Tuesday, May 28, 2013

Roubo de Informações de empreiteiras militares norteamericanas - Vazamento de Informações e DLP - como abordar este desafio



[ Update: 28/05/2013 ]

Mais de 4 anos depois de nosso artigo original, vem a confirmação do vazamento de vários projetos militares que causaram um prejuízo bilionário aos Estados Unidos. A China é mais uma vez acusada de ser responsável pelos ataques que possibilitaram o vazamento das informações de projetos de defesa.

A lista de empreiteras militares americanas possivelmente afetadas cresce a cada dia: Boeing, Lockheed Martin, Raytheon, Northrop Grumman.

Abaixo uma tradução livre do texto original do Washington post, citando uma autoridade militar norteamericana:

"Em muitos casos, eles (as empreiteiras militares) não sabem que eles foram invadidos até o FBI bate à sua porta. São bilhões dólares de vantagem de combate para a China. Eles pouparam 25 anos de pesquisa e desenvolvimento. É loucura."

[ Post Original: 23/04/2009 ]

Várias áreas dentro de uma empresa (pública ou privada) se preocupam - ou deveriam se preocupar - direta ou indiretamente com os efeitos de vazamentos de informações: Segurança de Informações, Auditoria, Anti-Fraude, Risco, Recursos Humanos, Governança e Compliance - para citar algumas.

O princípio é simples: evitar que informações estratégicas e/ou valiosas da empresa caiam em mãos erradas, diminuindo a lucratividade e a credibilidade da empresa. Alcançar um controle sobre este processo, porém, é uma tarefa muito difícil.

Se fosse fácil, não veríamos tão frequentemente notícias como a publicadas nesta semana pelo Washington Post: dados sensíveis do projeto do mais moderno jato da força aérea americana de 300 bilhões de dólares - o F-35 Lightning II fighter - foram obtidos por atacantes ainda não identificados (mais aqui e aqui). Segundo os repórteres do Washington Post e Wired, as informações vazadas possibilitam a um adversário se defender melhor do jato e estudar as suas vulnerabilidades.

Virtualmente todas as normas regulatórias de compliance como Sarbanes Oxley, PCI, HIPAA, Basiléia e GLBA exigem que as empresas tenham controle sobre suas informações sensíveis.

Estar compliance com estas regulações é apenas o começo, e obviamente não garante que você esteja imune a problemas de vazamento de informações - conforme a HeartLand aprendeu. O maior vazamento de números de cartões de crédito da história aconteceu em uma empresa que era "PCI Compliant".

Um vazamento de informações no âmbito corporativo pode ser igualmente temível, seja porque informações estratégicas irão voar para as mãos de um competidor, ou informações financeiras de clientes podem estar sendo obtidas por fraudadores - como no caso da HeartLand.

Há um ano atrás, escrevemos sobre o desafio em implementar com sucesso soluções de "Prevenção"/Proteção de Vazamento de Informações (DLP) em ambientes complexos.

O primeiro difícil passo continua sendo a de classificação adequada de informações. [ Em um levantamento feito pelo TCU em 2007, foi identificado que 80% dos órgãos do executivo analisados não fazem nenhuma classificação da informação ]. O cenário infelizmente não é muito diferente nas empresas privadas brasileiras.
Para conseguir iniciar um processo de classificação de informações é necessário conhecer/ classificar e controlar profundamente o estado e as alterações em suas aplicações e dados críticos. O visionário Dan Geer coloca sabiamente [tradução livre]:
  • Se você não sabe nada, 'permit-all' é a única opção;
  • Se você sabe algo, 'default-permit' é o que você pode/deve fazer;
  • Se você sabe tudo, somente aí o 'default-deny' se torna possível.
Alguém sabe tudo? Com relação à prevenção de perda de dados sensíveis, saber tudo inclui:
  • saber quais dados são sensíveis; e
  • conhecer profundamente o ciclo de vida de todas suas informações sensíveis; e
  • controlar e monitorar o acesso, leitura e escrita destas informações durante todo o seu processamento dentro da empresa; e
  • desde a geração da informação, considerando todos sistemas que geram input para formar estas informações; e
  • também no processamento da informação em todos os sistemas internos e externos, além de workstations clientes envolvidas daí em diante; e
  • no momento de descarte desta informação, seja em forma de papel jogado fora (triture!) ou em máquinas antigas (faça wipe!) que estão sendo doadas; e
  • na guarda autorizada desta informação em todas os possíveis lugares por onde ela trafega (servidores, banco de dados, intranet, workstations, notebooks, rede, etc..); e
  • na maneira com que os colaboradores tratam estas informações (reunião com fornecedores via MSN?, Que tal disponibilizar um arquivo grande via P2P); e
  • no momento do desligamento de um colaborador, que informações críticas ele leva junto?;
  • na detectção da presença não autorizada desta informação em workstations, pen-drives, impressoras, sites externos, etc (DLP - data at rest) ; e
  • na detecção do tráfego não autorizado destas informações em redes não autorizadas ou para a internet (DLP - data in motion); e
  • monitorar toda a internet por possíveis informações da sua empresa que possam estar indevidamente disponíveis.
Como você pode perceber, a tarefa é muito difícil, virtualmente impossível se considerarmos e adversários bem preparados e devidamente motivados contra informações que trafegam em uma empresa complexa, com múltiplos fornecedores e clientes e alto grau de conectividade e de compartilhamento de informações.

Para abordar este desafio, além da tradicional abordagem de segurança em profundidade, existem três tipos de tecnologia de DLP (Data Loss Prevention/Protection):
  • Data at Rest (para identificação das informações de dados gravados - ou apagados - em HDs)
  • Data in Motion (para identificação das informações em trânsito internamente e saindo da empresa)
  • Data Classification (auxilia a classificação dos dados críticos)
As tecnologias de DLP (também chamadas de Data Leak Prevention, Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF) e Extrusion Prevention System) utilizam várias técnicas para análise de conteúdo como palavras-chave, dicionários e expressões regulares e geram relatórios ou alertas que podem se integrar a uma solução de correlacionamento de eventos (SIEM).

Para mais informações, seguem alguns links de fornecedores de soluções de DLP e similares:
Outra referência é um livro muito interessante que fala sobre sobre o assunto: Network Extrusion Detection do Richard Bejtlich.

Para uma referência de casos de vazamento de informações, um site muito interessante que mantém um histórico é o datalossdb.org.

Sunday, May 26, 2013

Atualizada - Lista de 166 blogs de Seguranca da Informação em português


post original: 08/08/2008 | último update: 26/05/2013

Acesso rápido a esta página: http://tinyurl.com/blogseg

RSS Feed pacial da lista by Zucco | Agregator parcial da lista by Alexos

166 = 116 blogs brasileiros + 11 blogs portugueses  + 21 organizações 19 portais/revistas/podcasts

I - Blogs Autorais sobre Segurança da Informação brasileiros:
  1. Sandro Süffert: http://sseguranca.blogspot.com =)
  2. Ronaldo Lima: http://www.crimesciberneticos.com
  3. Pablo Ximenes: http://ximen.es/
  4. Emerson Wendt: http://www.emersonwendt.com.br
  5. Anchises de Paula: http://anchisesbr.blogspot.com
  6. Anderson Dadario: http://dadario.com.br/
  7. Luis Sales Rabelo: http://forensics.luizrabelo.com.br
  8. Fernando Amatte: http://segurancaimporta.blogspot.com
  9. Wagner Elias: http://wagnerelias.com
  10. Alexandro Silva: http://blog.alexos.com.br
  11. Jerryson Costa: http://www.reflexaodigital.com.br/
  12. Ruy de Oliveira: http://5minseg.blogspot.com
  13. Pedro Pereira:  http://www.pedropereira.net/
  14. Fernando Fonseca: http://segurancaobjetiva.wordpress.com
  15. Higor Jorge: http://cciberneticos.blogspot.com/
  16. Luiz Vieira: http://hackproofing.blogspot.com
  17. Paulo Pagliusi: http://mpsafe.blogspot.com
  18. Rodrigo Montoro: http://spookerlabs.blogspot.com
  19. Alfredo Santos: http://www.alfredosantos.com.br/
  20. Antônio César: http://rootgen.blogs pot.com/
  21. José Mariano A Filho: http://mariano.delegadodepolicia.com
  22. Tony Rodrigues: http://forcomp.blogspot.com
  23. Moisés Cassanti: http://www.crimespelainternet.com.br
  24. Pedro Zaniolo: http://www.crimesmodernos.com.br
  25. Júnior Moraes http://unsecurity.com.br/
  26. Diego Piffaretti: http://www.mundotecnologico.net
  27. Roney Medice: http://roneymedice.com.br
  28. Raphael e Flávio: http://0xcd80.wordpress.com
  29. Marcelo Fleury: http://marcelomf.blogspot.com/
  30. Daniel Checchia: http://checchia.net
  31. João Rufino de Sales: http://jrsseg.blogspot.com
  32. Roberto Soares: http://codesec.blogspot.com
  33. Antônio César: http://rootgen.blogs pot.com/
  34. Jonatas Baldin: http://metasecurity.blogspot.com.br/
  35. Paulo Sá Elias: http://www.direitodainformatica.com.br/
  36. Gustavo Lima: http://blog.corujadeti.com.br
  37. Anderson Clayton: http://periciadigitaldf.blogspot.com
  38. Fabiano Matias: http://remote-execution.blogspot.com
  39. Marcelo Assumpção: http://www.direitobitebyte.com.br
  40. Fernando Mercês: http://www.mentebinaria.com.br/blog
  41. Antônio Feitosa: http://lncc.br/~antonio/
  42. Marcos Nascimento: http://respostaincidente.blogspot.com
  43. José Milagre: http://josemilagre.com.br/blog/
  44. João Paulo Back: http://seginfoatual.blogspot.com
  45. Daniel Santana: http://danielmenezessantana.blogspot.com/
  46. Fernando Nery: http://monitoramentocontinuo.blogspot.com/
  47. Fabrício Braz: http://softwareseguro.blogspot.com
  48. João Eriberto: http://www.eriberto.pro.br/blog
  49. Raffael Vargas: http://imasters.com.br/autor/512/raffael-vargas
  50. Edison Figueira: http://efigueira.blogspot.com
  51. Thiago Galvão: http://www.grcti.com.br
  52. Alexandre Teixeira: http://foren6.wordpress.com
  53. Fábio Dapper: http://openpci.blogspot.com
  54. Carlos Cabral: http://uberitsecurity.blogspot.com
  55. Glaysson Santos: http://rapportsec.blogspot.com
  56. Leonardo Moraes: http://maiorativo.wordpress.com
  57. Rodrigo Jorge: http://qualitek.blogspot.com
  58. Laércio Motta: http://laerciomotta.com/
  59. Rodrigo Magdalena: http://rmagdalena.wordpress.com/
  60. Rafael Correa: http://www.rafaelcorrea.com.br
  61. Lucas Ferreira: http://blog.sapao.net
  62. Fernando Carbone: http://flcarbone.blogspot.com/
  63. Clandestine: http://clandestine-ethicalforense.blogspot.com/
  64. Luiz Zanardo: http://siembrasil.blogspot.com
  65. Marcelo Rocha: http://www.cybercrimes.com.br/
  66. Thiago Bordini: http://www.bordini.net/blog/
  67. Maycon Vitali : http://blog.hacknroll.com
  68. Samukt (Samuel?): http://www.inw-seguranca.com
  69. Marcos Cabral: http://maraurcab.blogspot.com
  70. Gilberto Sudre: http://gilberto.sudre.com.br
  71. Rogério Chola: http://rchola.blogspot.com
  72. Marcelo Fleury: http://marcelomf.blogspot.com
  73. Ed Santos: http://edsecinfo.blogspot.com/
  74. Flávio Anello: http://www.sec-ip.net
  75. Ulisses Castro: http://ulissescastro.com/
  76. Anderson: http://compforense.blogspot.com/
  77. Sérgio de Souza: http://www.layer8howto.net
  78. Silas Junior: http://silasjr.com
  79. Jerônimo Zucco: http://jczucco.blogspot.com
  80. Gabriel Lima: http://www.falandodeseguranca.com
  81. Marcelo Souza: http://marcelosouza.com
  82. Felipe Tsi: http://felipetsi.blogspot.com
  83. CamargoNeves: http://camargoneves.wordpress.com
  84. Ranieri de Souza: http://blog.segr.com.br
  85. Claudio Moura: http://webcasting-today.blogspot.com
  86. Otavio Ribeiro: http://otavioribeiro.com
  87. Ricardo Pereira: http://www.ricardosecurity.com.br/
  88. Paulo Braga: http://cyberneurons.blogspot.com
  89. Luis Bittencourt: http://arquivosmaximus.blogspot.com
  90. Marcos Abadi: http://marcosabadi.blogspot.com
  91. Bruno Gonçalves: http://g0thacked.wordpress.com 
  92. Gustavo Bittencourt: http://www.gustavobittencourt.com
  93. Marcelo Martins: http://administrandoriscos.wordpress.com
  94. William Caprino: http://mrbilly.blogspot.com
  95. Kembolle Amilkar: http://www.kembolle.co.cc 
  96. Alex Loula: http://alexloula.blogspot.com
  97. Victor Santos: http://hackbusters.blogspot.com
  98. Clandestine: http://clandestine-ethicalforense.blogspot.com
  99. Fábio Sales: http://www.abrigodigital.com.br
  100. Drak: http://deadpackets.wordpress.com
  101. John Kleber: http://www.hackernews.com.br
  102. Edison Fontes: http://www.itweb.com.br/blogs/blog.asp?cod=58
  103. Dantas: http://hackereseguranca.blogspot.com/
  104. Alex Silva: http://linux4security.blogspot.com/
  105. Clebeer: http://clebeerpub.blogspot.com/
  106. Paulo Cardoso: http://paulofcardoso.wordpress.com/
  107. Marcos Aurélio: http://deigratia33.blogspot.com
  108. Andre Machado: http://oglobo.globo.com/blogs/andremachado
  109. André Pitkowski: http://andrepitkowski.wordpress.com
  110. Jacó Ramos: http://computacaoforensepiaui.blogspot.com/
  111. Felipe Martins: http://www.felipemartins.info/pt-br/
  112. Heliton Júnior: http://www.helitonjunior.com
  113. Luiz Felipe Ferreira: http://usuariomortal.wordpress.com
  114. Denny Roger: http://blog.dennyroger.com.br
  115. Ivo e Ronaldo: http://brainsniffer.blogspot.com
  116. Pedro Quintanilha: http://pedroquintanilha.blogspot.com
II - Blogs sobre Segurança da Informação em Portugal:
  1. Miguel Almeida: http://miguelalmeida.pt/blog_index.html
  2. Carlos Serrão: http://blog.carlosserrao.net/
  3. WebSegura: http://www.websegura.net
  4. Infosec Portugal: http://www.infosec.online.pt
  5. CrkPortugal: http://www.crkportugal.net
  6. Seg. Informática: http://www.seguranca-informatica.ne
  7. ISMSPT: http://ismspt.blogspot.com
  8. WebAppSec: http://webappsec.netmust.eu
  9. Hugo Ferreira: http://www.hugoferreira.com/
  10. SysValue: http://blog.sysvalue.com/
  11. PCSeguro.pt: http://www.pcseguro.pt/blog/
III - Blogs/Notícias de Empresas e Universidades:
  1. 4Sec: http://www.4secbrasil.com.br/blog
  2. Aker: http://www.aker.com.br
  3. Apura: http://www.apura.com.br
  4. CertiSign: http://www.certisign.com.br/certinews
  5. Conviso: http://www.conviso.com.br/category/blog
  6. Clavis: http://www.blog.clavis.com.br
  7. Cipher: http://www.ciphersec.com.br
  8. FlipSide: http://www.flipside-scp.com.br/blog
  9. Future: http://www.future.com.br/?cont=noticias
  10. IBliss: http://www.ibliss.com.br/category/blog/
  11. IESB: http://segurancaiesb.blogspot.com
  12. Nod32: http://esethelp.blogspot.com
  13. Microsoft BR: http://blogs.technet.com/risco
  14. Módulo: http://www.modulo.com.br/comunidade
  15. Procela: http://www.procela.com.br
  16. Qualitek: http://www.qualitek.com.br
  17. Site Blindado: http://www.siteblindado.com/blog/
  18. Techbiz Forense: http://techbizforense.blogspot.com
  19. Tempest: http://blog.tempest.com.br
  20. Tivex: http://www.tivex.com.br/blog/
  21. True Access: http://www.trueaccess.com.br/noticias

IV - Portais/Revistas/Forums/Podcasts:
  1. SegInfo: http://www.seginfo.com.br/
  2. BackTrack Brasil: http://www.backtrack.com.br/
  3. CAIS/RNP: http://www.rnp.br/cais/alertas
  4. ThreatPost BR: http://threatpost.com/pt_br
  5. PCMag Firewall: http://pcmag.uol.com.br/firewall/
  6. ComputerWorld: http://computerworld.uol.com.br/seguranca
  7. IDGNow: http://idgnow.uol.com.br/seguranca
  8. NextHop: http://blog.nexthop.com.br
  9. Linha Defensiva: http://www.linhadefensiva.org
  10. ISTF: http://www.istf.com.br
  11. InfoAux: http://infoaux-security.blogspot.com
  12. Forum Invaders: http://www.forum-invaders.com.br/
  13. RfdsLabs: http://www.rfdslabs.com.br
  14. Segurança Linux: http://segurancalinux.com
  15. Proteção de Dados: http://protecaodedados.blogspot.com
  16. Crimes na Web: http://www.crimesnaweb.com.br
  17. Segurança Digital: http://www.segurancadigital.info
  18. NaoPod PodCast: http://www.naopod.com.br
  19. StaySafe PodCast: http://www.staysafepodcast.com.br

Apêndice: o Rodrigo Spooker Monteiro fez lista de twiteiros que trabalham com S.I. e o Anchises de Paula também mantém uma bem completa. Ambas possuem vários profissionais da área de segurança da informação do Brasil.

Você conhece mais algum blog sobre segurança da informação escrito em português para incluir na lista? Por favor, faça como os outros e sugira nos comentários!

Thursday, May 23, 2013

China vs Google: Operação Aurora - Espionagem e Contraespionagem



[ Update: 23/05/2013 ]

A Operação Aurora voltou a ser notícia esta semana com a divulgação feita pelo Washington Post de que além das informações de propriedade intelectual do Google (uma dentre as várias empresas atacadas durante a campanha detalhada nos Updates abaixo), foram também acessadas informações extremamente sensíveis como um banco de dados que continha dados de vários anos acerca da vigilância telemática feita pelo Governo Americano em suspeitos de Terrorismo e Espionagem de vários países, incluindo a china.



As ordens judiciais que continham informações sobre contas do Gmail que estavam sendo monitoradas por agências de segurança e inteligência americanas foram acessadas, e este conhecimento pode ter proporcionado à Pequim uma vantagem de contraespionagem incluindo o término de operações e a mudança de modus-operandi e inclusão de informações falsas para confundir e controlar os esforços de inteligência do governo norte-americano.

Mais informações:

http://www.washingtonpost.com/world/national-security/chinese-hackers-who-breached-google-gained-access-to-sensitive-data-us-officials-say/2013/05/20/51330428-be34-11e2-89c9-3be8095fe767_story.html




[ Update: 28/11/2010 ]

Neste final de semana, foi feita a divulgação pela WikiLeaks de 250 mil documentos diplomáticos dos Estados Unidos(*), incluindo 15 mil secretos e 100 mil confidenciais (!!)

Muito material já havia sido enviado anteriormente pela WikiLeaks para diferentes jornais ao redor do mundo (The New York Times, Le Monde, Guardian e Der Spiegel).

O site do WikiLeaks sofreu um ataque de negação de serviço logo antes de publicar as informações. No caso do WikiLeaks são tantos os interessados na não divulgação dos dados que vai ser difícil atribuir a responsabilidade (mais sobre atribuição no final deste post).

Obviamente o impacto no mundo diplomático foi gigantesco. Nos primeiros momentos já foram digeridas e publicadas por vários jornais informações impactantes presentes nas comunicações diplomáticas norte-americanas que vazaram, como:
Mas o que mais nos chamou a atenção dentre todo este material são as informações bastante interessantes sobre a Operação Aurora - mais especificamente sobre a comunicação diplomática entre os Estados Unidos e a China logo após a Operação Aurora, da qual o resto deste post trata em detalhes.

Vejam este comentário do New York Times (link exige cadastro para visualização - sugiro usar omailinator ou o bugmenot =)

"A global computer hacking effort: China’s Politburo directed the intrusion into Google’s computer systems in that country, a Chinese contact told the American Embassy in Beijing in January, one cable reported. The Google hacking was part of a coordinated campaign of computer sabotage carried out by government operatives, private security experts and Internet outlaws recruited by the Chinese government. They have broken into American government computers and those of Western allies, the Dalai Lama and American businesses since 2002, cables said."

Finalmente temos a confirmação de que o governo norte-americano sabia que a alta cúpula do governo chinês estava por trás dos ataques ocorridos nas mais de 30 empresas americanas (incluindo o Google) que resultaram em vazamento de informações confidenciais e estratégicas (inclusive código fonte)..

Isto explica, inclusive, o infra-citado apoio irrestrito concedido ao Google pelo governo dos Estados Unidos, inclusive pela Agência de Segurança Nacional norte-americana (NSA).

Para mais detalhes, continue lendo abaixo..
[ Update: 07/03/2010 ]

Novidades liberadas durante a conferência RSA indicam - como era esperado - que houve possibilidade de roubo e alteração de código interno de aplicações do Google e das outras empresas (30-100) atingidas pelo ataque (via Wired).

A possibilidade era bem real baseado no que já conhecíamos, mas agora foi confirmada e temos detalhes de várias vulnerabilidades exploradas dentro da companhia, incluindo no Software Configuration Management (SCM) utilizado pelo Google (Perforce).

O paper da Mcafee não chega a ser muito marqueteiro, e sugere algumas boas contramedidas recomendadas para as vulnerabilidades exploradas. Baixe-o aqui.

Mais informações:



[ Update: 10/02/2010 ]



A HBGary - empresa especialista em Malware Analysis e Memory Forensics - acaba de lançar um relatório bastante completo incluindo dicas de deteção e remoção de variantes - utilizando técnicas fuzzy - sobre o principal malware utilizado nos ataques conhecidos como "Operação Aurora".

Vale ressaltar que desde o lançamento do boletim MS10-002 da Microsoft (e consequente publicação do módulo do metasploit framework para exploração da vulnerabilidade) - há uma crescente utilização deste vetor de ataque em outros incidentes pelo mundo.

No relatório da HBGary são fornecidas informações valiosas, incluindo um inoculation shot (nome marketeiro para vacina) para eliminar o malware e suas variantes (a taxa de ~90% de similaridade é recomendada) remotamente (via WMI / ePO / AD) em uma rede corporativa.


Além da já conhecida capacidade avançada de análise gráfica de instruções de códigos em execução - que pode ser vista acima em um parser do Command & Control do malware, existem outras as funcionalidades interessantes no principal produto da HBGary: Responder Pro 2.0.

Uma delas é a geração de um Digital DNA baseado no comportamento, idioma, algoritimos e métodos utilizados pelos desenvolvedores do malware (a partir das instruções executadas em memória). Isto pode pode facilitar o processo de atribuição de responsabilidade e separação de grupos distintos de desenvolvedores em ataques similares.

A capacidade de visualização da ferramenta se extende a outros usos, como pode ser visto abaixo, com o timeline em segundos da execução do Dropper (A), do serviço svchost.exe (B) utilizado para executar o payload do malware (C) e o .BAT que remove - a maioria - dos rastros (D):


Muitos outros detalhes podem ser verificados no excelente paper publicado pela HBGary há poucas horas.
[ Update: 03/02/2010 ]


Para os que acreditam que a Operação Aurora e a discussão sobre Cyber War "China vs US" já é assunto ultrapassado, é FUD, ou foi apenas uma manchete temporária, talvez valha a pena salientar o real impacto relacionado aos ataques e técnicas discutidas neste artigo.

Com este objetivo, fiz questão de adicionar este rápido update para ressaltar a real importância da questão em pauta. A operação Aurora e a escalada do cyber crime / cyberwar foi o primeiro e principal assunto que o chefe da inteligência americana, Dennis Cutler Blair levou ao Senado dos Estados Unidos em uma declaração preparada por todas as agências de segurança americanas - mais detalhes / video (a partir de 41m:45s) (Selected Committee on Intelligence SH-216 - "Open Hearing: Current and Projected Threats to the United States").

[ Update: 31/01/2010 ]

Em 2008, me deparei com a pergunta "Quais seriam os Procedimentos (incluindo a preparação) em alto nível para tratar um incidente de suspeita de vazamento de dados?"
Para responder de uma maneira mais completa ao problema proposto, o ideal é que a equipe de resposta a incidentes responsável possa contar com 4 tipos de soluções, listadas por ordem de importância para o caso em pauta:

I - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados ao ataque (ex: NetWitness NextGen / CA Network Forensics)

II - Uma solução de SIEM/SEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidor comprometido, ids/ips, dhcp, dns, aplicações internas, catracas de acesso, sistema de ponto, controle de acesso lógico, etc) (ex: ArcSight / ISM Intellitatics / Symantec SIM)

III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco (ex: Encase Enterprise / F-Response / AccessData Enterprise )
IV - Uma ferarmenta de monitoração de atividade de desktops (ex: SpectorCNE, WorkExaminer) [item incluído em 18/10/2009]

Tentarei exemplificar o porque do posicionamento de uma solução de Forense de Rede em primeiro lugar na lista acima, me aproveitando de dados um caso tão complexo e sério quanto a Operação Aurora.

Para facilitar este trabalho, chegou às minhas mãos um material da NetWitness descrevendo as ações que podem ser tomadas por seus usuários para verificar se foram afetados pelo ataque descrito e com informações OSINT (Open Source Intelligence) obtidas da internet:

I - criar filtros para verificar conexões entrantes e saintes a partir dos seguintes hosts:

yahooo.8866.org

sl1.homelinux.org

360.homeunix.com

li107‐40.members.linode.com

ftp2.homeunix.com

update.ourhobby.com


II - verificar conexões SSL vindas do domínio homelinux.org, utilizando o TLS parser

III - checar tráfego destinado aos endereços IP dos servidores de Comando e Controle utilizados durante o ataque:
69.164.192.40

125.76.246.220

210.202.197.225

IV - utilizar a capacidade da solução de misturar diferentes camadas em regras para detectar atividades de beaconing:

service
=
80
&&
action
=
put
&&
client
=
'lynx'


(service
=
80
&&
action
=
put
&&
tcp.dstport
=
8080)
&&
(payload
=
939
&&
extension
=
zip,rm,jpg)


(ip.src
=
125.76.246.220,210.202.197.225
||
ip.dst
=

125.76.246.220,210.202.197.225)
&&
(service
=
80
&&
action
=
put)


alias.host
=
yahooo.8866.org,
sl1.homelinux.org,
360.homeunix.com,

li107­40.members.linode.com,
ftp2.homeunix.com,update.ourhobby.com


ip.src
=
69.164.192.40,125.76.246.220,210.202.197.225
||
ip.dst
=

69.164.192.40,125.76.246.220,210.202.197.225

Para quem nunca viu a interface do Investigator da Netwitness (que tem versão free) - segue um snapshot de um dos filtros citados acima em uma rede comprometida pela Operação Aurora:


Além disto, as seguintes
 recomendações são dadas pela NetWitness:

1. Watchlist "usuarios" seguindo o seguinte critério:

a. Executivos e/ou Autoridades
b. Administradores de Sistemas com acesso privilegiado
c. Empregados que recentemente foram citados pela imprensa

2. Watchlist "extensões" contendo minimamente:

a. Executáveis (EXE, COM, BAT, 
SCR, CMD, PIF)
b. Documentos que exploram vulnerabilidades: PDF, DOC, XLS, PPT, CHM
c. Arquivos Compactados (zip,
rar,
etc)


3. Watchlist de estações, servidores e hosts relacionados aos usuários da watchlist 1.

4. Avaliar TODO tráfego por quesitos que envolvam a combinação destas entidades, procurando por variações do comportamento normal.

[ Post Original : 16/01/2010 ]


Antes de mais nada, é necessário perceber que o que foi divulgado pelo Google na última semana não chega a ser uma novidade, e nem uma tática nova utilizada pelo governo Chinês ou outros.

A mídia especializada tem feito alguns comentários sobre o anúncio de que mais de 30 (ou 100?) empresas americanas (Google, Adobe, Microsoft, Juniper, Symantec, Yahoo, Northrup Grumman, Dow Chemical, entre outras - ex: setor de energia) foram atacadas de forma coordenada e praticamente simultânea por hackers supostamente patrocinados pelo governo Chinês (Operação Aurora - FAQ).

O principal objetivo dos atacantes foi a permanência prolongada nas redes internas das empresas afetadas para obtenção de informações privilegiadas e propriedade intelectual.. A Inglaterra também divulgou que têm sido atacada pelos chineses de maneira semelhante.

A desconfiança do envolvimento do governo chinês nos ataques passou a ter contornos mais detalhados a partir da revelação de analistas de malware sobre a utilização de um algorítimo incomum de criptografia (CRC-16) em no principal trojans utilizados e sua similaridade com papers somente publicados em chinês. Hoje já se sabe - por exemplo - que os atacantes exploraram a infra-estrutura de acesso a a contas do Gmail que o Google montou especialmente para a Polícia acessar em casos de quebra de sigilo autorizado pela Justiça.

O incidente em pauta é muito útil para diferenciar ataques avançados e críticos de problemas comuns de segurança e para avaliar se as contra-medidas que possuímos estão adequadas para abordar ambos os tipos de ataques.

As análises que já foram publicadas sobre o caso incluem "erros" que foram cometidos pelos hackers - como executar o ataque de forma concomintante em múltiplas empresas e utilizar um só servidor dropbox para enviar os dados (código fonte, informações confidenciais) roubados - facilitando assim que os analistas do Google descobrissem as outras empresas atingidas.

A indústria de segurança e a opinião pública já tiveram várias diferentes reações sobre o ocorrido. O nosso objetivo é tecer alguns comentários sobre o assunto sob a luz de alguns conceitos apresentados em posts anteriores neste blog:
  • 7 (ou mais) Conceitos em Seguranca alem da Confidencialidade, Integridade e Disponibilidade
    O conceito de APT -"Advanced Persistent Threat" - se de ataques contínuos utilizando amplos recursos (muito tempo e dinheiro investidos com firme propósito/intenção), em ataques que são altamente sofisticados e claramente direcionados. Neste tipo de situação, as defesas tradicionais e genéricas são inúteis. Para mais detalhes sobre o termo APT, sugiro este link.

    Um Anti-Vírus e um IDS/IPS - por melhor que sejam - são tecnologias moribundas, baseadas em assinatura e dependentes de já conhecerem o ataque - e por isto mesmo não detectarão códigos maliciosos customizados, ainda mais com vários níveis de evasão e criptografia como foi o caso do ataque em pauta.

    Por melhor que seja um programa de gerenciamento de patches, um ataque utilizando uma vulnerabilidade 0-day como a que foi explorada nestes ataques direcionados funcionará em 100% das máquinas atacadas.

  • E quando o atacante usa uma combinação de engenharia social (email/IM) e técnicas de "Drive-By Download", nem mesmo um anexo (doc, exe, ou pdf) precisa ser utilizado. Basta que um funcionário da empresa acesse um site utilizando - no caso - um Internet Explorer (6,7,8) para que o ataque tenha sucesso. Mais detalhes sobre o exploit utilizado, aqui. (update - a Microsoft lançou uma correção para o bug - que ela já conhecia desde setembro - e outras 7 vulnerabilidades do IE - veja o boletim e baixe o patch aqui).
    Talvez você esteja pensando - então não há como escapar! E - adivinhe - você está certo. Fazendo uma comparação com crimes reais - se você está preocupado com batedores de carteira, é bom sair de casa sem muito dinheiro no bolso, poucos documentos e sem relógio, além de evitar horários e lugares perigosos. Isto equivale no mundo virtual a defesa tradicional de AV/IDS/etc.
  • Mas se há um grupo profissional de criminosos atrás especialmente de você, a única forma de reagir eficientemente a esta situação é expô-los às autoridades e torcer para que eles sejam preso. Bem vindo ao mundo das Ameaças Persistentes e Avançadas (APT). Uma boa descrição das fases normalmente encontradas em ataques avançados e persistentes pode ser encontrada aqui:
  • A melhor forma de iniciar um contra-ataque efetivo às Ameaças Persitentes e Avançadas é expor o inimigo adequadamente e assim avançar no campo de batalha - em outras esferas de contra-ataque - enquanto tentar minimizar o prejuízo em casa.

    No caso de uma empresa atacada pelo crime organizado, isto pode ser feito envolvendo a polícia e a justiça para prender os responsáveis. No caso de várias empresas de um país sendo atacadas por um outro - como é o caso da "China vs Google + 30"- o caminho é envolver oficialmente o próprio governo americano na resposta ao incidente.

    Em ambos os casos, uma resposta responsável envolve a divulgação - minimamente para as partes afetadas e idealmente para a opinião pública - do ocorrido. O próximo passo é analisar e categorizar os atacantes (mais detalhes sobre isto ao final deste post), ferramentas, vulnerabilidades, processos e erros cometidos e obviamente modificar suas defesas baseado no que você vai encontrar durante a sua resposta a incidentes / forense do ocorrido.

    A mensagem para todas as empresas e países é: não adianta se retrair e tentar abafar o ocorrido, é necessário concentrar esforços na reação adequada a este tipo avançado de incidente e revisar a postura de segurança do ponto de vista de ameaças e atacantes reais e avançados e não tentar se esconder confortavelmente atrás de checklists de itens de compliance e conformidade ou de qualquer sigla de norma da área de segurança.

  • O governo alemão já deu o primeiro passo - proibiu terminantemente o uso de Internet Explorer - iniciativa que já foi seguida pelo governo Francês. Já é um começo.. O Google anunciou que vai parar de censurar resultados na China. E o governo americano já começou a se movimentar lentamente...
  • Um outro desdobramento interessante deste evento será acompanhar como as empresas atacadas e o governo americano irão responder as respostas evasivas da China (e também contra-acusações), considerando a dificuldade de se atribuir a responsabilidade de um ataque cibernético a uma pessoa,quanto mais a um país!
  • Atribuição de responsabilidade envolve identificar a ameaça, com o máximo de detalhes do ponto de vista de seus desdobramentos (Capacidade/Intenção/Oportunidade).
  • Richard Beijtlich e Mike Cloppert sugerem 20 características para atribuição da responsabilidade (ou autoria) de ataques cibernéticos - e isto pode servir de ponto de partida para que iniciemos uma resposta a ataques persistentes e avançados (APT) em nossas organizações: 1)Timing, 2)Vítimas, 3)Origem, 4)Mecanismo de Entrada, 5)Vulnerabilidade ou Exposição, 6)Exploit ou Payload, 7)Weaponization, 8)Atividade pós-exploração, 9)Método de Comando e Controle, 10)Servidores de Comando e Controle, 11)Ferramentas, 12)Mecanismo de Persistência, 13)Método de Propagação, 14)Dados Alvo, 15)Compactação de Dados, 16)Modo de Extrafiltração, 17)Atribuição Externa, 18)Profissionalismo, 19)Variedade de Técnicas, e 20)Escopo. 

Na minha opinião, apesar de APT agora estar entrando na moda, a sigla não importa tanto. O fundamental é tentar aproveitar ao máximo deste tipo de incidente e discussão para avaliar seriamente a sua capacidade de visibilidade e estratégias de detecção e reação contra roubo de informações e espionagem industrial perpetrada seja por quem for.

有时,重要的是要怕!

Se interessou pelo assunto? Envie seus comentários!

Wednesday, May 15, 2013

Combate a malware com inteligência no endpoint - VirusTotal e CarbonBlack


A Virustotal e CarbonBlack anunciaram mais uma parceria que proporciona um avanço significativo aos analistas de segurança e às empresas que precisam lidar com cada vez mais espécimes diferentes de códigos maliciosos, diariamente.

A Virustotal - empresa espanhola adquirida pelo Google há menos de um ano - é a líder mundial em análise de malwares concomitantemente em múltiplos motores de Anti-Vírus (44 para ser exato) - e é uma ferramenta conhecida de equipes de Segurança e Resposta a Incidentes há vários anos.

O CarbonBlack é uma ferramenta revolucionária de resposta a incidentes, que permite que empresas monitorem de 100 a 100.000 máquinas com um baixo investimento em hardware (um servidor a cada 10mil máquinas, sem utilização de appliances) e utilizando apenas um pequeno sensor nas máquinas monitoradas (processos, alterações em file-system, registro, conexões de rede, etc). Eu comecei a acompanhar e testar o desenvolvimento da CarbonBlack em 2011, quando através dos livros e posts de Harlan Carvey fui convencido de sua eficiência e da importância do investimento na preparação pré-incidentes nos endpoints.

O relacionamento entre as duas empresas se iniciou através de um plugin para a ferramenta da CarbonBlack, que permite que todos os processos executados em máquinas monitoradas pela solução sejam verificados pelo VirusTotal (44 anti-vírus). Mas isto é acessível  apenas às empresas que possuem a solução CarbonBlack instalada em seus computadores.

Hoje foi anunciada uma parceria que provê dados da cadeia de execução de binários (especialmente malwares), através de uma nova seção acessível nas análises do VirusTotal, chamada "Relationships". Como o CarbonBlack controla quais foram os processos responsáveis pela criação de novos binários no sistema (ou a execução de binários já existentes), situações muito comuns como a exploração de aplicações vulneráveis (Java, Adobe Reader, Browsers, etc) e ataques com vários estágio (exemplo: dropper -> downloader -> backdoor) podem ser investigados de forma rápida e centralizada. 

Alguns outros benefícios imediatos da parceria para os clientes de ambas empresas são os seguintes:
  • Feedback em tempo real da comunidade VirusTotal  sobre novos binários executados na empresa;
  • Update em tempo real de binários suspeitos assim que as diferentes empresas de Anti-Vírus respondem às novas ameaças;
  • A capacidade de visualizar o relacionamento entre binários para se preparar ,detecar e responder a ataques envolvendo malwares (mesmo os não identificados pela principal ferramenta de AV da organização);
  • Notificação avançada de novos ataques 0day.
Mais informações:

Shameless Plug - A Apura é representante exclusiva da CarbonBlack no Brasil.

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)