Monday, February 28, 2011

A atenção seletiva e a Resposta a Incidentes Corporativa - parte 2/2


Parte 1:


Parte 2:

Como comentamos no primeiro artigo da série, infelizmente, a maioria das organizaçōes – mesmo as que mais investem em segurança da informação - se limita a simples proteção dos principais ativos e a detecção de ataques já conhecidos e esperados.

O gerenciamento de risco é uma atividade que pretende avaliar o presente e se preparar adequadamente para o futuro. Mais especificamente, a análise de risco operacional e de fator humano são atividades fundamentais para direcionar a decisão executiva de investimentos e o enfrentamento de problemas que envolvem a segurança da informação.

O objetivo do artigo de hoje não é explorar os componentes da equação de risco tradicional. Leia sobre isto em “Risco, Vulnerabilidade, Ameaça e Impacto”. Hoje, vamos falar dos processos de proteção da informação e detecção de incidentes de segurança e discutir sobre a importância da reação adequada a eles. No enfrentamento do risco, o foco costuma estar na correção de vulnerabilidades que foram encontradas e na mitigação dos impactos que já foram previstos. Isto não é suficiente. O foco deve estar nas ameaças.

Um problema comum na geração de métricas e informações durante uma análise de risco é a dependência de checklists, entrevistas e formulários estáticos. Apesar prodzir dashboards impressionantes e apresentações impactantes, esta abordagem não resolverá o problema a que se propôe, e – pior – é capaz de gerar uma falsa sensação de conhecimento e dever cumprido em relação aos riscos a serem enfrentados.

Do ponto de vista tecnológico, testes de invasão (pentests) são úteis para mostrar que os mesmos requisitos que nos fazem competitivos e velozes na atual economia (conectividade, extensibilidade, complexidade), nos fragilizam e podem causar perdas de imagem e financeiras.

Quem já passou por esta experiência, sabe que dois testes de invasão feitos por grupos diferentes de especialistas fornecerão resultados muitas vezes diversos, mostrando a facilidade de exploração de vulnerabilidades reais porém aleatórias dentre as muitas existentes em uma organização. Ou seja, você investirá tempo e dinheiro para corrigir vulnerabilidades existentes, mas exploradas por ameaças fictícias, que podem ou não ser similares aos problemas e explorações reais que atuam em sua organização.

Em outras palavras, saber que alguém pode conseguir “root” em máquinas internas utilizando vulnerabilidades desconhecidas (“0day”) é importante e implementar as contra-medidas necessárias é fundamental. Mas não deixe que esta sensação de vitória o impeça de conhecer as ameaças reais a que você está exposto.

Muitas vezes os bons recursos da área de segurança da informação que trabalham em grandes organizações ficam tão fascinados com as maravilhas técnicas que envolvem o mercado de vulnerabilidades, pentests e exploração de 0days que se esquecem que estão ali para proteger o negócio.

A existência de um processo ou tecnologia de proteção para a última exploração "0day" pode ser menos importante que entender quem são e como atuam os adversários, muitas vezes silenciosos, que roubam informaçōes e recursos da sua organização.

­
Uma organização moderna precisa ser capaz de responder a incidentes de segurança que tenham sido detectados ou notificados por áreas internas ou externas. E é durante este enfrentamento que o conhecimento sobre as ameaças reais que prejudicam o negócio deve emergir.

Esta situação ocorre de forma acelerada quando impacto de imagem de um incidente de segurança é maior - como depois de uma desfiguração de um site ou quando há um vazamento público de informações internas. Costuma ser mais fácil priorizar ações de contenção e reação nestes casos.

Porém, é necessário perceber que muitas vezes seus adversários reais usam técnicas menos elaboradas, mas que aproveitam as brechas nos procedimentos e a boa-fé (engenharia social) de pessoal interno. Isto sem contar a ameaça constante vinda dos usuários privilegiados, que estão acima das monitorações tradicionais. Estas fontes de ameaça podem gerar impactos instantâneos menores, mas causam um prejuízo contínuo e menos perceptível.

Esta situação é muito prevalente e se manifesta de forma diferenciada dependendo da vertical de atuação da organização (fraude financeira interna, roubo de informações de clientes, vazamento de know-how). O objetivo de nossos adversários podem ser diversos, mas os mais bem sucedidos costumam preferir co-existir com nossas medidas de segurança tradicionais e atuar de forma invisível, causando perdas frequentes e imperceptíveis ou mesmo perdas tão grandes que inviabilizam o próprio negócio.

Para piorar a situação, a maioria das organizações nem chega a investir em mecanismos de detecção adequados. Dentre as poucas que investem, a maioria se limita a aspectos puramente tecnológicos e frequentemente se perde na configuração adequada destes e diante da quantidade de registros a monitorar e da dificuldade de identificar ações indevidas e que ferem as regras de negócio da organização.

Outro fator a considerar é que a complexidade inerente de nossos negócios, a conectividade que nos aproxima de clientes e fornecedores e a extensibilidade das nossas tecnologias - somadas ao aumento da competição entre empresas e governos - resulta em uma crescente superfície de exposição e eleva o "apetite ao risco" nas organizaçōes modernas.

A falta de visibilidade da eficiência (métricas) das medidas de proteção e detecção (como firewalls, IDS/IPS, anti-virus e congêneres) pode ser resultado de decisões estratégicas de implementação que deveriam nos proteger. Um exemplo é o conceito de "segurança em camadas" ou “segurança em profundidade”. Sua utilização é importante, mas facilita a co-existência de tecnologias antiquadas e/ou mal implementadas.

Teoricamente, uma solução deve funcionar caso a outra não atue ou falhe. Assim a responsabilidade pela ineficiência destas iniciativas fica diluída - até que uma "nova solução" de proteção ou detecção seja implementada. Este ciclo vicioso tende a se manter – a não ser que a organização seja capaz de reagir adequadamente, buscando a autoria e a materialidade de evidências que possam vir a ser utilizadas em processos internos ou externos de identificação e punição dos responsáveis.

Mesmo as equipes mais preparadas estão tão preocupadas em monitorar as vulnerabilidades conhecidas que simplesmente não enxergam ou não sabem como reagir quando um incidente inesperado de alto impacto ocorre diante dos seus olhos. Uma situação que lembra a experiência de atenção seletiva presente no vídeo do primeiro artigo da série.

Os esforços de proteção e detecção são importantes, mas é fundamental perceber que nunca conseguiremos prever o que os nossos inimigos, internos ou externos, irão fazer. Infelizmente os nossos adversários sabem o que a maioria das empresas faz para se proteger e estão preparados para explorar isto.

Sabemos que - na maioria das vezes - o fraudador ou cibercriminoso que visa ganhos financeiros é bem sucedido quando coexiste com as medidas de proteção da organização que ataca. Frequentemente, ele se preocupa em voar abaixo do radar de detecção (muitas vezes óbvio) inimigo.

A vantagem do atacante sobre o defensor no domínio cibernético é tão grande que esta situação pode ser comparada a um jogo de xadrez em que seu adversário já sabe suas duas ou três próximas jogadas. Se você se preparar extremamente bem, ganhará de adversários medianos (ataques comuns). Mas nem o Kasparov e Deep Blue juntos são capazes de vencer um adversário que fez seu dever de casa (ataques internos ou de adversários avançados – exemplo: China vs Google).

O crime organizado lucra cada dia mais aproveitando a miopia dos responsáveis pela segurança em diferentes níveis e organizações pelo mundo. O despreparo e incapacidade de reação das empresas e órgãos públicos e a falta de legislação adequada construiram um ambiente perfeito para a proliferação e profissionalização de nossos adversários. A equação “risco-recompensa” favorece o atacante.

Por isto, a organização precisa estar preparada para responder mesmo quando não foi capaz de detectar a ameaça. Este é o caso quando a notificação é externa (judicial, parceiros, mídia), ou interna (serviços de denúnica anônima, RH). Idealmente, os registros de sistemas, sessões de rede relacionadas e resultados de investigações devem ser preservados adequadamente para que uma ação de reação adequada possa buscar a identificação da autoria, materialidade, causa-raiz e demais esclarecimentos necessários.

A regulamentação é importante. Mas sobram exemplos de empresas que passaram por auditorias de compliance com as regulamentações PCI/DSS ou Sarbes Oxley e logo depois sofreram um incidente de segurança que demonstrou a fragilidade de sua postura de segurança no tocante a identificação e preparação para uma persecução criminal adequada.

As ameaças que afetam o negócio da organização precisam ser prontamente identificadas e combatidas. Sem a adequada melhoria na reação ao cibercrime - em todos os níveis (técnico, gerencial, legal, governamental) e em todas as esferas (desde a corporação até a persecução transnacional) – a vantagem, que já é dos nossos adversários, continuará a crescer.

Outro problema a ser considerado é a distância do mindset das àreas internas de Tecnologia da Informação / Segurança da Informação e das áreas de Governança/Auditoria/Risco/Anti-fraude. Este é um inimigo interno muito comum para um enfrentamento adequado das ameaças reais que afetam uma organização.

Além disto, um erro comum cometido por organizações modernas não está na tecnologia, mas na falta de investimento na rastreabilidade e capacidade de comprovação de autoria das ações ilícitas que ocorrem em suas redes.

A importância da aplicação de punições está documentada desde a antiguidade e remonta ao Código de Hamurabi, que foi escrito em 1700 AC. Um adequado investimento na capacidade de rastreabilidade e punição dos responsáveis pode evitar novos ataques por “mandar uma mensagem” que afeta a equação risco-recompensa dos criminosos.

Os dashboards, documentos executivos e apresentações de impacto, relacionados ao risco real a que a organização está exposta, pode ser gerados a partir da fase post-mortem do tratamento de incidentes reais que a empresa enfrenta em seu dia-a-dia. Através de uma reação reação apropriada, podemos aplicar a máxima “Conheça seu inimigo”.

No ano 400 AC, o General chinês Sun Tzu, já sabia disto:

"Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas" (A Arte da Guerra).

Nos próximos artigos, iremos aprofundar a discussão através da apresentação de algumas tecnologias que auxiliam as empresas a manter o foco nas ameaças reais, melhorando a rastreabilidade, auditoria e investigação de ações ocorridas em seus sistemas.

As tecnologias de reação às atividades ilícitas e ao cibercrime que serão apresentadas ser divididem em dois grupos:

1 – Soluções de Consciência Situacional de Registros de Sistemas (1.1) e Rede (1.2);
2 – Soluções de Aquisição e Análise de Evidências Stand Alone (2.1) e Remotas (2.2);

Como características básicas, o primeiro grupo precisa ser capaz de guardar dados que indiquem que uma violação ou crime ocorreram, mesmo quando eles não foram adequadamente detectados pelas soluções tradicionais.

O segundo grupo de soluções precisa primar pela guarda adequada das evidências coletadas, para que estas possam servir de comprovação de autoria e materialidade da prova em um possível caso trabalhista, cível ou penal.

Até o próximo artigo,


Techbiz Forense Digital

Sunday, February 20, 2011

15 Curtas e Boas


15 Curtas e Boas vindas do twitter:


  • China é suspeita mais uma vez de ataque à governos estrangeiros, o alvo da vez é o Canadá. Vale a pena lembrar que a atribuição de ataques é mais complexa que simplesmente um endereço IP <= boa referência sobre isto no final deste post.
  • Já citamos este repositório de referências de artefatos forenses por aqui - vale a pena visitá-lo e checar as atualizações (ex: Chrome Profiles em várias versões de Windows): http://forensicartifacts.com/
  • Ataques de Negação de Serviço que exploram fragilidades do protocolo HTTP - como o  e o Slowloris e o HTTP DoS (vídeo) são cada vez mais comuns;
  • Exploração de Redes Wireless está ficando cada dia mais acessível: WiPhire;
  • Excelente painel sobre CyberWar (vídeo) durante o evento Security B-Sides (assista a partir do 20o minuto);
  • O General Chilton, do USSTRATCOM, fala sobre a necessidade de demonstrar as capacidades de CyberWar  - The Washington Post;
  • Para fechar, a maioria dos comentários até o momento sobre os incidentes entre o grupo Anonymous e a empresa HBGary-Federal tem sido parciais. Gostei do post do Brian Krebs sobre o assunto e especialmente dos pontos levantados neste comentário de T. Anne. 

Thursday, February 3, 2011

Validação de Ferramentas Forenses - caso prático

É fundamental confiar nas ferramentas que utilizamos no dia-a-dia para Análise Forense e Resposta a Incidentes.

Já escrevi por aqui sobre Validação de Ferramentas Forenses - incluindo material do Departamento de Justiça Norte-Americano e do NIST. Hoje vamos a um caso rápido e prático de validação de ferramenta utilizando material disponível publicamente.

O material utilizado é open-source, tanto a massa de teste recém publicada por Simson Garfinkel (contendo diversos endereços de email) quanto a ferramenta bulk_extractor do pacote AFFLIB.

O objetivo é verificar a capacidade da ferramenta em extrair endereços de email (e seus offsets dentro da imagem) dos arquivos de evidência testados - que possuem endereços em várias codificações, conforme tabela abaixo:
email address Application (Encoding)
plain_text@textedit.com Apple TextEdit (UTF-8)
plain_text_pdf@textedit.com Apple TextEdit print-to-PDF (/FlateDecode)
rtf_text@textedit.com Apple TextEdit (RTF)
rtf_text_pdf@textedit.com Apple TextEdit print-to-PDF (/FlateDecode)
plain_utf16@textedit.com Apple TextEdit (UTF-16)
plain_utf16_pdf@textedit.com Apple TextEdit print-to-PDF (/FlateDecode)
pages@iwork09.com Apple Pages '09
pages_comment@iwork09.com Apple Pages (comment) '09
keynote@iwork09.com Apple Keynote '09
keynote_comment@iwork09.com Apple Keynote '09 (comment)
numbers@iwork09.com Apple Numbers '09
numbers_comment@iwork09.com Apple Numbers '09 (comment)
user_doc@microsoftword.com Microsoft Word 2008 (Mac) (.doc file)
user_doc_pdf@microsoftword.com Microsoft Word 2008 (Mac) print-to-PDF
user_docx@microsoftword.com
user_docx_pdf@microsoftword.com Microsoft Word 2008 (Mac) print-to-PDF (.docx file)
xls_cell@microsoft_excel.com
xls_comment@microsoft_excel.com Microsoft Word 2008 (Mac)
xlsx_cell@microsoft_excel.com Microsoft Word 2008 (Mac)
xlsx_cell_comment@microsoft_excel.com Microsoft Word 2008 (Mac) (Comment)
doc_within_doc@document.com Microsoft Word 2007 (OLE .doc file within .doc)
docx_within_docx@document.com Microsoft Word 2007 (OLE .doc file within .doc)
ppt_within_doc@document.com Microsoft PowerPoint and Word 2007 (OLE .ppt file within .doc)
pptx_within_docx@document.com Microsoft PowerPoint and Word 2007 (OLE .pptx file within .docx)
xls_within_doc@document.com Microsoft Excel and Word 2007 (OLE .xls file within .doc)
xlsx_within_docx@document.com Microsoft Excel and Word 2007 (OLE .xlsx file within .docx)
email_in_zip@zipfile1.com text file within ZIP
email_in_zip_zip@zipfile2.com ZIP'ed text file, ZIP'ed
email_in_gzip@gzipfile.com text file within GZIP
email_in_gzip_gzip@gzipfile.com GZIP'ed text file, GZIP'ed

Depois da instalação, download e verificação do MD5 da ferramenta e da massa de testes, o processo foi rápido:

$ bulk_extractor nps-2010-emails.E01 -o bulk_extractor/

O resultado da recuperação de endereços de emails - foi o seguinte:
75776 plain_text@textedit.com plain_text@textedit.com________________
86329 rtf_text@textedit.com __\f0\fs24 \cf0 rtf_text@textedit.com}_______________
97282 plain_utf16@textedit.com __p_l_a_i_n___u_t_f_1_6_@_t_e_x_t_e_d_i_t_._c_o_m_________________
100904 user_doc@microsoftword.com PERLINK "mailto:user_doc@microsoftword.com" __user_doc@mic
100934 user_doc@microsoftword.com softword.com" __user_doc@microsoftword.com_ Really._____
103009 user_doc@microsoftword.com K______________u_s_e_r___d_o_c_@_m_i_c_r_o_s_o_f_t_w_o_r_d_._c_o_m______y_________K
103097 user_doc@microsoftword.com mailto:user_doc@microsoftword.com
118170 user_doc@microsoftword.com mailto:user_doc@microsoftword.com____
203195 xls_cell@microsoft_excel.com ___'____________xls_cell@microsoft_excel.com________________
211202 xls_comment@microsoft_excel.com mson Garfinkel:_xls_comment@microsoft_excel.com_<_______[______
211406 xls_cell@microsoft_excel.com K______________x_l_s___c_e_l_l_@_m_i_c_r_o_s_o_f_t___e_x_c_e_l_._c_o_m______y_________K
211498 xls_cell@microsoft_excel.com mailto:xls_cell@microsoft_excel.com_
212898 xls_cell@microsoft_excel.com mailto:xls_cell@microsoft_excel.com____
270633 pages@iwork09.com 9 0 obj_(mailto:pages@iwork09.com)_endobj_11 0 ob
639006 docx_within_docx@document.com PERLINK "mailto:docx_within_docx@document.com" _doc_within_do
639038 doc_within_doc@document.com @document.com" _doc_within_doc@document.com________________
645550 docx_within_docx@document.com mailto:docx_within_docx@document.com____
691892 ppt_within_doc@document.com ____________p_p_t___w_i_t_h_i_n___d_o_c_@_d_o_c_u_m_e_n_t_._c_o_m___#___#_______!_
696936 ppt_within_doc@document.com ____6ppt_within_doc@document.com___Dmail
697012 ppt_within_doc@document.com mailto:ppt_within_doc@document.com_______
697094 ppt_within_doc@document.com ____6ppt_within_doc@document.com___Dmail
697170 ppt_within_doc@document.com mailto:ppt_within_doc@document.com___`_/___
736283 ppt_within_doc@document.com __-___This is a ppt_within_doc@document.com Really!________
737114 ppt_within_doc@document.com mailto:ppt_within_doc@document.com__
737238 ppt_within_doc@document.com mailto:ppt_within_doc@document.com__
798484 xls_within_doc@document.com ____________x_l_s___w_i_t_h_i_n___d_o_c_@_d_o_c_u_m_e_n_t_._c_o_m_________________
812228 xls_within_doc@document.com _&___xls_within_doc@document.com____._c_
812742 xls_within_doc@document.com K______________x_l_s___w_i_t_h_i_n___d_o_c_@_d_o_c_u_m_e_n_t_._c_o_m______y_________K
812832 xls_within_doc@document.com mailto:xls_within_doc@document.comyX__;__H_,_]__
814302 xls_within_doc@document.com mailto:xls_within_doc@document.com__
814426 xls_within_doc@document.com mailto:xls_within_doc@document.com__
150251-ZIP-402 user_docx@microsoftword.com Target="mailto:user_docx@microsoftword.com" TargetMode="Ex
150876-ZIP-1012 user_docx@microsoftword.com "/>user_docx@microsoftword.com
222871-ZIP-161 xlsx_cell@microsoft_excel.com ount="1">xlsx_cell@microsoft_excel.com
223096-ZIP-265 xlsx_cell@microsoft_excel.com Target="mailto:xlsx_cell@microsoft_excel.com" TargetMode="Ex
227323-ZIP-433 xlsx_comment@microsoft_excel.com ce="preserve">__xlsx_comment@microsoft_excel.com__
279757-ZIP-347110 pages_comment@iwork09.com nk href="mailto:pages_comment@iwork09.com">
279757-ZIP-347178 pages_comment@iwork09.com aracterStyle-7">pages_comment@iwork09.com
279757-ZIP-349229 pages@iwork09.com nk href="mailto:pages@iwork09.com">
279757-ZIP-349289 pages@iwork09.com aracterStyle-7">pages@iwork09.com
451416-ZIP-1255117 keynote@iwork09.com nk href="mailto:keynote@iwork09.com?subject=">
451416-ZIP-1255189 keynote@iwork09.com racterStyle-38">keynote@iwork09.com
451416-ZIP-1258690 keynote_comment@iwork09.com nk href="mailto:keynote_comment@iwork09.com">
451416-ZIP-1258761 keynote_comment@iwork09.com racterStyle-38">keynote_comment@iwork09.com
548961-ZIP-731705 numbers_comment@iwork09.com nk href="mailto:numbers_comment@iwork09.com">
548961-ZIP-731775 numbers_comment@iwork09.com aracterStyle-1">numbers_comment@iwork09.com
548961-ZIP-738454 numbers_09@apple.com nk href="mailto:numbers_09@apple.com">
548961-ZIP-738517 numbers@iwork09.com aracterStyle-1">numbers@iwork09.com
660769-ZIP-1380 docx_within_docx@document.com ____>_______d_o_c_x___w_i_t_h_i_n___d_o_c_x_@_d_o_c_u_m_e_n_t_._c_o_m_________________
661629-ZIP-1731-ZIP-925 docx_within_docx@document.com Target="mailto:docx_within_docx@document.com" TargetMode="Ex
661629-ZIP-2355-ZIP-889 docx_within_docx@document.com "/>docx_within_docx@document.com
735578-ZIP-265 ppt_within_doc@document.com Target="mailto:ppt_within_doc@document.com" TargetMode="Ex
749860-ZIP-4640 pptx_within_docx@document.com ____________p_p_t_x___w_i_t_h_i_n___d_o_c_x_@_d_o_c_u_m_e_n_t_._c_o_m___#___#_________
751625-ZIP-1868-ZIP-265 pptx_within_docx@document.com Target="mailto:pptx_within_docx@document.com" TargetMode="Ex
751625-ZIP-3418-ZIP-1154 pptx_within_docx@document.com "/>pptx_within_docx@document.com
826652-ZIP-1212 xlsx_within_docx@document.com ____________x_l_s_x___w_i_t_h_i_n___d_o_c_x_@_d_o_c_u_m_e_n_t_._c_o_m_I_______________
827551-ZIP-4350-ZIP-265 xlsx_within_docx@document.com Target="mailto:xlsx_within_docx@document.com" TargetMode="Ex
827551-ZIP-5292-ZIP-161 xlsx_within_docx@document.com ount="1">xlsx_within_docx@document.com
841728-ZIP-258 email_in_zip@zipfile1.com is is a test. __email_in_zip@zipfile1.com__This is a test
842821-ZIP-0 email_in_zip_zip@zipfile2.com email_in_zip_zip@zipfile2.com_
843776-GZIP-0 email_in_gzip@gzipfile.com email_in_gzip@gzipfile.com_
844800-GZIP-0-GZIP-0 email_in_gzip_gzip@gzipfile.com email_in_gzip_gzip@gzipfile.com_
65614-PDF-0 plain_text_pdf@textedit.com plain_text_pdf@textedit.com
76878-PDF-0 rtf_text_pdf@textedit.com rtf_text_pdf@textedit.com
87118-PDF-0 plain_utf16_pdf@textedit.com plain_utf16_pdf@textedit.com

Fazendo uma rápida comparação entre o que foi listado pelos criadores da imagem e o resultado obtido, vemos que apenas 3 codificações não foram encontradas - em itálico abaixo (e que a ferramenta encontrou 2 endereços que não estavam listados pelo autor - sublinhados):

$ cat email-target.txt | awk '{print $1}' | grep . | sort | uniq > objetivo.txt
$ cat email.txt | awk '{print $2}' | sort | uniq > resultado.txt
$ diff objetivo.txt resultado.txt

8a9
> numbers_09@apple.com
22d22
< user_doc_pdf@microsoftword.com
24d23
< user_docx_pdf@microsoftword.com
28d26
< xlsx_cell_comment@microsoft_excel.com
29a28
> xlsx_comment@microsoft_excel.com


Complementando, o resultado presente na saída do bulk_extractor diz respeito ao offset do match específico nos dados que foram processados. Para recuperação dos arquivos relacionados, pode ser utilizado o script iblkfind.py da ferramenta fiwalk (File and Inode Walk Program).


Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) windows (13) ddos (12) vazamento de informações (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) privacidade (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)