Wednesday, December 29, 2010

Preparação de equipes na área de Cybersecurity

Como sabemos, a área de Segurança da Informação é extremamente complexa e dinâmica e as novidades tanto no tocante a vetores de ataque quanto de diferentes técnicas de ataque e defesa surgem diariamente.

Por isto mesmo uma equipe responsável pela Resposta a Incidentes de Segurança, Forense Computacional ou "Cybersecurity" precisa estar composta de profissionais que possuem uma grande quantidade de habilidades e obviamente precisam estar em constante treinamento para se adaptarem a esta realidade.

Hoje tive uma ótima surpresa quando vi que o CERT e o Software Engineering Institute da Universidade Carnegie Mellon publicaram um documento fundamental para a preparação e o desenvolvimento contínuo de equipes de Cybersecurity, chamado "The CERT® Approach to Cybersecurity Workforce Development"

Logo na sua introdução, é feita uma colocação muito interessante a respeito de dois fatores fundamentais para que uma habilidade seja verdadeiramente efetiva nesta área: a proeficiência (experiência/conhecimento do assunto) e a relevância (utilidade para execução da função).

Algumas limitações dos treinamentos tradicionais em salas de aula são apresentadas, como a diferença entre a experiência vivida e o mundo real (quadro negro versus redes, softwares e usuários); o tempo (geralmente dias) gasto para aulas tradicionais (o que gera uma frequência inadequada de treinamento); a necessidade de deslocamento, e a óbvia demora do método tradicional em adaptar-se as novidades tecnológicas.

A nova abordagem sugerida pelo CERT para treinamento de profissionais ligados à Cybersecurity é dividida em quatro fases (que são brevemente apresentadas abaixo, mas são bem detalhadas no documento original)

  1. Desenvolvimento de Conhecimentos - onde os fundamentos e conceitos de tópicos específicos são abordados;
  2. Desenvolvimento de Habilidades (*) - como aplicar praticamente os conhecimentos / exercícios hands-on;
  3. Desenvolvimento de Experiência - adaptabilidade da aplicação das habilidades desenvolvidas em ambientes não familiares (mundo real);
  4. Avaliação - são propostas métricas para avaliar a evolução dos profissionais treinados e identificação de áreas que necessitam de melhoria continuada.

* Na seção de desenvolvimento de habilidades, existem colocações acerca da diferença entre usar ferramentas (e ter a vantagem da velocidade e a possibilidade de usar analistas menos treinados na tecnologia de mais baixo nível envolvida).

A conclusão apresentada é a seguinte (pg. 12): o melhor é ganhar eficiência executando tarefas que já são automatizadas adequadamente por ferramentas como o Autopsy, o Encase e o FTK (para ações como recuperação de arquivos deletados, carving, etc) e deixar a "escovação de bit" para atividades que as ferramentas não executam (reconstrução de um filesystem corrompido, por exemplo).

Uma pergunta que emerge naturalmente destas afirmações é: como diferenciar? Apenas com habilidade, conhecimento e experiência.. Por isto a Gestão Técnica ou ao menos o envolvimento - mesmo que apenas consultivo - de profissionais técnicos sêniores é fundamental na maioria das atividades ligadas à Cybersecurity.

O documento traz também um caso de estudo de treinamento contendo a experiência do CERT desde 2009 com um esquadrão de operações cibernéticas da USAF (força aérea norte-americana).

E para não ficar só na teoria, o CERT libera um acesso de demonstração ao sistema XNET, desenvolvido pela Carnegie Mellon (dica: via RDP é melhor..) - veja a captura (JPG): http://j.mp/h2gaJw e a rede do laboratório (JPG)

Neste sistema, times precisam executar várias tarefas relacionadas à Cybersecurity e são monitorados pelos instrutores, online. Existe um PDF contedo um WORKBOOK das atividades como Incident Detection & Reporting Challenge , Prioritizing Defense Measures
e Mitigation Tasks.

Seguem exemplos de exercícios práticos acessíveis via XNET:

Logging:
  • OSSEC HIDS Server
  • Remote Centralized Monitoring Server
  • OSSEC Agent on Linux hosts
  • OSSEC Agent on Windows hosts
  • SQL Server Event Log Auditing
Detection:
  • Configuring Arpwatch
  • Creating a DHCP Offer Packet Filter for tcpdump
  • Nagios Network Monitoring
  • Appendix – Configuring Nagios
  • NTOP Traffic Monitoring
  • Snort Rules
Hardening:
  • Securing the Domain with Security Templates and Group Policy
  • Bandwidth Throttling
  • Configuring IPTables as a Host Based Firewall on Linux Systems
  • ACL on Router for Data Exfiltration / IRC
  • Disable Directory Traversal
  • Disabling Telnet on Router
  • Drop Traffic from a Host
  • Endian Firewall SSH Access
  • Exchange Server Hardenin
  • Firewall Access Control
  • Hardening FTP Server
  • Install and Configure Reverse Proxy Using Pound
  • Linux Host System Hardening
Os ataques que precisam ser evitados/detectados incluem:
  • EasyFTP Remote Exploit
  • SQL Injection
  • WebSite Directory Transversal
  • Data Extrafiltration (TCP, UDP, ICMP)
  • WebSite Defacement
  • Infected User beaconing to an external IP
  • Insecure router using telnet
  • Infected user scanning internal IP space
  • Attack using xp_cmdshell stored procedure
Se interessou? Leia o documento na íntegra. Certamente este tipo de experiência pode auxiliar internamente na melhor preparação do seu time de Segurança/Resposta a Incidentes ou Forense Computacional.

Monday, December 13, 2010

As ações anti-anti-WikiLeaks e a legislação penal brasileira


Este artigo foi elaborado em conjunto pelos seguintes autores:
Sandro Süfferthttp://blog.suffert.com

Há alguns dias acompanhamos uma frenética divulgação, pelo site WikiLeaks, de conteúdos de correspondências trocadas pelas embaixadas americanas. O caso passou a ser chamado de Cablegate.
Não bastasse isso, com a retaliação advinda do Governo americano e de grandes empresas (a exemplo da Amazon, que deixou de hospedar o site e da Mastercard e Visa, que deixaram de processar seus pagamentos) a consequência passou a ser um contra-ataque oriundo de simpatizantes de Julian Assange (idealizador do WikiLeaks).
O contra-ataque veio em várias frentes. Primeiro, na criação dos chamados espelhos do site (mirrors), funcionando como ferramentas para manter o "ideal" do WikiLeaks, e o que representa, ativo e visto por todos, e; segundo, através de ataques direcionados a determinados sites apoiadores da ideia anti-WikiLeaks.
A última ação do grupo foi a invasão e exposição de contas e senhas dos sites Gawker (Gizmodo, Lifehacker, Kotaku, Deadspin) pela recente publicação de um artigo minimizando a capacidade do grupo "Anonymous". (Para verificar se sua conta foi comprometida, use este link).
No caso dos "mirrors" do site Wikileaks, que no Brasil já são doze, em avaliando a legislação brasileira, percebe-se que a posição do Dr. Omar Kaminski, reproduzida nesta avaliação, é a mais acertada, pois que não há previsão no Brasil quanto à punibilidade (aspecto penal) de pessoas que eventualmente hospedem uma página que contenha conteúdo reservado, confidencial, secreto ou ultra-secreto relativo a outro país. Diz Omar que quem "poderia tomar providências seriam os Estados Unidos. Devido ao trâmite diplomático e burocrático, seria muito difícil. Como o material é de fora, a legislação que deveria ser aplicada seria a deles".
Já no caso dos ataques direcionados a sites apoiadores da ideia anti-WikiLeaks, ou seja, que seriam orientados pelo Governo americano, antes da avaliação quanto à aplicação da Lei Penal Brasileira, há que se fazer uma explicação a respeito.
Segundo já escrito anteriormente, várias das empresas que "viraram as costas" para o Wikileaks estão sofrendo ataques maciços de negação de serviço - ou DDoS (Distributed Denial of Service) - que inviabilizam sua presença online.
Um grupo, denominado "Anonymous", através de perfis do twitter como "anon_operation", “anon_operationn”, “anonopsnet” (já retirados do ar pelo Twitter), está comandando os ataques às empresas, que por pedido do Governo americano bloquearam os serviços que eram utilizados pela Wikileaks. Além do Twitter, o site do grupo (http://anonops.net/) e o seu perfil no Facebook também estão fora do ar.
O ataque é distribuído, e mais de 30.000 "bots voluntários" se unem a um canal de irc (ou a uma conta no twitter) para baixar a ferramenta "LOIC" (Low Orbit Ion Cannon) - que pode ser configurada em modo Hive Mind (algo como "Consciência Coletiva") - para que a máquina vire um zumbi pré-configurado para atacar os alvos escolhidos pelo grupo. Um dos alvos foi a VISA (www.visa.com), além do Mastercard e mais recentemente o site britânico da Amazon. A taxa de download da ferramenta passou de mil downloads por hora, o que demonstra o grande interesse nesta ação de “hacktivism”.
O grupo foi mais além e agora tem uma versão que roda direto do navegador. O JS LOIC é baseado em JavaScript e por isto não precisa ser instalado, bastando acessar uma página da web para colaborar com os ataques.
Além da facilidade de usar, o JS LOIC traz a vantagem de rodar em qualquer navegador moderno, incluindo os navegadores do iPhone e Android. Segundo Sean-Paul Correll, da Panda Security, o JS LOIC não é tão eficiente quanto a versão original, instalada na máquina, mas, por outro lado, abre a possibilidade de um número absurdamente maior de pessoas colaborarem com os ataques. Para os ativistas digitais, o conceito é até romântico: usar pequenos aparelhos celulares para atacar grandes sites. (fonte: IT Versa, neste link)
Segundo foi anunciado recentemente, dois holandeses, um menor de 16 anos e outro maior, de 19 anos, já foram presos por envolvimento nesses ataques. No caso do maior, por direcionar o ciberataque contra o site da promotoria holandesa.
A estratégia de distribuir ferramentas de Denial of Service para o público não é nova, e já foi utilizada durante os ataques que envolveram a Rússia e a Estônia em abril de 2007 e a Rússia e a Geórgia em Agosto de 2008.
O desenvolvimento e a utilização de tais ferramentas são crimes previstos há anos em legislações de vários países, como a Holanda, a Inglaterra e a Alemanha.
E, caso se comprovasse a origem de um ataque como sendo oriunda do Brasil? Bom, neste caso, teríamos de avaliar duas situações diferenciadas: primeiro, se o site atacado é nacional, e; segundo, se o ataque for direcionado a site internacional.
Nos dois casos, pode haver configuração de crime de dano, previsto no art. 163 do Código Penal Brasileiro:
Dano
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:
Pena - detenção, de um a seis meses, ou multa.
Dano qualificado
Parágrafo único - Se o crime é cometido:
I - com violência à pessoa ou grave ameaça;
II - com emprego de substância inflamável ou explosiva, se o fato não constitui crime mais grave;
III - contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista;
IV - por motivo egoístico ou com prejuízo considerável para a vítima:
Pena - detenção, de seis meses a três anos, e multa, além da pena correspondente à violência.
No caso de site nacional, o seu representante legal é apto para encaminhar a queixa-crime, sendo facilitado seu processo por já estar constituído legalmente no Brasil. No caso de site internacional e em não havendo representante legal no Brasil, cumpre-lhe encaminhar a documentação necessária (de sua constituição e representação de acordo com as leis locais de seu país de origem). Em ambos os casos há necessidade da comprovação do dano provocado.

Porém, se além do dano provocado, para recolocar o site no ar há exigência de alguma cooperação financeira em troca, pode haver outra configuração delitiva:
Extorsão
Art. 158 - Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar fazer alguma coisa:
Pena - reclusão, de quatro a dez anos, e multa.
§ 1º - Se o crime é cometido por duas ou mais pessoas, ou com emprego de arma, aumenta-se a pena de um terço até metade.
§ 2º - Aplica-se à extorsão praticada mediante violência o disposto no § 3º do artigo anterior.
§ 3o Se o crime é cometido mediante a restrição da liberdade da vítima, e essa condição é necessária para a obtenção da vantagem econômica, a pena é de reclusão, de 6 (seis) a 12 (doze) anos, além da multa; se resulta lesão corporal grave ou morte, aplicam-se as penas previstas no art. 159, §§ 2o e 3o, respectivamente.
No caso do ataque coordenado “anti-anti-wikileaks”, vários alvos são selecionados e controlados via um canal IRC ou um perfil no twitter. O grupo auto-denominado “Operation Anonymous” informa nas “perguntas mais frequentes” (FAQ), que ao utilizar a ferramenta LOIC as chances de prisão são “próximas de zero”, e basta alegar que seu computador foi infectado por um vírus ou alegar não ter conhecimento de nada.
A realidade é diferente, e o rastreamente de tais atividades é simples e solicitações de “quebra de sigilo IP” podem revelar facilmente a identidade dos atores por trás do ataque.
Há que se asseverar, já pensando no futuro da legislação brasileira, que o Projeto de Lei 84/99, traz previsão expressa quanto ao que escrevemos acima. O crime de dano teria nova redação, assim prevista:
Art. 163. Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
Ademais, o PL 84/99 prevê outro artigo interessante, no qual pode ser enquadrado o caso em questão:
“Inserção ou difusão de código malicioso”
Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.
Inserção ou difusão de código malicioso seguido de dano
§ 1º Produzir intencionalmente ou vender código malicioso destinado ao uso em dispositivo de comunicação, rede de computadores ou sistema informatizado.
Pena – reclusão de 1 (um) a 3 (três) anos, e multa
§ 2º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:
Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.
§ 3º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.
Na verdade, aporta aí uma solução importante e que pode delinear um futuro diferenciado quanto ao aspecto penal de utilização de uma rede de computadores zumbis com a finalidade de paralisar um serviço disponibilizado na web.

Friday, December 10, 2010

Flowcharts de processos de forense computacional


Há cerca de 3 anos tive a oportunidade de desenvolver junto a outros colegas da Techbiz Forense alguns processos em formato de flowchart para as várias fases de forense computacional (ex: coleta, análise, relatório). Minha apresentação de 2008 no ICCyber foi sobre este assunto, e parte dos slides podem ser vistos aqui.

Este tipo de material é muito útil para treinamentos de grupos de investigação (de forças da lei ou corporativos) e para adequação dos processos já existentes internamente na empresa.

Há poucas horas atrás, quando fazia minha varredura diária de informações ligadas à forense computacional e resposta a incidentes, encontrei no ótimo blog do Lance Mueller uma árvore de decisão para o processo de aquisição (ou coleta/imagem) de HD (clique para ampliar):




Como pode ser visto, o fluxo trata desde o primeiro momento quando o perito encontra a máquina até a validação (checagem do hash criptográfico SHA256/SHA1/MD5) da imagem (.dd/.e01) feita.

Alguns pontos merecem destaque:

1 - Não são tratadas as informações de coleta de dados voláteis (ex: memória), mas o autor prevê um outro flowchart para isto (Update 13/12/2010: o autor já publicou um fluxo incluindo a aquisição de dados voláteis)

2 - A decisão "Can you turn off" envolve uma série de possibilidades, que incluem - mas não se limitam - a:
  • Preocupação com a disponibilidade da máquina (serviço financeiro/crítico/etc);
  • Presença de criptografia de disco;
  • Presença e atividade de malware;
  • Análise de conexões estabelecidas;
3 - O autor sugere a utilização do FTK Imager ou do Encase WinAcq para aquisição de disco no caso da máquina não poder ser desligada, mas outras alternativas mais rápidas, stealth e modernas (remotas) podem ser utilizadas, como o a aquisição através da instalação automática de agentes via rede com o FTK (versão 3.0+) ou com o Encase Enterprise (ou FIM).

Com o objetivo de diferenciar a coleta presencial da remota, um exemplo de um processo simplificado de coleta remota pode ser visto na imagem abaixo (clique para ampliar)


E já que o assunto veio à tona, seguem alguns outros pontos a se considerar durante o processo de aquisição/coleta de evidências:
  • Autorização para análise preliminar e para agir: Da mesma forma como é preciso autorização para coleta e análise remota das máquinas (análise preliminar), é necessária a autorização para coleta física de um disco.
  • Testemunhas: não é um requisito obrigatório para condução da coleta física de evidências digitais. Dessa forma caso o analista que realiza a aquisição estiver acompanhado de outro colaborador da empresa/órgão como por exemplo, segurança patrimonial este pode ser uma testemunha.
  • Identificação dos itens coletados: deve ser feito um relatório onde constem os dados dos itens coletados (principalmente discos rígidos), com suas características técnicas exclusivas, como modelo, número de série, capacidade, etc.
  • Geração das Imagens (evidência digital duplicada): na geração das imagens não deve ser feita a correção de erros, já que estes blocos podem ser utilizados para ocultação de informações.
  • Validação da aquisição: Deve ser feita ao final da aquisição os cálculos dos valores de hashes (MD5 e SHA1) do disco original coletado e da cópia obtida. Essas informações devem constar do relatório final.
  • Armazenamento da Evidência: Após a aquisição e validação da evidência, as informações coletadas devem ser tratadas como confidenciais e armazenadas de forma condizente. Áreas restritas em servidores para armazenagem dos arquivos, estações de trabalho restritas para análise dos mesmos e armários/salas protegidas para armazenagem de discos com essas informações devem ser criados para que isso seja possível.
Além disto, durante todo o processo, os princípios da evidência digital (*) devem ser respeitadas:
  • As ações tomadas durante o exame pericial não devem alterar as evidências;
  • A cadeia de custódia das evidências deve ser montada, relatando o nome da pessoa que está de posse da evidência, data, hora e atividades executadas;
  • Todas as atividades relacionadas com a coleta, acesso, armazenamento ou transferência da evidência digital devem ser documentadas (trilhas de auditoria);
  • As cópias devem ser autenticadas por meio de assinaturas criptográficas ;
  • Jamais se deve confiar no sistema analisado; e
  • Para geração das cópias, as mídias deverão estar devidamente saneadas (wipe).
* - SWGDE - Scientific Working Group on Digital Evidence

Wednesday, December 8, 2010

Anti-Anti-Wikileaks e seus efeitos


Nós já publicamos por aqui artigos sobre vazamento de informações, e logo que foram publicadas informações relevantes pelo Wikileaks, atualizamos também posts relevantes como (Operação Aurora e Stuxnet).

Como sabemos, a informação em formato digital é extremamente difícil de ser controlada, sejam dados secretos fluindo de uma rede ultra-secreta para um computador pessoal - como foi o caso do vazamento pela Wikileaks dos dados militares do Iraque e Afeganistão (a fonte do site era Bradley Manning, que tinha acesso top-secret) - seja um código malicioso super especializado como o Stuxnet indo via pendrive de uma rede de negócios para uma rede de controle de infra-estruturas críticas.

O que deve ser controlado em qualquer ambiente é o acesso à informação, preferencialmente usando o princípio de "need-to-know". Aos interessados segue boa documentação sobre classificação da informação:

O site inicialmente foi alvo de um "hackivista" chamado "th3j35t3r" - que parece estar querendo chamar atenção para suas ações e sua ferramenta 37337 chamada "XerXes" (vídeo). A ferramenta XerXes usava uma rede de proxies anônimos para amplificar uma vulnerabilidade presente nos servidores Web Apache - mais informações sobre o "Slowloris", aqui.

Hoje (08/12/2010) várias das empresas que "viraram as costas" para o Wikileaks estão sofrendo ataques maciços de negação de serviço - ou DDOS (Distributed Denial of Service) - que inviabilizam sua presença online.

O grupo "Anonymous", através do perfil do twitter "anon_operation" está comandando os ataques às empresas, que por pedido do governo americano bloquearam os serviços que eram utilizados pela Wikileaks. No momento em que escrevo este post, o site do grupo (http://anonops.net/) está fora do ar também (e seu perfil no Facebook foi bloqueado)

O ataque é distribuído, e mais de 1500 "bots voluntários" se unem a um canal de irc (ou a uma conta no twitter) para baixar a ferramenta "LOIC" (Low Orbit Ion Cannon) - que pode ser configurada em modo Hive Mind (algo como "Consciência Coletiva" - para que a máquina vire um zumbi pré-configurado para atacar os alvos escolhidos pelo grupo.

O último alvo foi a VISA (www.visa.com) que no momento em que escrevo este post está inacessível.

Segue a lista dos alvos publicados e que já foram afetados pelo grupo:

A NetCraft está monitorando em tempo real a disponibilidade dos sites envolvidos nestes ataques.

Com relação à mitigação destes tipos de ataque, recomendo o PeakFlow da ArborNetworks, contra o Slowloris, veja as últimas atualizações do modsecurity. E claro, se couber no orçamento colocar (parte de) seu serviço na Akamai ou Amazon Elastic Computing Cloud também resolve.. =)

[ Update: outra ferramenta disponibilizada pelo grupo "Anonymous", continha o código fonte e foi modificada e redistribuída pelo th3j35t3r, com backdoor que facilita a identificação dos usuários ]

Mais informações:

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)