir ou ser meu amigo( colega de rede social. Amigo é muito intimo ).

Assim, EffieMelton232 queria ser meu amigo.
Fui olhar o perfil publico desse usuário e... algo me chamou muito a atenção !!!

Alguem notou algo ?
Meu Futuro-(EX)-Amigo, seguia 1353 outros e era seguido somente por 17 ( desavisados ).
Poderia ser uma pessoa honesta! Assim fui clicar no link do post ... "comment my Photos or message me at ...."

Mas eu não me dou por cansado e com a ajuda do Linux ...

laptop:/tmp$ wget http://www.hiderefer.com/ZFXZQUj1.htm
--2011-02-22 00:08:59-- http://www.hiderefer.com/ZFXZQUj1.htm
Resolving www.hiderefer.com... 209.159.156.66
Connecting to www.hiderefer.com|209.159.156.66|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 643 [text/html]
Saving to: `ZFXZQUj1.htm'

100%[========================================================================================================>] 643 --.-K/s in 0s

2011-02-22 00:09:11 (30.9 MB/s) - `ZFXZQUj1.htm' saved [643/643]

O codigo era mais ou menos assim ( tive que dar uma alterada para publicar )

t i t l e-->HideRefer.com Anonym Link----/t i t l e

f r ameset cols="*"
f r a m e src="ht tp:// girlesaskguy . at. 2288 .org"
/f ra me set

m e t a h t t p -equiv="refresh" content="1; URL=ht tp:// girlesaskguy . at. 2288 .org"
i m g border="0" src="http:// www. hiderefer. com / load.gif" width="16" height="16"
Connecting to..
a h r e f="ht tp:// girlesaskguy . at . 2288 .org" -->ht tp:// girlesaskguy . at . 2288 .org

Eu nunca gostei desses nomes de dominios que são Numeros, e uma simples busca no google me mostrou a quantidade de subdominios 2288 ponto org que estão relacionados com malware.

A figura load.gif tambem me pareceu meio suspeita .. ( não gostei desse BBB, isso me lembra monitoração)

laptop:/tmp$ xxd load.gif
0000000: 4749 4638 3961 1000 1000 f200 00ff ffff GIF89a..........
0000010: 0000 00c2 c2c2 4242 4200 0000 6262 6282 ......BBB...bbb.
0000020: 8282 9292 9221 fe15 4d61 6465 2062 7920 .....!..Made by
0000030: 416a 6178 4c6f 6164 2e69 6e66 6f00 21f9 AjaxLoad.info.!.
0000040: 0400 0a00 0000 21ff 0b4e 4554 5343 4150 ......!..NETSCAP
0000050: 4532 2e30 0301 0000 002c 0000 0000 1000 E2.0.....,......
0000060: 1000 0003 3308 badc fe30 ca49 6b13 6308 ....3....0.Ik.c.
0000070: 3a08 199c 074e 9866 0945 b131 c2ba 1499 :....N.f.E.1....

"Ajaxload. info" é um site que gera dinamicamente ( na hora ), figuras de espera.(como bolinhas girando)

Faltou mais um html para o download.

laptop:/tmp$ wget http://girlesaskguy.at.2288.org
--2011-02-22 00:10:55-- http://girlesaskguy.at.2288.org/
Resolving girlesaskguy.at.2288.org... 61.160.235.210
Connecting to girlesaskguy.at.2288.org|61.160.235.210|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: `index.html'

[ <=> ] 470 --.-K/s in 0s

2011-02-22 00:10:57 (24.7 MB/s) - `index.html' saved [470]

Agora mais uma belezinha ( que dessa vez eu não segui ... )

F R A M E S E T R O W S="100%,*" BORDER="0" FRAMEBORDER="0" FRAMESPACING="0" FRAMECOLOR="#000000"
F R A M E S R C=" ht tp:// ard. xxxblackbook. com/ trafficoptimizer /index.php?toid=18907&r=lc220138" NAME="redir_frame"
/ FRAMESET

Eu não gosto de Border, frameborder ou qualquer outro parametro do FRAME ou do IFRAME zerado.
(Se voce é programador web e usa isso, tenho certeza que voce esta fazendo algo errado, ou pior ainda, não sabe o que esta fazendo )

Para acabar

Acho que ja tenho informações suficientes para tomar minha decisão.
Decline e "Blocked and reported for spam"

Voce tambem se importa ?
Abraços

Extensão de Arquivos

2011-02-16T07:17:00.001-02:00

Mais um pouco de investigação para voces ...

Principalmente quem já trabalhou no "mundo Unix" deve concordar comigo.
Se voce trabalha com Windows ... Não confie nas extensões de arquivos.

Relembrando o DOS, um nome de arquivo era formado por 8 caracteres, mais 3 de extensão. Seria como dizer Nome e sobrenome de arquivo. Os tamanhos 8+3 eram limitações do sistema de arquivos, que mudou ( acredito depois do Windows 95 ) permitindo romper a barreira dos 8 caracteres e com as possibilidades de caracteres especiais, como espaço, til, cedilha, etc.

No Unix/Linux, os arquivos não necessitam ter extenção, principalmente para serem executados. isso leva a uma atenção maior do usuário, referente ao que ele irá fazer.

No Windows, as extensões são associadas a programas ou a situações / funções especificas.
O Windows, pode executar programas, desde que eles tenham "uma extensão de executavel", dentre elas .EXE, .COM e .SCR. Porem se voce trocar a extenção de um arquivo ele poderá não fazer mais o esperado, ou não ser reconhecido pelo programa o qual deveria trata-lo.
Vamos supor 2 arquivos, um chamado : figura.jpg e outro programa.exe
Clicando em cada um deles é esperado que o figura.jpg carrege um editor ou visualizador de imagens ( associado a extensão .JPG ) e no outro execute o programa.exe . Tudo muito simples.

E se trocarmos as extensões desses arquivos ? Teriamos : figura.exe e programa.jpg

Clicando em figura.exe, o Windows iria iniciar os procedimentos para executar esse arquivo, que sendo uma figura, ( sem codigo executavel dentro ) resultará em um erro.
No outro caso, clicando em programa.jpg, o processo é similar. Seu visualizador ou editor de imagens será carregado e tentará abrir a figura. Por se tratar de um arquivo executavel, o programa não o reconhecerá e resultatá em um erro.

( outras coisas podem ocorrer, como o travamento do programa ou sistema, nas duas situações )

Agora, se um arquivo não tem extensão, como saber qual programa deveria trata-lo ?
A resposta: cabeçalhos de arquivos. Cabeçalhos geralmente são os primeiros bytes de um arquivo.

Um arquivo executavel, .EXE deve começar com os caracteres MZ, ZM ou MZP.
O exemplo abaixo demonstra os primeiros bytes de um arquivo Executavel.

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000000 4D 5A 50 00 02 00 00 00 04 00 0F 00 FF FF 00 00 MZP.........ÿÿ..
00000010 B8 00 00 00 00 00 00 00 40 00 1A 00 00 00 00 00 ¸.......@.......
00000020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000030 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 ................
00000040 BA 10 00 0E 1F B4 09 CD 21 B8 01 4C CD 21 90 90 º....´.Í!¸.LÍ!
00000050 54 68 69 73 20 70 72 6F 67 72 61 6D 20 6D 75 73 This program mus
00000060 74 20 62 65 20 72 75 6E 20 75 6E 64 65 72 20 57 t be run under W
00000070 69 6E 33 32 0D 0A 24 37 00 00 00 00 00 00 00 00 in32..$7........

Uma figura JPG deve conter os caracteres JFIF.
O exemplo abaixo demonstra os primeiros bytes de um arquivo JPG (figura).

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000000 FF D8 FF E0 00 10 4A 46 49 46 00 01 01 01 00 60 ÿØÿà..JFIF.....`
00000010 00 60 00 00 FF E1 00 16 45 78 69 66 00 00 49 49 .`..ÿá..Exif..II

Agora finalmente vamos o POST. :-)

Estava trabalhando com um determinado programa, que gravava seus arquivos com uma extensão proprietária, onde visualmente supus um formato proprietário tambem.
Cansado de algumas limitações com relação a interface desse produto, eu queria mais. Queria utiliza-lo somente para visualizar meu trabalho, sem gerar meus arquivos por ele.
Comecei a analise e me deparei com o abaixo .....

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000000 50 4B 03 04 0A 00 00 00 00 00 F4 55 C1 3A 00 00 PK........ôUÁ:..
00000010 00 00 00 00 00 00 00 00 00 00 16 00 00 00 56 49 ..............VI

PK é um inicio tipico de arquivos compactados do tipo ZIP (PKZIP).

Tentei descompacta-lo e pronto, consegui mais dois arquivos, agora ambos com extenção XML.
Entendido o formato, gerei meus proprios arquivos. Compactei-os novamente, coloquei a extensão esperada pelo programa principal, e pronto. Tudo funcionou como eu gostaria.

Assim um investigador, não deve se prender a aparencias ( extensões ), mas sim saber extamente com o que ele esta trabalhando.
Na maioria dos casos eu trabalho com LINUX e com o Windows juntos.
No Linux eu consigo desconcapctar um arquivo, sem necessitar renomea-lo ( mudar a extensão). O Linux tambem prove nativamente uma ferramenta chamada FILE que identifica a grande maioria dos tipos de arquivos, muito util nesse tipo de situação.

Update ( 16/02/2011 - 13:13 )
Um amigo (Sp0oker) me lembrou e enviou o link onde voces podem aprender mais sobre Magic_Numbers - http://en.wikipedia.org/wiki/Magic_number_%28programming%29 - quem ler vai entender .

Espero que seja Util.
Segurança, quem se importa ?

Abraços

Password recover

2011-02-06T20:43:00.000-02:00

Password recover

Acesso regularmente um site russo que não vem ao caso agora!
Uso o mesmo para diversão e trabalho (coleta de malwares)

O problema:
Formatei minha maquina e perdi minha senha. O sistema de Password recovery não funciona.

Cadastro simples de usuario, email e senha, porem após uma nova instalação do meu Windows, eu perdi o acesso ao site.
Tentei de diversas formas, as opções de recuperação de senha que nunca funcionaram.
Tentei gastar toda a minha fluencia em russo ( nenhuma ) e todos os recursos do Google Translator.

Opção:
A opção simples, utilizar um outro endereço de email para o cadastro, porem era uma oportunidade de apresnder. Decidi na usar essa.

Lembrei que eu havia guardado meu HD antigo, pensei, devo ter guardado os Cookies.
Após uma busca, achei o diretorio do Firefox, porem nada de arquivos TXT de cookies, agora os cookies ( e outras informações tambem) são guardados em arquivos SQLITE.

Após localizar o arquivo dos Cookies, e efetuar uma copia do mesmo, arrumei um cliente para o SQLITE.

Consegui localizar os cookies referentes ao Site e copiei somente essas informações para um arquivo Texto.

Após entrar no site em questão, digitei diretamente no navegador o comando :
javascript:alert(document.cookie);
Para ver os cookeis do site (ativos). NADA.

Resolvi então setar alguns Cookies baseado nas informações colhidas anteriormente usando o comando:
javascript:document.cookie='nome_do_cookie=valor';
Apos setar todos os Cookies, recarreguei a pagina e Bingo, Eu estava autenticado no site.
Mesmo assim eu continuava sem saber minha senha, e não conseguia altera-la.

Sem muita alternativa, toda vez que eu necessitava acessar o tal site, eu copiava e colava os cookies.
Uns 2 meses depois, prestando mais atenção nos campos dos cookies, notei uma string de 32 caracteres, pensei pode ser o hash md5 da minha senha, mas como descobri-la ?
Fiz uma busca no Google e "Voila" achei minha senha.
Em um site desses de "free password cracking " consegui localizar minha senha !!! ( senha fraca ? não vem ao caso agora !! )

Até hoje não consegui utilizar os recursos de recuperação de senha que o site deveria oferecer, mas consegui alcaçar o objetivo. ( recuperei minha senha )

Nesse caso foram utilizados conhecimentos de :
- SQL
- FileSystem
- Hashs
- HTML / JavaScript
- Como o navegador guarda suas informações, e como !!

Mostrando que Forense não é simplesmente uso de ferramenta.

Abraços

O Gafanhoto no MMA 1 - Grasshopper and MMA

2011-02-06T19:52:00.001-02:00

Prentendo publicar alguns posts um pouco mais tecnicos (não muito). Todos os novos posts vão falar de analise forense. (de uma maneira ou outra )
Quero deixar bem claro que os metodos que aprendi e uso atualmente, aprendi sozinho, muitos deles, na época do MSX. (Se voce não sabe o que é isso eu posso te ajudar, mas o google é seu amigo tambem.)

Gostaria de deixar bem claro que :
1) Eu não sou PILOTO DE FERRAMENTA.
2) Eu aprendi,o que sei, na raça e respseito os mesmos que aprenderam da mesma maneira.
3) Eu tambem uso ferramentas, algumas que eu mesmo desenvolvi e quaisquer outras que ajudem meu trabalho,... MAS eu gosto de enteder como a ferramenta chegou a conclusão que chegou e não simplemente aceitar qualquer resultado como verdade absoluta.
4) Se voce fez um curso de uma ferramenta e se diz Expert em forense, tem muito a aprender, principalmente, como a sua ferramenta funciona.

Acho a analise forense o MMA da Segurança da Computação, onde a pessoa deve usar de todos os seus conhecimentos para chegar a uma conclusão. A Vitória!

Dedico esses posts a todos aquele se sentem os Gafanhotos da Computação, em qualquer modalidade, e assim como eu, entendem o significado desse termo.(E mantem a humildade )

Segurança ? Sim, importa ! ( pelo menos para mim )
--Sorry for all my english friends, I'm a natural Brazilian Speaker and will continue writing in Portuguese ( brazilian ), if you would like post in english, send me an email.

If you cares about security, and would like see posts in english, Just ask me.
I'll do my best.

regards,

Deixa eu Sair da Festa !!!

2011-01-18T20:04:00.006-02:00

Existem alguns termos que eu aprendi somente depois de começar a estudar para a Prova do CISSP, e o livro CISSP All-in-One me ajudou muito nisso.

Dois termos que eu quero comentar vinvulados a segurança Fisica. Fail-Safe e Fail-Secure.

A configuração Fail-Safe siginifica que se houver falha de energia que afete as travas das portas automaticas, as portas ficarão destravadas. Essa é a configuração utilizada nas empresas e predios que se preocupam com segurança durante incendios ou exercicios de abandono de edificio.

Na configuração Fail-Secure, no caso de falta de energia, as portas automaticas ficarão trancadas.

Facil de entender. Agora aos exemplos.

1) Há alguns anos, DURANTE um incendio, em um Supermercado na Russia, o proprietario mandou os seguranças fecharem as portas, pois as pessoas estavam saindo sem pagar. As portas foram fechadas e as pessoas morreram dentro do supermercado ( e tambem não pagaram as compras ). Esse exemplo não está vinculado a tecnologia, mas demonstra bem esses conceitos.

2) Vi um exercicio de abandono de edificio, onde as catracas, estavam operando normalmente, forçando os funcionarios a passar seus crachas para sairem do prédio.
Resultado, todo mundo amontoado nas escadas tentando descer e um monte de gente se espremendo nas catracas. Um trabalho de amadores.

3) Materia do terra de 18/01/2011 - 18:08 - Campus Party Brasil fica no escuro e sem internet - (http://tecnologia.terra.com.br/campus-party/noticias/0,,OI4897155-EI17279,00-Campus+Party+Brasil+fica+no+escuro+e+sem+internet.html)
Notem o texto ... "... As pessoas não conseguem entrar ou sair dos espaços porque as catracas eletrônicas não funcionam."
Se fosse incendio, todo mundo Morto.
Não tenho outras palavras a não ser dizer, faltou o PROFISSIONAL de Segurança.

(inicio update de 21/01/2011 )
Um dos leitores do Blog postou nos comentarios o seguinte texto:

Fernando, não há catracas eletrônicas aqui na Campus Party. O negócio é meio cara-crachá mesmo. Quando saímos, precisamos passar pelos seguranças que possuem um leitor de código de barras. No caso da falta de energia, os campuseiros que não puderam sair foram somente os que estavam portando pcs/notebooks,para evitar possíveis furtos, já que o leitor não estava funcionando. Com certeza, se ocorresse um incêndio nada disso teria acontecido.

~~Acho que o Pais ja teve muitos Obitos nesse começo de ano, mas pode ser que o evento queira bater outros recordes tambem.~~

Após as informações prestadas..
1) a Materia do Terra não deixava claro a situação informada.
2) Se fosse incendio, qual seria o comportamento desses seguranças ? Os mesmos foram treinados ?

( ainda acho que faltou o profissional de Segurança )

A lição é a mesma
(fim update de 21/01/2011 )

A

Comentarios finais:
1) Vale a pena ler o livro CISSP All-in-One, independente de voce pretender fazer a prova para a certificação.
2) Independete da tecnologia. A Vida é mais importante.

Agora ... Voce sabe onde fica a saida mais proxima ?
Segurança ! Quem se importa com isso ??

Packers - e a culpa é de quem ?

2011-01-13T13:38:00.000-02:00

Em uma conversa com um aluno, veio o assunto sobre compactadores de executaveis, os conhecidos Packers.
Esses programas surgiram em uma epoca onde memória era cara, ( HD, RAM, etc ) e serviam para diminuir o tamanho de um programa executavel, mantendo ele executavel, siginifica sem a necessidade de um outro programa para descompacta-lo.
Hoje em dia temos basicamente tres tipos de compactadores: compactadores de executaveis simples, os geradores de instalação e os "programas de proteção" ( será que esqueci de algum ?).
Os que eu estou chamando de simples, sao os programas que simplemente compactam e mantem o arquivo executavel.
Geradores de instalação são utilizados quando voce desenvolve uma aplicação que tem outros arquivos o blibliotecas que necessitam ser instaladas junto dentro da maquina destino.
Por final os "programas de proteção", voce desenvolve um programa, deseja vende-lo, mas tem medo da pirataria, o que voce faz ? usa um programa desse tipo . Esse programas, podem compactar, encriptar, colocar rotinas anti-debug, etc .

O problema :
Pessoas mal intensionadas estão utilizando TODOS esses softwares compactadores, para esconder as caracteristicas maliciosas de outros programas. Dificultando a analise e gerando dezenas de copias aparentemente diferentes ( se comparado o hash criptografico ), mas iguais em funcionalidades.

O debate :
O debate iniciou, com a pergunta se não seria mais facil ( ou melhor ) para um antivirus, bloquear 100% dos arquivos compactados.

Acredito que existem problemas em todos os lugares, mas os programas compactadores não podem ser discriminados ou punidos por isso.
Os mesmos podem ser utilizados honestamente, de forma legitima.
Por exemplo, o programa "winscp342.exe" esta compactado com o UPX, esse programa é Legitimo, e de meu uso diário, sendo utilizado para fazer transferencias de arquivos de forma segura, utilizando o protocolo SSH, entre servidores.

Agora, de quem é a culpa ?
A culpa é de quem faz as armas, ou de quem as usa ?
Ou de como essas armas são usadas ( proposito ).

A situação é a mesma. A culpa não é dos compactadores, nem das empresas de antivirus.

A culpa é do usuário, a culpa esta nas pessoas.

A curiosidade e a ganancia, fazem as pessoas clicarem nas coisas mais absurdas que existem. Talvez 90% das coisas, os outros 10% caem nos outros golpes de engenharia social, envolvendo sentimentos, ou dividas. ( não tenho as estatisiticas corretas ).

Agora de quem é a culpa.
Sou colecionar de malware, tenho milhares deles em minha maquina e nos ultimos 10 anos, dei apenas 2 cliques errados. Nenhum deles me gerou danos financeiros, mas mais uma vez me levaram a aprender uma lição. Cuidado ao Clicar nas Coisas.

Agora quem se importa com o Packer, se as pessoas vão clicar em tudo ?
Segurança Importa ?

Anti-virus para Video-Game

2011-01-12T19:59:00.000-02:00

Quem nunca tentou fazer o download (Baixar) de alguma coisa ( música, programa, jogo ou filme) e receber alguma coisa totalmente diferente ?
Isso é uma constante principalmente para quem usa redes p2p, como torrent ou Emule. Na melhor das situações arquivos corrompidos, na pior, Virus, cavalos de troia ( malwares ), pedofilia e tudo mais de ilegal e imoral que você talvez nem consiga imaginar.
Nesse ano de 2010 na Defcon, foram demonstradas possibilidades de código malicioso para aparelhos de video-games e câmeras digitais.
Isso expande as possibilidades também para televisões, rádios, aparelhos de dvd ( tocadores de mídia ) e tudo o mais que tenha uma porta USB e possa "tocar" ou interpretar algum tipo de arquivo.

Já pensou, ter seu video-game contaminado por algum tipo de Malware ? Como já expliquei acima, isso não é impossível e a chance aumenta a cada dia que passa.

A maioria dos Videogames modernos, possuem possibilidades de updates e alguns jogos somente funcionam se a versão mais nova desses updates estiver instalada.

Imagine a seguinte situação: Você compra ou “baixa” um jogo pirata, e coloca no seu vídeo-game, como você já esta acostumado, você espera a atualização acabar e pronto, você jogas seu jogo perfeitamente.
O que você não sabe é que agora seu videogame não é mais totalmente seu. Mais gente pode acessar seu vídeo game e controlá-lo a distância ( talvez outro pais ), a intenção pode ser das mais variadas, tanto pegar os dados de seu cartão de credito, como utilizar seu equipamento para outros tipos de fraudes e atividades maliciosas. Já que seu vídeo game tem um HardDrive interno, esse harddrive pode até mesmo armazenar ( sem o seu conhecimento ) material ilegal.
Existem várias outras possibilidades, dentre elas, travar o vídeo game, impedindo que você continue jogando.
Será que a fabricante do videogame mantém a garantia no caso de uso de programas piratas ?

Quando você compra um jogo original, a empresa fornecedora/desenvolvedora, tem responsabilidades com seus clientes. Qual a responsabilidade do seu fornecedor de pirataria ?

Como tudo no mundo da segurança, não existe 100%, existem casos de celulares e pendrives que saíram de fabrica já infectados por malware. Nesse caso o fabricante se responsabilizou.

Agora, como evitar ser contaminado por algum código malicioso nas situações apresentadas acima ?
A resposta é simples e está também no texto acima, evitar o uso de PIRATARIA e manter seus produtos atualizados com as ultimas versões de software.

Você tem seu Telefone celular ou vídeo games atualizados com as ultimas versões de software?

Se você não conhece a procedência de uma coisa, como confiar nessa coisa ?
Os valores dos originais baixaram, preço não é mais desculpa.

Agora, se você não se importa com a procedência das músicas, programas, jogos ou filmes que você baixa, vai se importar com segurança ? Eu acho que deveria. !

A visita de Natal

2011-01-04T10:47:00.001-02:00

Conversando com o pessoal da Fortivs (www.fortivs.com.br) sobre assuntos similares, surgiu-me a ideia de escrever algo sobre segurança fisica.

Nesse final de ano, assim como a maioria de vocês, tive o prazer de visitar e de ser visitado por alguns amigos. E mais uma vez, a segurança falha em coisas “simples” mas muito importantes do nosso dia a dia.

Vou comentar sobre situações de porteiros e seguranças.

Em uma das visitas, o visitante estava comigo ao telefone, e simplesmente disse ao porteiro, já falei com ele. E o porteiro deixou meu amigo subir sem antes me consultar.
Em outra ocasião o porteiro enviou meu visitante para o andar errado e outro para uma festa.
Em visita a casa de um amigo, simplesmente disse que esta indo na casa do Sr X, e o porteiro confirmou o número da casa e abriu o portão, sem nenhum outro tipo de verificação.
Em todos os casos os supostos aparatos de segurança, como portões e interfone estavam funcionando, porem não foram utilizados corretamente.]

Sim, estamos falando se segurança, de segurança física, algo que eu passei a me interessar mais, depois de dentro da área de segurança da informação.
Infelizmente os profissionais de segurança física hoje ( vulgarmente conhecidos como seguranças ou como porteiros ) são mal treinados, assim como as empresas são mal preparadas e muito suscetíveis a ataques de engenharia social.

Conheço uma empresa de São Paulo, que utiliza técnicas Israelenses para controle de condomínios (portarias), minimizando ao máximo os riscos.

É claro, segurança é um moeda de troca. Mais segurança, mais controles, menos liberdade.

A arrogância é um fator de fracasso. Pense bem antes de perguntar para alguém : “Você sabe com que esta falando ? “. Se a outra pessoa responder, “Não, por isso mesmo estou perguntando.” Sua equipe de segurança física acabou de provar alguma competência. Se a pessoa, se desculpar e deixar você passar, a pessoa provou incompetência e mostrou como é fácil entrar em seu condomínio ou empresa, usando a mesma técnica de arrogância que você usou.

É tão errado confiar em todo mundo quanto não confiar em ninguém, somente com treinamento conseguimos equilibrar essa balança.

Seu porteiro deixou o Papai Noel entrar ?

TODOS as profissões ou profissionais estão sugeitos a engenharia social.

Tenho certeza que muita gente tem historias para contar, conte a sua, de sucesso ou fracasso.

Segurança Importa ?

Tem coisas que um click não compra.

2010-12-18T09:22:00.001-02:00

Recebi hoje um email sobre uma super promoção de uma administradora de cartões e seus parceiros.

A imagem bem tratada, seguindo essa linha de promoções, porem como eu acredito em pouco coisa, resolvi dar uma investigada. Coloquei o ponteiro do mouse sobre a barra "clique aqui" e algo suspeito já apareceu ... o link apontava para "cadaastros-mastercarrd2011.rg3.net" , contendo letras As e Rs duplicadas. Acredito que a referida empresa tenha profissionais alfabetizados (me da uma tristeza pensar nos governantes do meu pais) e que não necessite utilizar um dominio "RG3.net" para hospedar suas campanhas. Ao clicar, o basico :
Um formulario de cadastro solicitando, TODOS os dados do meu cartão. ( quem não preenche não ganha !! ) -FAVOR NÃO PREENCHER- .

Após o preenchimento (ou não) voce recebe uma linda tela de agradecimento e um número de protocolo, que é igual para todo mundo ( infelizmente sem chance de ganhar, somente de perder ).

Minha Dica é CUIDADO.
Não acredite em tudo que voce ve, em tudo que vc recebe, e não clique em tudo que voce gostaria.
Mas se quiser clicar ... assuma seus erros e suas escolhas !!

Mais alguns comentários:
Mais um indicio que a mensagem é fraudulenta:
O cabeçalho da mensagem mostra que o email saiu de um servidor da Holanda (ns3.mijnwebserver.nl) . Mais uma vez a pergunta. Porque uma empresa estaria fazendo uma campanha nacional utilizando servidores de email fora do pais ?
(legal isso responder uma pergunta com outra )

Outra Pergunta:
Como é possivel eu receber um email de alguem e esse alguem não ser quem eu esperava ?
O protocolo de email utilizado hoje é o mesmo criado junto com a Internet a uns 40 anos atras, e nesse protocolo não foi previsto Segurança.
Simples assim.

Segurança importa para voce ?

Abraços

Segurança da Urna Eletrônica

2010-12-04T17:16:00.000-02:00

2010, ano de eleição no Brasil.
Recebi muitos emails, sobre fraudes, vulnerabilidades, milagre da multiplicação de votos , etc,etc .
Recebi tambem emails de pessoas querendo saber se a urna era segura ou não .

Serei breve:
1. A urna ja mudou, assim como os programas internos com o passar dos anos, tornando-a mais segura a cada ano.
2. O processo eleitoral brasileiro esta em um nivel bem maduro de segurança.
3. É mais facil fraudar as pessoas que votam que as urnas.
4. A Urna é confiavel.

Porque muitos paises não adotaram a urna ?
Não vou responder para nao criar mais polemica. Pense e se voce nao conseguir fraudar as pessoas ?

No final, eleição é igual a um jogo, onde a maioria das pessoas esta preocupada com o resultado e não com os meios para se chegar a esse resultado.

Garanto que existem alguns poucos que se importam.

Abraços

Curiosidade da prejuizo.

2010-12-02T10:28:00.002-02:00

Quando a curiosidade da prejuizo.

Recebi hoje um email informando que meu nome havia aparecido no Youtube em um dos videos mais acessados do momento.
Para falar a verdade, não era o meu nome, e sim, o seu, ou o de qualquer outra pessoa. (O texto era generico)
Mais uma vez aparentando fonte segura, o usuário, clica pois quer ver de qualquer maneira seu video ...
Pronto. Maquina contaminada, prejuizo financeiro a vista.

Assim, voce ( voce mesmo ) artista famoso ou desconhecido, não acredite em tudo que existe na internet.

Aqui a curiosidade pode não matar, mas pode te dar uma bela dor de cabeça.

Para falar a verdade, eu cliquei !! :-) eu adoro esses arquivos .
Segurança ?

Abraços

Linux AV

2010-10-13T11:01:00.001-03:00

Instalei nesse final de semana um AntiVirus para Linux.

Segui os passos da página do fabricante, e fiz até o download do manual.
Tudo indicado que funcionaria no Ubuntu mais novo.
Apos o download, o primeiro problema. Eu somente conseguiria instalar se tivesse o RPM instalado. (Ubuntu usa APT, REDHAT usa RPM)
Mas tudo bem, vamos em frente, apos alguns instantes ....

---------------------------------------------------------------
Checking environment: compiler not found
Checking environment: patch not found

Your system is not able to compile kernel modules.
Following items are missing: patch, gcc,
Install the missing items, then re-run this script
Installation finished.
---------------------------------------------------------------

Para mim quem tenta fazer muito, faz tudo errado.
1. eles faltaram na aula de segurança, querem que eu instale o compilador na minha maquina.
2. O AV esta verificando se eu tenho Patch e não diz qual patch de qual produto.
3. O produto foi instalado e está funcionando.

Tudo certo, nada resolvido.
Eu queria um AntiVirus, no final ganhei instalado um banco de dados Postgress, um firewall e sei lá mais o que foi instalado.
Eu queria somente um Antivirus. Parte legal. Não tem como remover o firewall ou o Postgress.

Será que tudo isso é realmente necessário ? Não sei.

O problema é que estou falando de um dos melhores antivirus do mercado. Se um dos melhores faz isso, imagina os piores ....

Eu ja havia instaldo o mesmo AV antes, e visto as mesmas coisas.
Dessa vez não vou expor o fabricante, já entrei em contato com o representante nacional e com os desenvolvedores, até agora, nada .

No final, a pergunta é sempre a mesma.. Quem se importa ?

Atualização:
Fui utilizar a maquina e descobri que o AV criou um monte de regras de firewall que eu não pedi. O mais interessante é que se eu limpar as regras, ele coloca elas quase instantaneamente de volta. ( não adianta usar os comandos normais do linux ).
Mas vale a experiencia.
COntinuo dizendo. Como antivirus Otimo. Com relação ao resto... não necessito dizer mais nada.

Hacker vs Cracker

2010-08-30T13:15:00.001-03:00

Li recentemente um artigo em um determinado jornal local definindo Hacker como "Pirata Cybernetico" ou "Pirata Informatico", decidi questionar o jornalista responsável sobre tal termo utilizado e recebi uma resposta me informando que o termo estava adequado ao senso comum e era suficiente para o leitor compreender o contexto.

Pergunto: E quando o senso comum falha? E quando a mídia ENSINA errado?

Adequado ao senso comum ou não, eu me sinto na obrigação ética e moral de informar tanto ao leitor comum como aos jornalistas e outros interessados sobre esses termos.

Primeira coisa, a definição desses termos dá confusão.
Por definição, Hacker é alguem que faz móveis com um machado. (Agora voce deve estar se perguntando ... o que isso tem haver com informatica ? Já chego lá.) Quem faz móveis com um machado é um especialista. Assim, o termo Hacker é utilizado para definir um especilista, hoje dá área de informatica. Teoricamente voce pode ter um cozinheiro hacker, um mecanico hacker, etc. Hoje em dia generalizou-se usar hacker para pessoas vinculadas a área de informática.

Cracker, vem de quebrar. Era o termo utilizado para quem "quebrava códigos" ou "crackeava programas" e não existe nada de mais nisso. Eu mesmo "crackeava jogos" com o intuito de colocar "vidas infinitas". Com isso, aprendi muito sobre arquitetura de computadores, linguagems de programação (Assembly), Segurança de Computadores e Software em geral.

Na área de segurança é comum ouvir o termo "Password Cracker", programa desenvolvido para testar (e descobrir) senhas, que assim como muitas outras coisas, pode ser utilizado para o bem ou para o mal.
Em algum momento da história alguém quis separar quem é bom de quem é ruim.
Colocaram Hacker para quem é bom e Cracker para quem faz atividades maliciosas. Tudo errado.

Vale saber que a palavra cracker, não é muito bem vista na comunidade de segurança, pois nos Estados Unidos é tido como uma palavra vinculada a racismo, igual a dizer "branquelo" no Brasil.

Pirata é um marginal, pessoa ou grupo com o intuito de promover saques e pilhagem para obter riquezas e poder.
Pirata é MAU. E o que pirata tem haver com Hacker? Alguém pode me explicar????

Um Hacker pode ser um pirata, porém um hacker tambem pode ser a pessoa que te ajuda quando você mais necessita para evitar que seus dados sejam roubados por piratas reais.

Assim, antes de rotular ou prejulgar, pense novamente, principalmente as pessoas (jornalistas) que têm em suas mãos o poder de INFORMAR.

Como definir quem é bom e quem é mau? Simples, BOM e MAU. Não tente inventar termos ou rótulos, quanto mais simples melhor.

Quem se importa? O Senso comum esta aí mesmo.

Passa a senha ai MANO ?

2010-08-17T23:22:00.006-03:00

Recentemente a midia noticiou que uma pessoa, personalidade, teve seu perfil do Twiter invadido.
Não entendo nada de futebol, (a não ser que bola na rede é gol) mas conheço muito bem esse tipo de problema .
Recebi a mensagem de um amigo chamado Ricardo, querendo saber como pode acontecer de alguem "ter seu perfil do Twiter invadido".
Para mim, Invadido é um termo pesado, mal utilizado pela media em geral, mas vamos ao que interessa.

Para a fraude que aconteceu, temos algumas alternativas.
1. Brute force, significa tentativa e erro. Varias possiveis senhas, são testadas, até que a senha certa apareça.
1.1 Essa lista de possiveis senhas pode ser conseguida, baseado nas pessoas e em seus gostos, comportamentos, etc.
2. Golpe de engenharia social. A pessoa pode receber um email, pedindo para ser adicionada a sua rede de relacionamentos. Voce clica no link, vai aparecer uma pagina IDENTICA a do serviço original, voce preenche os dados e.... mais alguem ja tem sua senha.
3. Uso da mesma senha em mais de um serviço, e esse outro serviço ser vulneravel, e/ou atacado.
4. Existem possibilidades vinculadas a Malwares ( vulgamente conhecidoso como Virus ou Cavalos de troia ) especificos para captura de senhas.
5. Uso de redes NÃO CONFIÁVEIS e/ou computadores (muito) compartilhados (como LanHouses)
6. Abuso Fisico, alguem teve acesso a sua maquina e instalou um programa de captura de senhas ( tambem possivel se voce deixa a senha gravada no navegador )
7. Pura engenharia social. ... Alguem te pergunta qual é a sua senha e voce responde ...

Vale LEMBRAR, que Quando mais uma pessoa sabe uma senha, isso deixa de ser segredo e as possibilidades de vazamento da mesma crescem baseado na quantidade de pessoas que sabem essa senha.

( acho que esqueci algo mas não me lembro o que ... )

Alguns detalhes sobre o serviço mencionado.
1. A tela de Login, não possui mecanismos de Captcha ( aquelas letras embaralhadas que vc tem que digitar ), facilitando o uso de ferramentas que fazem testes de senha.
2. Ano passado o serviço divulgou uma lista de 370 senhas Banidas, ( senhas que não podem ser utilizadas no momento do cadastro ), porem essa restrição está no codigo HTML da pagina, escrito em JavaScript. ( sem maiores detalhes )

Mesmo com diversas ações de segurança, sempre algo é deixado para tras, em nome dos negocios e da usabilidade.

Não estou culpando e nem protegendo ninguem.

Ricardo, troque sua senha meu amigo.
Se não acreditar nisso ou se não quiser, deixa prá lá.
Quem se importa ?

Abraços

Analise de Risco

2010-07-15T16:41:00.002-03:00

A muitos anos atras ... em um curso sobre segurança da informação e risco (que foi um fracasso) me deparei com o seguinte debate ...

Uma das pessoas que estava fazendo o curso, disse abertamente ( e mostrou ) que tinha um "post-it" anexado a cada cartão de credito na carteira. O post-it tinha a senha do cartão.
As pessoas em volta, ficaram malucas, como podia um profissional em segurança, fazer uma coisa daqueles.
A explicação foi muito simples, a pessoa já havia passado por um sequestro relampago e quase morreu por não lembrar a senha. Assim decidiu escreve-las. No caso de qualquer complicação o proprio assaltante poderia usa-la sem "stress".
A justificativa estava na analise de Risco . Nenhum valor vale o risco de morte. A pessoa em questão tinha ainda a seguinte pratica, possuia uma conta sem limites e com no maximo R$ 500,00 , e era com esse cartão que ele andava todo o dia. Dinheiro mais do que suficiente para comida, combustivel, etc ( necessidades basicas do dia a dia ).

Em um outro caso, durante um seqüestro relampago também, a vitima tinha a foto da filha no celular. A vitima foi ameaçada utilizando esse argumento dado por ela mesma. Historias do tipo sua filha não vai conhecer o pai, etc,etc.

Me diz para que colocar o adesivo da faculdade/ curso que voce faz na lataria do seu carro ? Para que colocar " Juquinha a Bordo" ( meigo não ).

Todos os casos estão relacionados com analise de risco. Os dois aprenderam da maneira dificil . Espero que alguem aprenda de outra maneira.

Pense sempre no lado B das coisas.

Que fique bem claro, existem POUCAS pessoas boas nesse mundo (provavelmente elas já morreram), assim voce nunca sabe como uma informação (aparentemente banal) poderá ser utilizada. espero que essas historias sirvam de exemplo para alguem.

No mais ... Que bonito ter a foto da esposa (namorada, amante) ou dos filhos no celular . . . ( acho que vou colocar a foto do meu cachorrinho )
Segurança ? quem se importa ??