Sunday, March 28, 2010

Verizon lança Framework para Métricas de Incidentes


Este post trata de um assunto muito relevante, que estava no backlog do Blog há um bom tempo, porque eu não tinha tido tempo de analisar o material publicado no começo deste mês pela Verizon Business Security Solutions.

A Verizon foi a responsável pela divulgação (em 2008 e 2009) dos relatórios mais interessantes e completos relacionados à vazamento de informações e resposta a incidentes de casos reais. E agora eles estão divulgando e dividindo com a comunidade o método por trás da criação das métricas divulgadas.

O assunto é geração de métricas em CSIRTs. Sabemos que qualquer organização que queira responder adequadamente à incidentes de segurança precisa ter a capacidade de fazer uma análise retrospectiva e gerar métricas relevantes para adaptar a sua postura de segurança às suas ameaças reais, conforme discutimos no post: Risco, Vulnerabilidade, Ameaça e Impacto [1].

Existem uma série de referências e frameworks de métricas relacionadas à medição da eficiência das ações em Segurança da Informação, fornecidos por organizações como o NIST (vide post: NIST: Performance Measurement Guide for Information Security [2]) ou em livros como Security Metrics - Replacing Fear, Uncertainty and Doubt - referenciado neste outro post: Livros de Seguranca Resposta a Incidentes e Forense Computacional [3].

O foco do Framework publicado pela Verizon são Incidentes de Segurança, e outros esforços similares já existem, especialmente o IODEF. (IODEF - Incident Object Description and Exchange Format - definição de formatos de dados e procedimentos para troca de informação entre diferentes CSIRTs.)

Uma lista interessante contendo outros Repositórios, Frameworks e Linguagens relacionadas (SCAP, CAPEC, CCE, CPE, CVE, CWE, MAEC, OVAL, etc.) pode ser encontrada nesta página do MITRE: http://measurablesecurity.mitre.org/

Dentre todas estas siglas, padrões, frameworks e modelos, fica uma pergunta: por onde começar?

Eu considero esta iniciativa da Verizon muito interessante pela sua praticidade, independência, abrangência e aplicabilidade. É claro que adaptações são necessárias para "tropicalizar" o framework às nossas organizações, mas não deixa de ser um excelente ponto de partida.

Existem quatro seções principais definidas do "VerIS Framework" - cada uma delas possui um conjunto de métricas (alguns poucos exemplos nos sub-itens abaixo) que é alimentada durante a fase de documentação "post-mortem" do tratamento dos incidentes:

1. Demografia
1.1 - Data do incidente
1.2 - Ramo de Atividade
1.3 - Região de Operação
1.4 - Número de Empregados
1.5 - Número de Funcionários Dedicados à Segurança da Informação

2. Classificação do Incidente
2.1 - Agente
...
2.2 - Ação
2.2.1 - Hacking
2.2.1. - Tipo ou Método (ex: Autenticação/Força Bruta, Manipulação de Protocolo)
2.2.1.2 - Caminho ou Vetor de Ataque (ex: Backdoor, Rede Wireless)
...
2.2.3 - Engenharia Social
2.2.3.1 - Alvo da Eng. Soc.
...
2.3 - Ativo
...
2.4 - Atributos
2.4.1 - Confidencialidade
2.4.2 - Posse ou Controle
2.4.3 - Integridade
...

3. Descoberta e Mitigação

3.1 - Linha do Tempo do Incidente
3.2 - Descoberta do Incidente
3.3 - Remediação

4. Classificação do Impacto

4.1 - Categorização do Impacto
4.2 - Estimativa de Impacto
4.3 - Qualificação do Impacto


Para uma visão completa e interessante da seção 2. Classificação do Incidente, veja este MINDMAP INTERATIVO.

Mais informações:

Thursday, March 18, 2010

Forense de Memória: Port do Volatility para Enscript


Para facilitar a análise de memória para usuários das novas versões do Encase (Enterprise, FIM e Forensic) a Guidance incluiu um Enscript chamado "Memory Analyzer", mas este depende de licença do (excelente) produto HBGary Responder instalado na máquina para funcionar.

Para uma análise da memória mais rápida, existia uma alternativa em antigas versões do Encase que não tem sido atualizada, ela utilizava o Framework do Memoryize- mais informações aqui: http://sseguranca.blogspot.com/2008/12/encase-memscript-memoryze-facilitando.html

Para as últimas versões do Encase (6.14, 6.15), tive a felicidade de entrar em contato nesta semana com uma suite de Enscripts desenvolvida por Takahiro Haruyama chamada "Memory Forensic Toolkit".

Estes Enscripts são baseados no famoso Volatility - ou seja, Haruyama aproveitou o código GPL em Python do Volatility e fez um port para o Enscript (primo do C# proprietário da Guidance Software).

A integração com o Encase ficou muito boa, e são suportados os formatos de dumps de memória RAW (WinDD, FTK Imager, Winen, DD, etc..) e também arquivos .vmem do VMWare para versões 32bit do Windows XP e Windows 7.

As funcionalidades, por módulo, são as seguintes:
  • PsList (Lista todos os processos)
  • KMList (Lista todos os módulos de Kernel)
  • ConnList (Lista todas as conexões)
  • VadSearch (Procura por palavras chaves *pré criadas e selecionadas* em " Virtual Address Descriptors" de um processo)
  • DllList (Lista todas as bibliotecas de um processo)
  • OpenFiles (Lista todos os arquivos abertos de um processo)
  • ProcDump (Exporta um processo como um arquivo .exe no disco do examinador)
  • Vtypes/Win32/x86 (Bibliotecas necessárias para o funcionamento dos EnScripts)

Download - para os interessados, a última versão (zip com os .Enscript) está disponível na página (japonesa) do autor: http://cci.cocolog-nifty.com/blog/2010/02/encase-enscri-1.html



Tuesday, March 16, 2010

Techbiz Forense Digital abre 12 vagas técnicas em 4 cidades



Há 2 anos trabalho como Consultor em Forense Computacional na
Techbiz Forense Digital, tem sido uma oportunidade única de crescimento profissional e técnico com a vantagem de atuar em grandes organizações do mercado Privado, de Segurança Pública e Governo .

Tive ontem a ótima notícia ontem que nossa área técnica está crescendo ainda mais, e foram abertas 12 novas vagas assim distribuídas: 4 Consultores em Computação Forense, 4 Analistas de Segurança e 4 Suportes Técnicos - uma posição de cada tipo em cada uma das cidades que possuímos sede (excetuando Floripa): Brasília, São Paulo, Rio de Janeiro e Belo Horizonte.

O desafio é entregar Produtos e Serviços fundamentados pelas mais inovadoras tecnologias de Combate à Incidentes de Segurança, Crimes envolvendo alta tecnologia e Forense Computacional.

Além do laboratório forense e desenvolvimento interno, temos ao nosso lado líderes em tecnologia de Reação a CiberCrimes de vários países (Estados Unidos, França, Israel e Suécia) como NetWitness, AccessData, Guidance Software, ArcSight, Digital Intelligence, Micro-Systemation, WetStone, ICS, Tableau entre outras.

O perfil desejado para cada um dos cargos está descrito abaixo e interessados devem procurar o nosso RH no telefone (31) 3211-1800

I - Consultores em Computação Forense Sênior
A - 2 ou mais das certificações EnCE, GCFA/GIAC, CCE, ACSA e CISSP; e
B - ao menos 4 anos de experiência comprovada em Forense Computacional e/ou Resposta a Incidentes de Segurança **em empresas de grande porte**; e
C - experiência com Encase, FTK, ferramentas de SIEM (correlação de logs) e rede (IDS/IPS/Forense de Rede); e
D - Palestra Técnica e/ou Paper publicado em conferências de renome nacional; e
E - entrevista técnica de 1h necessária com um Consultor Sênior; e
F - entrevista com o RH; e
G - disponibilidade para viagens; e
H - referência de 2 ex-gerentes técnicos para entrevista; e
I- levantamento de antecedentes criminais: "capivara" / certidão negativa justiça
II - Analistas de Segurança da Informação – Para serem formados como consultores em computação forense
A - Uma certificação relacionadas à Segurança da Informação (5 acima ou CCSP, MCSO) outros GIAC SANS Institute); e
B - ao menos 2 anos de experiência comprovada em 1) Forense Computacional e/ou 2) Resposta a Incidentes de Segurança e/ou 3) Segurança da Informação **em empresas de médio ou grande porte**; e
C - disponibilidade para viagens; e
D - entrevista técnica de 30min necessária com um Consultor Sênior; e
E - entrevista com o RH; e
F - referência de 1 ex-gerente técnico para entrevista; e
G- levantamento de antecedentes criminais: "capivara" / certidão negativa justiça


III - Analista de Suporte Técnico - Para serem formados como analistas de suporte em computação forense:
A - curso técnico de montagem de computadores, conhecimento prático com hardwares, suporte, troubleshooting; e
B - experiência de ao menos 1 ano com suporte técnico (SW/HW), montagem de computadores; e
D - disponibilidade para viagens; e
E - entrevista com o RH; e
F- levantamento de antecedentes criminais: "capivara" / certidão negativa justiça

Skypeex - análise de dump de memória - chats do Skype




comentamos em algumas oportunidades aqui no blog a importância e o crescente interesse pelo processo de dump e posterior análise de memória RAM em máquinas investigadas em casos de resposta a incidentes e crimes envolvendo alta tecnologia.

Nesta linha, Nick Furneaux lançou na semana passada uma interessante ferramenta em python para busca de comunicações de Instant Messaging feitas com o Skype em dumps de memória.


Me impressionou a quantidade de mensagens antigas (possivelmente vindas do histórico armazenado de até 30 dias do skype) estavam presentes ainda na RAM de dois computadores analisados em meu laboratório...


Passos Necessários:

1) Instalar o Python na máquina de análise;

1) Na máquina alvo, fazer o dump de memória com uma das muitas ferramentas disponíveis:

C:\> win64dd /m 0 /r /f F:\physmem.bin

2) Executar um comando strings (linux ou windows) no dump criado:

c:\> strings physmem.bin > physmem-strings.txt

3) Rodar a ferramenta skypeex.py, e digitar o caminho do arquivo gerado no passo 2.

Pronto.



Tuesday, March 9, 2010

Cheat Cheets de Segurança - Atalhos para CSIRTs


Eu sou um fã de carteirinha das Cheat Sheets do Lenny Zelster. Elas são um excelente atalho para grupos de Resposta a Incidentes (CSIRT) funcionarem como devem - o mais rapidamente possível.

A última Cheat Sheet que ele publicou juntamente com o Anton Chuvakin, foi sobre "Revisão de Logs para Incidentes de Segurança" (formatos HTML, DOC e PDF) e inclui várias dicas interessantes sobre a fonte, localização e dados em logs de Linux, Windows, equipamentos de Rede, Servidores Web, etc.

Estas tabelas são uma mão na roda para auxiliar um analista de segurança em diversas atividades diárias. Segue a lista de tabelas de referências já publicadas:

Sunday, March 7, 2010

Validação de Hardwares e Softwares para Computação Forense

[ Update: 07/03/2010 ]

Para quem
acha que os relatórios de validações de ferramentas forenses disponíveis estão um pouco antigos, existe uma oportunidade única oferecida pelo pessoal do NIST e do NW3C [National White Collar Crime Center (NW3C) ] - eles disponibilizaram este formulário para que a comunidade escolha quais produtos merecem ser revisados pela equipes destes órgãos.

Mais detalhes:



[ Post Original: 04/02/2010 ]

Dentre os princípios que norteiam a Computação Forense, a VALIDAÇÃO DAS FERRAMENTAS e técnicas utilizadas ocupa sempre um espaço de destaque.


Com o objetivo de facilitar este trabalho seguem algumas referências de validações técnicas (testes de hardwares e softwares) relacionados à Computação Forense publicadas por 3 diferentes entidades:

1) NIST - National Institute of Standards and Technology
2) US Department of Justice
3) Marshall University

Certamente os resultados presentes nos links abaixo podem ser úteis para o avaliar e comparar a qualidade e funcionalidade de diversos produtos, além de apresentar uma interessante visão das das metodologias utilizadas durante os testes.

Observação: Foram omitidos da relação que publicamos os testes realizados há mais de 3 anos - mas a totalidade dos testes pode ser verificada nos links fornecidos abaixo.

I) http://www.cftt.nist.gov/
II) http://www.nist.gov/itl/ssd/computer-forensics.cfm (projeto reiniciado em 2010)
III) http://nij.ncjrs.gov/publications/Pub_Search.asp?category=99&searchtype=basic&location=top&PSID=55


Geração de Imagens de Discos:
Preparação de Discos (WIPE/Sanitização)



Bloqueadores de Escrita via Software:
ACES Software Write Block Tool Test Report: Writeblocker Windows 2000 V5.02.00 (January 2008)
ACES Software Write Block Tool Test Report: Writeblocker Windows XP V6.10.0 (January 2008)

via Hardware:

T4 Forensic SCSI Bridge (FireWire Interface) (September 2009)
T4 Forensic SCSI Bridge (USB Interface) (September 2009)
Tableau T8 Forensic USB Bridge (FireWire Interface) (August 2008)
Tableau T8 Foresnic USB Bridge (USB Interface) (August 2008)
FastBloc FE (USB Interface) (June 2007)
FastBloc FE (FireWire Interface) (June 2007)
Tableau T5 Forensic IDE Bridge (USB Interface) (June 2007)
Tableau T5 Forensic IDE Bridge (FireWire Interface) (June 2007)
Tableau Forensic SATA Bridge T3u (USB Interface) (January 2007)
Tableau Forensic SATA Bridge T3u (FireWire Interface) (January 2007)
Tableau Forensic IDE Pocket Bridge T14 (FireWire Interface) (January 2007)


Dispositivos Móveis:



IV) http://forensics.marshall.edu/Digital/Digital-Pubs.html

Hardware Validations:

Validation Testing of Guidance Software’s FastBloc 2 Field Edition (FE)
Validation Testing of Guidance Software’s FastBloc Field Edition (FE)
Validation Testing of FastBloc Laboratory Edition (LE)
Validation Testing of Guidance Software’s FastBloc Software Edition (SE)
Verification of the Functionality of the X-Late HardCopy ATA Hard Drive Data Capture Unit
Sending multiple dd Image Captures to a Single Hard Disk Using Logicube Forensic MD5 Capturing System
Validation Testing of Paraben’s Lockdown
Validation Testing of the Logicube Serial-ATA (SATA) cloning adapter
Functionality Test of the Logicube® Forensic Talon Capturing System
Functionality Test of the UltraBlock™ Forensic Card Reader
Functionality Test of Tableau® UltraBlock™ Forensic USB Bridge Device
Functionality Test of the Logicube® Desktop Write-PROtect Adapter

Software Validations:

Independent Validation and Verification (IV&V) of EnCase Forensic Edition Law Enforcement and Government Edition Version 5 (update v.5.05d)
Independent Validation and Verification (IV&V) of AccessData’s Forensic Toolkit (FTK) Imager v.2.5.1

Criptografia: Ataques RSA 768 e 1024 bits & FRED-SC




[ Update - 07/03/2010 ]


Pesquisadores da Universidade de Michigan divulgaram um ataque bem sucedido (*) a criptografia RSA 1024 bits - para mais detalhes, veja o paper publicado (PDF).
"The RSA algorithm gives security under the assumption that as long as the private key is private, you can't break in unless you guess it. We've shown that that's not true," said Valeria Bertacco, an associate
professor in the Department of Electrical Engineering and Computer Science, in a statement.

Since 1977, RSA public-key encryption has protected privacy and verified authenticity when using computers, gadgets and web browsers around the globe, with only the most brutish of brute force efforts (and 1,500 years of processing time) felling its 768-bit variety earlier this year. Now, three eggheads (or Wolverines, as it were) at the University of Michigan claim they can break it simply by tweaking a device's power supply. By fluctuating the voltage to the CPU such that it generated a single hardware error per clock cycle, they found that they could cause the server to flip single bits of the private key at a time, allowing them to slowly piece together the password. With a small cluster of 81 Pentium 4 chips and 104 hours of processing time, they were able to successfully hack 1024-bit encryption in OpenSSL on a SPARC-based system, without damaging the computer, leaving a single trace or ending human life as we know it. That's why they're presenting a paper at the Design, Automation and Test conference this week in Europe, and that's why -- until RSA hopefully fixes the flaw -- you should keep a close eye on your server room's power supply.

Outros detalhes: http://rdist.root.org/2010/03/08/attacking-rsa-exponentiation-with-fault-injection/

(*) For whatever reason, the OpenSSL programmers decided to retry with fixed-window exponentiation and trust that since there were no published fault attacks for it, they didn’t have to validate its result (...) This was a nice attack but nothing earth-shattering. The only thing I was floored by (yet again), was the willingness of crypto implementers to perform unsafe operations in the face of an almost certain attack. Shame on OpenSSL.
A RSA demorou, mas respondeu de forma quase realista =) :

(...) Bottom line, FBARA does not report an attack against the RSA algorithm. It describes a hardware-based attack. This essentially induces computational faults by manipulating the power supply on the target device. The resulting faulty output means that it is possible to extract a private RSA key.
The real-world applications of this are limited since it requires physical access to a device operating OpenSSL (or at least to its power supply). Since OpenSSL typically executes on a server (and not something like a smartcard or a light device or consumer device), the attacker would probably have to overcome significant physical obstacles to get to the target. (...)

Para informações em português, leia: http://www.crkportugal.net/?p=892

[ Post Original - 08/01/2010 ]

1) Fatoracao RSA 768 bits

A vasta maioria da criptografia utilizada hoje depende de números enormes (algo maior de 200 dígitos) que sejam resultado do produto de outros dois números primos. É possível criptografar e descriptografar dados a partir do conhecimento dos números. E - se você não os sabe e precisará fazer um ataque de força bruta, é bom que você tenha tempo livre, muitos computadores a disposição e muita paciência e conheça muita gente como você (espere... esta parece ser a perfeita descrição da condição de pesquisadores acadêmicos! =).

Pois então, em um paper (pdf) divulgado a apenas algumas horas atrás, um grupo de pesquisadores anunciou a fatoração de um módulo 768 bit RSA em 12 de dezembro de 2009 e aproveitaram para recomendar que se deixe de usar criptografia RSA 1024 bits dentro dos próximos 3 anos. O paper é leve e tem até link para o Youtube usando o filme Bastardos Inglórios do Tarantino para a hora do "Bingo".

Bem, na verdade é leve até um momento, quando você possivelmente vai dar alguns page-downs por não querer sobrecarregar seus neurônios tentanto compreender as descrições teóricas das fórmulas matemáticas utilizadas durante o processo =)

Mas, o que isto significa, afinal? Bem, não é fácil para um humano imaginar um número de 232 dígitos. Para ajudar, segue o número:

12301866845301177551304949583849627207728535695953347921973224521517264
00507263657518745202199786469389956474942774063845925192557326303453731
54826850791702612214291346167042921431160222124047927473779408066535141
9597459856902143413

e os fatores (multiplicadores primos) encontrados:

33478071698956898786044169848212690817704794983713768568912431388982883793878002287614711652531743087737814467999489 
X 
36746043666799590428244633799627952632279158164343087642676032283815739666511279233373417143396810270092798736308917
Este número de 232 dígitos não foi escolhido a esmo, ele estava em uma lista de desafios da RSA já desativada.

O que acontence é que a com o tempo a dificuldade de quebra é reduzida com o aumento exponencial de velocidade dos processadores. (Moore´s Law). E pode ser ainda mais rápida com as novidades da utilização dos processadores gráficos (GPU), ou computação CUDA e/ou outros multiplos aceleradores gráficos integrados (ou 200 video-grames PS3, como no caso da colisão de hashes MD5 usados em certificados SSL que comentamos aqui há exatamente um ano atrás).

Para informações old-school - vá direto ao MIT do ano de 1978, quando Rivest, Shamir e Adleman - futuros RSA- publicaram o célebre documento "A Method For Obtaining Digital Signatures And Public Key Cryptosystems" (pdf).


2) FRED-SC

Aproveitando o assunto criptografia, e sendo muito comum em análises forenses nos depararmos com documentos criptografados, vale a notícia de um fabricante de hardware especializado para forense computacional que anunciou há poucos dias que está comercializando servidores com múltipas GPUs gráficas prontos para o trabalho de quebra especializada de senhas.

Trata-se da Digital Intelligence, que já fornece o sistema Fred-SC, que vem com quatro placas de vídeo NVIDIA GTX-295 customizadas para funcionar em paralelo (cada placa tem dois GPUs em um total de 1920 processadores!)

Isto possibilita uma velocidade de processamento MONSTRUOSO obviamente para aplicações especialmente construídas para este fim. Por exemplo, este sistema já vem embarcado com a ferramenta da empresa russa Elcomsoft chamado "Distributed Password Recovery (EDPR)" - e a licença permite que este sistema pode ser utilizado em até 20 servidores FRED-SC em paralelo.

Além de possibilitar uma maior eficiência em ataques de força bruta e dicionário, este poder computacional todo conseguir calcular rainbow tables para gerar hashes pré-calculados de forma rapidíssima.

Para deixar bem claro o tamanho da evolução (e também para entender porque dizem que o processamento com múltiplos GPUs explodiu com a lei de Moore), dê uma olhada nos gráficos comparativos de quebra de senha de arquivos do Office 2007, Vista e Win7 (NTLM) e Unix (MD5) em um sistema versus o "Fred-SC" da Digital Intelligence.

Exemplos:

Senhas do Vista (NTLM): CPU Quad-Core stand-alone: 177 mil senhas por segundo.
Senhas do Vista (NTLM): FRED-SC stand-alone: 3.9 bilhões de senhas por segundo.

Senhas do Linux (MD5): CPU Quad-Core stand-alone: 219 mil senhas por segundo.
Senhas do Linux (MD5): FRED-SC stand-alone: 5.3 bilhões de senhas por segundo.

Seguem os tipos de aplicações que são os "alvos-ideais" para trabalhos de quebra de senha com o FRED-SC + EDPR (todos otimizados / acelerados para GPU):

- Microsoft Word/Excel/PowerPoint/Project 2007 (.DOCX, .XLSX, .PPTX, .MSPX)

- PGP disks with conventional encryption (.PGD), whole disk encryption.

- Windows NT/2000/XP/2003/Vista logon passwords (LM/NTLM)

- Windows DCC (Domain Cached Credentials) passwords (password recovery).

- MD5 hashes (plaintext recovery).

- WPA and WPA2 passwords (password recovery).

[ Update - 31/12/2010 ]

Na BlackHat 2010 será apresentado um server capaz de processar "280 DES decryptions per second! permitting the full 56-bit key space to be searched in 3 days" Mais informações aqui.

Thursday, March 4, 2010

Tendência: sites invadidos por hackers (Vivo/Oi/IG/Veja) utilizados como veiculo em Fraude de Phishing



[ Update - 04/03/2010 ]

A repetição é tão frequente que infelizmente podemos chamar isto de tendência: mais uma vez um domínio brasileiro (abril.com.br) foi afetado (Revistas Veja, Super, etc) e outra vez houve a utilização de Drive By Download (neste caso usando o Flash Player como vetor) para ataques em massa à visitantes. Como pode ser visto nos updates sobre o assunto abaixo, vários grandes portais no Brasil já foram afetados.

O incidente mais recente (Grupo Abril) foi reportado via twitter por @jbonagura, @spookerlabs, @nbrito e @jespinhara e pode ser visto na captura acima.


[ Update - 15/10/2009 ]

O site LinhaDefensiva informa que o discador do IG foi substituído por uma versão que continha um trojan bancário. Os atacantes utilizaram um joiner (aplicativo que concatena dois executáveis em um só). Desta forma os internautas que baixaram o discador de alguns dias até ás 10h30 de ontem acabaram executando também o malware que possui uma baixíssima taxa de identificação entre os anti-vírus.

O post ainda cita outros sites que foram utilizados recentemetnte para infecção em massa usuários, como o Baixaki e o site da Ambev e do São Paulo F.C.

Mais detalhes sobre este ataque na análise do LinhaDefensiva.

[ Update 30/09/2009 ]

Para mais informações sobre como applets java maliciosos estão sendo utilizados em ataques a internautas brasileiros, veja o excelente artigo "Como funcionam as infecções por applets Java", publicado no site Linha Defensiva.



[ Update - 22/09/2009 ]

O Info/Abril informa que um site da operadora Oi, chamado "mundo oi" também foi utilizado no dia de hoje (22/09/2009) como veículo de infecção de trojan bancário através de um falso applet java (o mesmo modus operandi do ocorrido no ataque da Vivo) - vale ressaltar que este tipo de abordagem não é nova e por exemplo já havia ocorrido em 2008 (segundo o IDG/Now) e em 2007 (segundo o site Linha Defensiva) em sites da operadora.

Mais informações sobre este tipo de ataque (Drive-By Infection) no Post original abaixo.

[ Post Original - 09/09/2009 ]


Segundo informações da Folha de São Paulo (http://www1.folha.uol.com.br/folha/informatica/ult124u621523.shtml), (ao menos) um servidor do pool de balanceamento de carga do portal web da operadora de celular VIVO foi invadido.

A empresa Vivo se pronunciou oficialmente sobre o assunto:
"Comunicado à Imprensa

Um dos servidores de acesso de usuários ao Portal da Vivo na Internet foi vítima de um ataque de hackers nesta terça-feira, dia 08 de setembro. A partir da detecção do ataque, as equipes de segurança da informação da Vivo entraram em ação e solucionaram o problema às 00h50 desta quarta-feira.

A Vivo informa que os usuários que clicaram numa falsa janela de “warning security” para execução de arquivo, é que podem ter tido o seu computador infectado. Portanto, a recomendação da Empresa é que usuários que tenham acessado o portal www.vivo.com.br no período de 16h07 de 08.09.2009 até às 00h50 de 09.09.2009, e que tenham executado o falso arquivo, evitem acessar sites de bancos até que façam uma verificação de segurança em seu computador.

A Vivo informa que os serviços disponíveis no seu portal não foram afetados e continuam disponíveis e seguros aos seus clientes."
Internautas que tenham acessado o portal Vivo (www.vivo.com.br) entre 16h de ontem e 0h50 de hoje podem ter sido infectados por um código java que alterava o arquivo local de resolução de nomes (hosts) de suas máquinas - direcionando-os (antes mesmo da resolução via DNS) para clones de sites de internet banking de instituições financeiras brasileiras (Bradesco, Itaú, Santander e Nossa Caixa) .

Vale ressaltar que a seguinte mensagem era exibida para confirmação de execução do código java malicioso: "Vivo Online - IMPORTANTE: (Para executar corretamente o Vivo Online clique em Run". Caso você tenha acessado o site nos últimos dias - especialmente se clicou na mensagem do applet java malicioso, deve evitar entrar em sites de internet banking até se certificar que não foi afetados pelo ataque - veha abaixo como fazê-lo.

Recomendação: para ter certeza que você não foi afetado, abra com o notepad do windows o arquivo "c:\windows\system32\drivers\etc\hosts" - você não deve ver nenhuma linha não comentada (sem um "#" na frente) além do endereço de localhost ipv4 e ipv6 (127.0.01 e ::1) . Caso existam linhas contendo sites bancários como www.bradesco.com.br e www.itau.com.br - má notícia, você foi um um dos cerca de 100 mil usuários atingidos pelo ataque.

Do ponto de vista dos fraudadores, esta abordagem é mais arriscada e ao mesmo tempo mais efetiva para a distribuição de códigos maliciosos, pois ao contrário de utilizar a tradicional engenharia social via spam, os fraudadores neste caso invadiram um site muito utilizado e prepararam um ataque a seus visitantes conhecido como "Drive By Infection".

O uso de Drive By Infection é mais arriscado pois:
  • chama mais atenção, deixa mais vestígios (1 - logs de segurança da operadora, 2 - logs de roteadores, 3 - logs do servidor web, 4 - o código java utilizado para alterar o arquivo hosts aponta para outros sites comprometidos (como o da USP) com mais vestígios...
  • permite um bloqueio mais fácil dos IPs dos falsos sites bancários por parte das operadoras de Backbone (depende apenas da velocidade na comunicação entre as equipes de resposta a incidentes envolvidas)
E ao mesmo tempo mais efetivo do ponto de vista do atacante, pois:
  • Pelo alto número de acessos de sites como os da Vivo/Oi/IG/Veja, o grau de sucesso do ataque é alta - a contagem de acessos ao código malicioso colocado no site da Vivo ultrapassou os 100.000 (cem mil) acessos.
  • a sensação de segurança do usuário durante a navegação em sites legítimos diminui a atenção em relação à possíveis ataques.
Para obter sucesso neste ataque os fraudadores se aproveitaram de dois descuidos muito comuns:
  • Desatualização (falta de patches) do Java em máquinas dos usuários que acessam o site - Recomendações: além de manter seu windows atualizado, cuide da atualização de outros aplicativos, com o PSI da Secunia, por exemplo. Observação: apesar de algumas informações divulgadas, o uso de anti-vírus tradicionais não traz segurança neste caso - como pode ser visto na análise do Virustotal dos dois arquivos java utilizados no ataque : logo_top.jpg e laa.class. (nenhum AV detectou os malwares).

Curiosamente, também por uma falha de desenvolvimento dos fraudadores, o ataque foi descoberto por um usuário de Linux - Miguel de Curcio Filho, que informa em seu blog que estranhou entradas com caminho do arquivo hosts de máquinas windows em seu diretório home de uma máquina Linux!

Caso você tenha acessado o site da Vivo recentemente, insisto em recomendar que você verifique que o arquivo "c:\windows\system32\drivers\etc\hosts" não possua entradas extras apontando para sites bancários.

Recomendações: via prompt de comando (execute o cmd.exe como usuário administrador), configure o arquivo hosts como somente leitura, dificultando sua alteração por parte de ataques como este:

C:\WINDOWS\System32\drivers\etc> attrib +R hosts


Além disto, conheça as 10 Dicas de como manter o seu Desktop Seguro.

Mais detalhes técnicos nos links abaixo:
Outras notícias relacionadas:

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) windows (13) ddos (12) vazamento de informações (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) privacidade (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)