Tuesday, May 31, 2011

Empreiteiras militares americanas atacadas / vulnerabilidades do RSA/Securid


Militares e suas empreiteiras obviamente possuem adversarios preparados e motivados (como nacoes inimigas e hackers trabalhando para elas). Isto nao eh novidade, como pode ser visto na historia que se passou ha 25 anos, contada por Cliff Stoll no livro "The Cucko's Egg" (veja nosso post sobre isto aqui).

Para usar um exemplo real mais recente (2010) e talvez menos conhecido, veja o caso do vazamento de informacoes do projeto de um jato americano chamado "Joint Strike Fighter" (para mais informacoes, clique aqui).

Na semana passada eu comecei a acompanhar as noticias relacionadas ao ataque ocorrido no dia 21 de maio a uma grande empresa empreiteira (contractor) militar norte-americana. No inicio eram informacoes desencontradas e muita suposicao e poucos fatos, mas nesta 2a-feira foram publicadas informacoes mais precisas. Vamos aos dados:

O blogueiro Robert X. Cringely divulgou o seguinte post no dia 25 (quarta-feira):

http://www.cringely.com/2011/05/insecureid-no-more-secrets/

No dia 27, (sexta), a Reuters publicou uma "exclusiva" e colocou o "nome nos bois" no caso: - a empresa atacada foi a LockHeed Martin - a maior empreiteira militar americana - que atua nas areas de defesa aeronautica e aeroespacial.

No mesmo dia (27/05/2011) a LockHeed Martin divulgou o seguinte comunicado oficial (grifos meus):
On Saturday, May 21, Lockheed Martin (NYSE: LMT) detected a significant and tenacious attack on its information systems network. The company's information security team detected the attack almost immediately, and took aggressive actions to protect all systems and data. As a result of the swift and deliberate actions taken to protect the network and increase IT security, our systems remain secure; no customer, program or employee personal data has been compromised.
Throughout the ongoing investigation, Lockheed Martin has continued to keep the appropriate U.S. government agencies informed of our actions. The team continues to work around the clock to restore employee access to the network, while maintaining the highest level of security.
To counter the constant threats we face from adversaries around the world, we regularly take actions to increase the security of our systems and to protect our employee, customer and program data. Our policies, procedures and vigilance mitigate the cyber threats to our business, and we remain confident in the integrity of our robust, multi-layered information systems security.
A Lockheed Martin tem um bom time de Resposta a Incidentes, incluindo o especialista Michael Cloppert - que considero um dos melhores Incident Reponders do mundo, e que ja foi citado aqui no blog (e nao atualiza seu twitter desde o dia 21, curiosamente o mesmo dia do incidente envolvendo a empresa).

[ Update 31/05/2011 17h - A Wired divulgou que outro Contractor também foi afetado: Second Defense Contractor L-3 ‘Actively Targeted’ With RSA SecurID Hacks ]

[ Update 01/06/2011 12h - A Fox News publicou uma noticia envolvendo um terceiro contractor: Northrop Grumman ]

Dentre as acoes de mitigacao do incidente, todos os acessos remotos a empresa LockHeed Martin foram revogados temporariamente, incluindo a reconfiguracao dos tokens SecurID, da RSA, que serviam como segundo fator de autenticacao dos acessos via VPN, por exemplo.

Desde o incidente divulgado pela empresa RSA em marco deste ano, envolvendo o possivel vazamento do codigo do SecurID - ataques como este ja eram esperados. Este trecho do comunicado da RSA fez muita gente "ligar os pontos" entre os dois incidentes (grifo meu):
While at this time we are confident that the information extracted does not enable a successful direct attack on any of our RSA SecurID customers, this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation as part of a broader attack.
Para explorar com sucesso um sistema utilizando a autenticacao SecurID da RSA - como o da LockHeed Martin, eh necessario saber o nome do usuario, o PIN (ou senha) - que podem ser alvo de um ataque de forca bruta - e o valor da semente (seed) original (que foi facilitada devido ao ataque a RSA de marco).

Desta forma, o segundo fator de autenticacao permitia que os acessos dos usuarios que escolhiam senhas fracas (curtas e/ou pouco complexas), estivessem protegidos.

Na verdade estruturas de acesso remoto sao sempre uma porta obvia aberta para ataques externos, E eh possivel que a monitoracao em tempo real das autenticacoes nos sistemas SecureID da LockHeed Martin tenha possibilidado a identificacao do ataque a tempo de conter vazamentos consideraveis de informacoes sigilosas.

Vale ressaltar que para vencer o SecurID e sistemas similares nao eh necessario tanto esforco, pois ataques do tipo "man in the middle" e/ou a instalacao de trojans na maquina do cliente que esta se autenticando podem interceptar toda a comunicacao diretamente do S.O. ou browser do usuario e passa-las ao atacante - no mesmo estilo dos ataques a acessos a personal banking.

Para sistemas criticos, caso o acesso remoto seja realmente necessario, outros esquemas de protecao de acesso remoto podem (e devem) ser implementados, como a utilizacao de biometria (que pode ser o 2o ou 3o fator de autenticacao) e o meu preferido: o port-knocking <= mas isto vale outro post..

Em uma nota paralela, a LockHeed Martin acaba de adquirir o primeiro computador quantico comercial do mundo por US$ 10.000.000,00 (dez milhoes de dolares) . Ja que a tendencia eh que a criptografia classica (como a usada com o SecurID da RSA) seja facilmente quebrada utilizando a computacao quantica (.pdf) - quem sabe em alguns meses eles nao liberam uma solucao de autenticacao utilizando criptografia quantica usando o "D-Wave One" recem comprado! ;)

Wednesday, May 25, 2011

100.000 page-views + sorteio de 2 livros para os leitores do blog

[ Update: 25/05/2011 - Marca alcancada e Resultado do Sorteio ]

Chegamos aos 100 mil pageviews (~ 500 acessos por post publicado)

Obrigado a todos que participaram da promocao de comemoracao dos 100 mil pageviews do blog. Acabo de realizar o sorteio (screenshots abaixo) dos dois livros (*) e ja estou contactando os dois vencedores para definir qual livro enviarei para cada um:

@HigorJorge
@Marcosfsn


*) Windows Registry Forensics +DVD - livro recém lançado de Harlan Carvey (U$ 60,00)

*) Desvendando a Computação Forense - livro dos Peritos Criminais Federais Pedro Eleutério e Márcio Machado (R$ 45,00)

Screenshot do Sorteio 1:



Screenshot do Sorteio 2:




[ Post Original: 01/05/2011 ]

Senhores, é com prazer que nos aproximamos da marca de 100.000 page-views no nosso blog. No momento deste post estamos com 97.102 page-views e pela tendência recente de acessos devemos atingir a marca entre duas e tres semanas.

Até hoje, registramos aqui no blog as marcas de page-views alcançados de 10 em 10 mil. Assim foi nos 10, 20, 30, 40, 50, 60, 70, 80 e 90 mil pageviews.

Como desta vez a marca é especial, resolvi sortear entre os nossos leitores dois excelentes novos livros que adquiri em duplicidade exatamente para este evento dos 100.000 page-views.

1o Livro) Windows Registry Forensics +DVD - livro recém lançado de Harlan Carvey (U$ 60,00)

2o Livro) Desvendando a Computação Forense - livro dos Peritos Criminais Federais Pedro Eleutério e Márcio Machado (R$ 45,00)


Para facilitar o sorteio entre os leitores do blog interessados, basta escrever no twitter a hashtag #100milSSeguranca

O "regulamento" é muito simples: no dia em que o nosso blog alcançar esta marca, eu irei sortear dois usuários dentre os que usaram a hashtag #100milSSeguranca e irei entrar em contato via DM (direct message) para obter o endereço para envio dos livros.

Obs1: Não é necessário nos seguir no twitter para participar - mas é necessário estar no twitter e ter escrito a hashtag #100milSSeguranca, pois é assim que escolherei os participantes do sorteio.

Obs2: Para participantes com endereços de entrega dentro do território brasileiro, eu arcarei com o valor do frete do envio, para os demais participantes, este valor deve ser pago pelo eventual vencedor.

Mais uma vez obrigado a todos pelos comentários e sugestões de tópicos nestes quase 3 anos de blog e mais de 200 artigos publicados!

Comodo Hack e MySQL.com SQL injection



A poeira da invasao e possivel compremetimento do código do SecurID da RSA ainda não baixou e outros ataques que merecem nota já ocorreram nos últimos dias. Segue um breve resumo sobre o I) #ComodoGate e II) blind SQL injection do MySQL.com e Sun.com.

I) COMODOGATE:


Update (25/05/2011 - 09:34) - A ComodoBr.com (apesar dos varios selos estilo "HackerSafe" no rodape do site) foi tambem comprometida via SQL Injection e um dump parcial de seu Banco de Dados foi publicado: http://pastebin.com/9qwdL1pA

Update (04/04/2011- 12:17) - O cryptome.org acaba de publicar um .rar com dois arquivos com o backup dos bancos de dados da GlobalTrust (33M) e da InstantSSL (9,3M).

Update (30/03/2011 - 17:43) - Mais 2 Autoridades Registradoras da Comodo foram comprometidas (além da italiana GlobalTrust). Que outros certificados forjados foram gerados? Aguardemos..

Fonte: o "ComodoHacker" postou mais uma de suas mensagens no estilo "Avassalador" em http://pastebin.com/kkPzzGKW - Trecho:

"From listed resellers of Comodo, I owned 3 of them, not only Italian one, but I interested more in Italian brach because they had too many codes, works, domains, (globaltrust, cybertech, instantssl, etc.) so I thought they are more tied with Comodo".

A Comodo confirmou em mensagem de um executivo, que descreve algumas das ações de "contenção de danos" que estão sendo colocadas em prática pela empresa.

Update (29/03/2011 - 20:15) - o G1 Segurança (Globo.com) publicou bastante material sobre o tema - Hacker invade empresa de segurança e falsifica 'cadeados' de sites - incluindo link para este post. Obrigado @altieres!

Update (29/03/2011 - 14:33) - o jornal Alemão Der Spiegel também o entrevistou.

Update (28/03/2011 - 18:47) - o blog ErrataSec divulgou uma entrevista com o hacker iraniano responsável pelo "ComodoGate.

Update (28/03/2011 - 17:01h) - O "ComodoHacker" agora tem conta no twitter: @ichsunx e acaba de divulgar outros dois dados para confirmar que é ele o responsável pelos ataques: 1) o Certificado falso gerado para o site de addons da Mozila. 2) a tabela de hashes de um BD do RA invadido.

Todos os textos publicados pelo hacker podem ser visualizados no seguinte link: http://pastebin.com/u/ComodoHacker


1) O Certificado parece válido - eis a saída do comando " $ openssl x509 -in mozilla.crt -text -noout "
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
92:39:d5:34:8f:40:d1:69:5a:74:54:70:e1:f2:3f:43
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware
Validity
Not Before: Mar 15 00:00:00 2011 GMT
Not After : Mar 14 23:59:59 2014 GMT
Subject: C=US/postalCode=38477, ST=Florida, L=English/streetAddress=Sea Village 10, O=Google Ltd., OU=Tech Dept., OU=Hosted by GTI Group Corporation, OU=PlatinumSSL, CN=addons.mozilla.org
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:ab:c6:6d:36:f3:15:73:78:83:73:ce:74:85:d5:
ae:ec:b2:f0:e0:24:1f:13:83:b8:20:ac:bb:9a:fe:
88:bb:ab:a1:1d:0b:1f:45:00:aa:49:b7:35:37:0c:
6a:ef:47:4c:b9:d1:be:e3:57:12:04:8d:92:c7:b6:
ec:01:bc:b6:da:c7:81:38:20:ad:72:85:e6:0e:fc:
81:6c:07:ad:68:76:38:c5:44:d7:cc:c6:4a:c5:97:
3e:64:f4:51:e6:f0:7e:b2:ec:56:f7:25:82:4d:49:
98:cb:16:98:dd:23:f1:89:91:d1:17:97:40:99:26:
d6:e2:a2:2b:5e:df:bd:89:f2:1b:1a:53:2d:cc:50:
41:7a:d0:3d:2a:0c:55:70:14:01:e9:58:49:10:7a:
0b:93:82:8b:e1:1e:ed:3a:80:10:82:ce:96:8a:34:
f0:cc:d7:d3:b9:b4:50:87:55:54:09:b8:9d:42:28:
55:00:e5:8c:35:54:bf:dd:25:91:46:b7:0d:e5:5d:
83:a8:e5:8b:fb:84:e4:3c:ae:76:da:c4:43:2b:5b:
74:0b:f8:be:5d:68:f1:78:5b:b5:ce:7d:f1:5d:99:
40:da:ca:ee:38:81:50:be:98:a1:6c:b8:24:ad:f3:
af:8c:0f:d7:11:28:2c:84:18:4c:7d:b5:d9:8f:30:
b5:1b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:A1:72:5F:26:1B:28:98:43:95:5D:07:37:D5:85:96:9D:4B:D2:C3:45

X509v3 Subject Key Identifier:
DD:80:D2:54:3D:F7:4C:70:CA:A3:B0:DD:34:7A:32:E4:E8:3B:5A:3B
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Certificate Policies:
Policy: 1.3.6.1.4.1.6449.1.2.1.3.4
CPS: https://secure.comodo.com/CPS

X509v3 CRL Distribution Points:
URI:http://crl.comodoca.com/UTN-USERFirst-Hardware.crl
URI:http://crl.comodo.net/UTN-USERFirst-Hardware.crl

Authority Information Access:
CA Issuers - URI:http://crt.comodoca.com/UTNAddTrustServerCA.crt
OCSP - URI:http://ocsp.comodoca.com

X509v3 Subject Alternative Name:
DNS:addons.mozilla.org, DNS:www.addons.mozilla.org
Signature Algorithm: sha1WithRSAEncryption
33:3b:63:15:fc:b1:ec:14:2c:93:dd:75:94:de:81:5a:d9:4e:
99:be:fb:4a:a4:39:55:4d:a1:40:7a:de:13:2a:87:a9:37:cf:
e8:d5:fb:ad:d1:7b:6d:6f:8c:20:87:82:54:e6:57:49:bc:20:
28:84:cd:d6:01:d9:93:8b:17:6e:23:66:e5:84:c8:80:3f:c6:
a1:70:80:e4:ec:4d:1d:f9:fc:91:5a:73:62:29:9a:f7:20:1c:
61:e0:8b:39:9f:ca:bc:7e:8d:dd:bc:d9:b1:e3:9f:9e:df:15:
53:91:21:52:0b:d9:1a:23:0f:66:36:db:ac:93:96:4a:a3:a5:
22:cf:29:f7:a2:99:a8:f6:b6:d9:40:ae:d9:7e:b6:f6:58:2e:
9b:ac:36:ca:64:8f:65:52:dc:86:9c:82:ab:6e:50:4b:da:5f:
fa:05:00:88:30:0e:de:8d:56:bf:81:47:8d:3d:06:e2:b2:62:
92:67:8f:9e:c8:9a:b2:e5:06:b8:70:24:b8:77:7c:23:0a:38:
c3:79:08:d8:b1:51:9d:ac:95:11:c7:40:17:9e:a3:1c:8f:f2:
11:a7:68:27:da:49:05:84:18:7c:58:2d:01:67:5c:e5:9f:a1:
29:bb:4a:39:45:2f:bf:11:aa:79:a2:ed:b4:d4:b5:65:43:b7:
93:46:8a:d3
A chave privada também foi postada:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
Resumindo os passos:

a) usando o certificado publico da mozilla para addons.mozilla.org para criptografar um arquivo:
$ openssl rsautl -encrypt -inkey public.pem -pubin -in verify.txt -out encrypted

b) usando o certificado privado divulgado pelo hacker (acima) para descriptografar:
$ openssl rsautl -decrypt -inkey private.pem -in encrypted -out decrypted.txt

c) verificando que os arquivos são iguais e portando a chave privada é válida:
$ md5sum verify.txt decrypted.txt

830ea5a732ec9c497d5999ca7b9575b2 verify.txt
830ea5a732ec9c497d5999ca7b9575b2 decrypted.txt


2) a tabela de hashes do RA italiano comprometido - como era esperado - já começou a ser crackeada (fonte):


Post Original (28/03/2011 - 03h30):

No ano passado, no post "Root DNS, CA e AS - uma questão de (des)confiança" - já havíamos alertado para as falhas estruturais que foram exploradas pelo(s) hacker(s) que emitiram certificados emitidos pela Comodo:
Os Root Certificates são a base do sistema de confiança de comunicações criptografadas de comércio eletrônico, personal banking, etc - São utilizados em comunicações criptografadas e pré-cadastrados e autorizados por sistemas operacionais e navegadores, que possuem listas independentes que são enviadas aos usuários sem sua anuência.

Num exemplo corriqueiro, uma vez que um certificado SSL/TLS seja apropriadamente assinado por um destes certificados raiz, ele passa a ser "confiável" e o usuário verá o cadeado ao lado da URL iniciada porhttps no navegador - gerando uma sensação de confiança que muitas vezes pode não corresponder à realidade. (..continua.. )
E foi exatamente isto que aconteceu.. Uma vez que um atacante possua um certificado assinado por uma root CA e por conseguinte aceito pelo browser do usuário - game over. Ataques do tipo MITM (man-in-the-middle) podem ser aplicados - vide demo com o sslstrip. O resultado: nem o usuário, nem o site que utiliza https não perceberão que sua comunicação "https" está sendo "aberta" e lida por um adversário.

Muito se especulou sobre como o ataque teria ocorrido e sobre a atribuição de responsabilidade:

- Iran targets Gmail and Skype with fake SSL hack (PCPro - UK)
- Hack Obtains 9 Bogus Certificates for Prominent Web Sites - Traced to Iran (Wired)
- Iranian Hackers Suspected in Recent Security Breach (New York Times)

A própria empresa atacada (Comodo) liberou dados sobre o comprometimento - resumindo:

- 9 certificados falsos foram emitidos: entre eles Microsoft Live (Hotmail), Yahoo, Skype, Google , Gmail, Mozilla Addons [ nota:

- Evidências (IPs) indicam que ataque veio do Irã. [ nota: conforme Bejtlich e Coppert, a atribuição mais precisa de responsabilidade para este tipo de ataque precisa considerar mais pontos, dentre eles: 1)Timing, 2)Vítimas,3)Origem, 4)Mecanismo de Entrada, 5)Vulnerabilidade ou Exposição, 6)Exploit ou Payload, 7)Weaponization,8)Atividade pós-exploração, 9)Método de Comando e Controle, 10)Servidores de Comando e Controle,11)Ferramentas, 12)Mecanismo de Persistência, 13)Método de Propagação, 14)Dados Alvo, 15)Compactação de Dados, 16)Modo de Extrafiltração, 17)Atribuição Externa, 18)Profissionalismo, 19)Variedade de Técnicas, e 20)Escopo.

- O foco do atacante foi a infra-estrutura de comunicação, e não financeira como em um cybercrime tradicional [ nota: realmente, o atacante poderia ter lucrado milhões emitindo certificados falsos de bancos por exemplo. A análise dos pontos 2-vítimas 14-dados alvo e 20-escopo dentre as possíveis atribuições listadas acima parecem indicar um ataque focado na monitoração de comunicações e possivelmente com interesse político e não econômico.]

- O atacante somente pode fazer uso dos certificados se controlar a infra-estrutura de DNS [nota: para uma capacidade de "grampo" nacional, sim [ nota: no caso da suspeita do envovimento do governo do Irã), mas ataques a estrutura de DNS de pequenos ISP até root-dns são possíveis.. ]

- O perpetrador executou seus ataques com precisão cirúrgica / O governo do Irã recentemente atacou outros métodos de comunicação criptografada. [nota: bons pontos, mas a dificudade de atribuir a responsabilidade a um Estado por ações como esta é constante e já observamos no caso do Aurora, e do StuxNet, por exemplo. ]

Até que - supostamente (a ser confirmado) - o próprio "hacker" publicou - hoje - um "manifesto" sobre detalhes do ataque, seus objetivos e motivações (e completa falta de modéstia =) .Para comprovar a autoria do incidente, mais tarde ele publicou partes do código decompilado da biblioteca "TrustDLL" do parceiro da Comodo.

Dentre os comentários do "ComodoHacker" - destaco:

- o RA (Registration Authority) invadido foi a italiana GlobalTrust.it / InstantSLL.it
- não há um grupo de hackers envolvido no ataque, somente ele (com a "experiência de 1000")
- ele cita que decidiu hackear o algoritimo RSA - mas não há evidências que o liguem ao ataque ao SecureID (que discutiremos mais abaixo neste post)
- ele reclama que muita atenção está sendo dada a este ataque e mais ninguém escreve sobre o StuxNet e o envolvimento de Israel e dos EUA aos ataques às centrífugas iranianas, e também reclama que a mídia não dá atenção aos projetos HAARP e Echelon..

O "hacker" termina sua carta com a seguinte frase: "Janam Fadaye Rahbar”, que significa “Eu vou sacrificar minha alma pelo meu líder".

Os ingredientes da história indicam que se tratou de um ataque com o objetivo de possibilitar uma fácil monitoração de comunicação encriptada com SSL e - independente de quem foi o responsável - um possível "cliente final" é o governo do Irã (aliás, qualquer governo interessado em monitorar a comunicação de seus cidadãos) .

Algumas reações ao que foi publicado pelo "ComodoHacker":

- The Comodo hacker releases his manifesto (ErrataSec)
- Solo Iranian hacker takes credit for Comodo certificate attack (ComputerWorld)
- How the Comodo certificate fraud calls CA trust into question (ArsTechnica)

Contramedidas:

A criptografia por sí não é útil sem a autenticação / confiabilidade dos dois lados da comunicação, e por isto os principais browsers (Chrome, Firefox, IE) já atualizaram suas blacklists com a lista dos certificados SSL fraudulentos. Esteja certo que você utiliza a última versão do seu navegador e habilite a checagem "verificar revogação certificado" / OCSP - Online Certificate Status Protocol.

O problema é que um atacante em condições de interceptar as comunicações https também pode impedir que o processo de validação das blacklists funcione adequadamente - enviando para o cliente um código 3 OCSP - try later.

Mais detalhes sobre isto pode ser visto na apresentação de Moxie Marlinspike na BlackHat de 2009, chamada "More Tricks For Defeating SSL In Practice" - (se estiver com pressa, veja a página 129) e outro bom material sobre o assunto aqui (revocation is useless). Como vocês podem ver, mais uma vez o Chrome (e agora o FF4) sai na frente no quesito segurança por suportar HSTS - o que ao menos gera um alerta ao usuário..

Como já informamos por aqui anteriormente, um passo é manter em seu browser apenas os certificados-raiz realmente necessários.

Um tweet recente do Moxie Marlinspike sugere aos possíveis responsáveis pelo ataque (os iranianos) que liberem os americanos Shane and Josh caso o Irã esteja usando a ferramenta dele (sslstrip) com o modo autoupdate para evitar o download de add-ons de segurança do firefox (em http://addons.mozilla.org).

Outras dicas de como evitar a utilização de certificados forjados pelo seu browser foram publicadas nos links a seguir:


Do ponto de vista corporativo, você pode monitorar os certificados SSL vistos no seu gateway internet e revisá-los, com ferramentas free como o Bro-IDS ou o NetWitness Investigator.


II) MySQL.com / Sun.com Blind SQL injection:

Casa de ferreiro.. como sabemos, o MySQL foi adquirido pela Sun e a Sun foi adquirida pela Oracle.

Pois bem, hoje foi publicada na lista Full Disclosure a exploração via Blind SQL Injection dos principais bancos de dados do site Mysql.com, e o mysql do site Sun.com também foi comprometido via SQLi.

Vale ressaltar que SQL Injection consta como 2o lugar na lista do MITRE/Sans (http://cwe.mitre.org/top25/) que divulga os 25 erros mais comuns em softwares.

Dentre os dados divulgados estão as tabelas, colunas e hashes de senhas (MD5) de usuários do site que já estão sendo crackeadas e publicadas.. O header dos dados segue abaixo:
Vulnerable Target : http://mysql.com/customers/view/index.html?id=1170
Host IP : 213.136.52.29
Web Server : Apache/2.2.15 (Fedora)
Powered-by : PHP/5.2.13
Injection Type : MySQL Blind
Current DB : web
Atribuição de Responsabilidade:


Mais informações/repercussões sobre este ataque:



Monday, May 23, 2011

Brasília: SANS Mentor FOR508 - Advanced Computer Forensics Analysis and Incident Response

Sabemos que o mercado de Forense Computacional no Brasil vem amadurecendo a cada ano, mas infelizmente ainda vemos aqui e ali alguns "especialistas" divulgando ao público e à mídia informações incorretas ou atrasadas.

É por este motivo que faço questão de aproveitar este espaço para divulgar o que considero ser formação e informação de alta qualidade na área de Resposta a Incidentes e Forense Computacional.

Hoje descobri que o Marcelo Caiado, perito do MPF (e com experiência internacional em Forense Corporativa na RIM Canadá), estará ministrando em agosto na cidade de Brasília o curso  Advanced Computer Forensics Analysis and Incident Response". Como pré-requisito é preciso ter feito o curso FOR408 ou passar neste assessment do SANS. Highly Recommended!

Segue a mensagem do Marcelo sobre o assunto:

Informo que estão abertas as inscrições para o curso SANS Mentor FOR508 -Advanced Computer Forensics Analysis and Incident Response, a ser ministradoem Brasília todas as terças-feiras, das 19h às 21h, iniciando no dia 2 deagosto e finalizando no dia 4 de outubro de 2011. O valor total do curso,reduzido para o mercado local do Brasil, é de US$ 2.000,00 (o mesmo cursonos Estados Unidos sai por US$ 3.570,00).
Maiores informações podem ser obtidas no sítiohttp://www.sans.org/mentor/details.php?nid=25424 ou diretamente comigo. 
Atenciosamente,
Marcelo Beltrão Caiado, M.Sc., CISSP, GCFA, EnCE

Tuesday, May 17, 2011

Eventos de Forense Computacional: ADUC, CEIC, SANS, TECHNOFORENSICS

Mais uma vez a Techbiz Forense e alguns clientes estao presentes em dois dos maiores eventos de Forense Computacional do mundo: AccessData User ConferenceComputer Enterprise Investigation Conference.

Existem excelentes conferencias de Seguranca pelo mundo como a CCC, InfiltrateBlackHat e Defcon no que tange a novas tecnicas de exploracao e ataque a sistemas. O diferencial destas conferencias eh o foco em REACAO e  INVESTIGACAO de crimes e incidentes - o que juntamente com as conferencias do SANS e a TechnoSecurity e TechnoForensics as tornam muito atrativas para profissionais da nossa area.

Tem sido uma excelente oportunidade para conhecer as ultimas tendencias em Resposta a Incidentes, Auditoria, Computacao Forense e CyberSecurity. O conteudo tecnico - com raras excecoes - costuma ser bom, e os contatos com profissionais, clientes e fabricantes  de paises de todo o mundo sao sempre importantes.  

Agenda completa ADUC: http://accessdata.com/downloads/media/ADUCagenda.pdf
Agenda completa CEIC: http://www.ceicconference.com/agenda2011.htm 

 Na semana que vem eu pretendo fazer um resumo por aqui dos melhores materiais (do ponto de vista tecnico) destas duas conferencias. Na foto abaixo, o inicio da aula "New Technology for the Improved Handling of Advanced Exploits" - no ADUC:

 
"FTK? Cade o Campo Minado?" =)

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)