Fontes:
www.backtrack-linux.org
www.damnvulnerablelinux.org
www.virtualbox.org
segunda-feira, 1 de novembro de 2010
Damn Vulnerable Linux
Fontes:
www.backtrack-linux.org
www.damnvulnerablelinux.org
www.virtualbox.org
segunda-feira, 13 de setembro de 2010
Vulnerabilidade do Adobe Reader Coloca Sistemas Windows em Risco
Seguindo uma tendência diagnosticada desde o ano passado, o crime organizado continua produzindo malwares que exploram vulnerabilidades de plugins, em especial o Adobe Reader. Mais uma vez, a máxima "uma corrente é tão forte quanto seu elo mais fraco" mostra-se atual e apresenta os usuários como esse elo fraco.
Aparentemente, os mesmos criminosos que criaram o Cavalo de Tróia Hydra, responsáveis pela invasão da Google e dezenas de outras empresas no início do ano, atacam mais uma vez, explorando uma nova vulnerabilidade do Adobe Reader (vulnerabilidade zero-day, pois até o momento nenhuma correção foi publicada). De acordo com a Symantec, vários e-mails com arquivos PDFs maliciosos foram identificados, com origem na mesma rede da China que é apontada como origem do Hydra.
O ataque utiliza uma técnica chamada Programação Orientada a Retorno (Return-oriented Programming) para burlar o mecanismo de prevenção de execução de dados do Windows, que tem como objetivo evitar a execução de código na pilha e na heap, e executar instruções maliciosas através do biblioteca icucnv36.dll.
Após a exploração com sucesso, o malware obtém uma biblioteca que realiza downloads de outros códigos maliciosos. Além disso, o PDF possui um certificado digital assinado por um certificado roubado de uma Autoridade Certificadora, para tentar enganar o usuário a respeito da autenticidade do arquivo.
Enquanto a correção não é publicada pela Adobe, resta aos usuários manter os antivírus atualizados e/ou utilizar um leitor de PDFs diferentes.
O ataque é muito sofisticado. A técnica de programação orientada a retorno foi apresentada na conferência Black Hat de 2008, e mostra a determinação dos criminosos em burlar os mecanismos de proteção existentes.
Fontes:
http://www.theregister.co.uk/2010/09/13/adobe_attacker_fingerprints/
http://www.symantec.com/connect/blogs/hydraq-aurora-attackers-back
http://www.symantec.com/security_response/writeup.jsp?docid=2010-011114-1830-99
http://cseweb.ucsd.edu/~hovav/talks/blackhat08.html
Aparentemente, os mesmos criminosos que criaram o Cavalo de Tróia Hydra, responsáveis pela invasão da Google e dezenas de outras empresas no início do ano, atacam mais uma vez, explorando uma nova vulnerabilidade do Adobe Reader (vulnerabilidade zero-day, pois até o momento nenhuma correção foi publicada). De acordo com a Symantec, vários e-mails com arquivos PDFs maliciosos foram identificados, com origem na mesma rede da China que é apontada como origem do Hydra.
O ataque utiliza uma técnica chamada Programação Orientada a Retorno (Return-oriented Programming) para burlar o mecanismo de prevenção de execução de dados do Windows, que tem como objetivo evitar a execução de código na pilha e na heap, e executar instruções maliciosas através do biblioteca icucnv36.dll.
Após a exploração com sucesso, o malware obtém uma biblioteca que realiza downloads de outros códigos maliciosos. Além disso, o PDF possui um certificado digital assinado por um certificado roubado de uma Autoridade Certificadora, para tentar enganar o usuário a respeito da autenticidade do arquivo.
Enquanto a correção não é publicada pela Adobe, resta aos usuários manter os antivírus atualizados e/ou utilizar um leitor de PDFs diferentes.
O ataque é muito sofisticado. A técnica de programação orientada a retorno foi apresentada na conferência Black Hat de 2008, e mostra a determinação dos criminosos em burlar os mecanismos de proteção existentes.
Fontes:
http://www.theregister.co.uk/2010/09/13/adobe_attacker_fingerprints/
http://www.symantec.com/connect/blogs/hydraq-aurora-attackers-back
http://www.symantec.com/security_response/writeup.jsp?docid=2010-011114-1830-99
http://cseweb.ucsd.edu/~hovav/talks/blackhat08.html
terça-feira, 24 de agosto de 2010
Novo Malware que Afeta Linux
Já participei de muitas discussões onde os defensores do Linux alegam que uma de suas vantagens é não ser afetado por Malwares. Isso não é verdade. Também sou defensor do Linux, há mais de 10 anos que só utilizo o concorrente proprietário como video-game, mas não pelo fato que o Linux é invulnerável. Minha escolha se deu por outros fatores, mas, como o tema deste blog é segurança, não vou defender estes motivos, mas alertar para a existência de malwares que podem afetar sistemas Linux/Unix.
Essa idéia que o Linux não precisa de antivírus vai muito além de programadores fanáticos ou rebeldes, também existe no mundo corporativo. Consigo lembrar rapidamente de ao menos 3 corporações de grande porte que apresentam a economia em não utilizar antivírus como uma das razões em ter adotado o Linux.
Costumo defender que o nome antivírus não representa a verdadeira natureza dese tipo de mecanismo de segurança, talvez antimalware seja mais adequado. Afinal, vírus são apenas um tipo de praga virtual, dentre várias.
Uma rápida busca por "malwares linux" no oráculo mostra como o assunto gera discussão, e apresenta várias notícias sobre malwares para Linux.
A notícia mais recente foi postada no SANS e citada no blog da Sophos.
Um novo Bot para Linux foi reportado, baseado em Perl, e capaz de infectar máquinas Linux e Unix.
O Bot possui exploits para aplicações PHP (RFI - Remote File Inclusion) e para um gerenciador de conteúdo e107.org, também em PHP. Entretanto, também foi encontrado em máquinas que não possuíam o PHP instalado.
A Sophos já possui a assinatura para detectar esse malware, e a comunidade Emerging Threats disponibilizou uma assinatura para o Snort que detecta a comunicação do BOT com o servidor gerente.
Fontes:
http://isc.sans.edu/diary.html?storyid=9430
http://www.sophos.com/blogs/sophoslabs/?p=10772
Essa idéia que o Linux não precisa de antivírus vai muito além de programadores fanáticos ou rebeldes, também existe no mundo corporativo. Consigo lembrar rapidamente de ao menos 3 corporações de grande porte que apresentam a economia em não utilizar antivírus como uma das razões em ter adotado o Linux.
Costumo defender que o nome antivírus não representa a verdadeira natureza dese tipo de mecanismo de segurança, talvez antimalware seja mais adequado. Afinal, vírus são apenas um tipo de praga virtual, dentre várias.
Uma rápida busca por "malwares linux" no oráculo mostra como o assunto gera discussão, e apresenta várias notícias sobre malwares para Linux.
A notícia mais recente foi postada no SANS e citada no blog da Sophos.
Um novo Bot para Linux foi reportado, baseado em Perl, e capaz de infectar máquinas Linux e Unix.
O Bot possui exploits para aplicações PHP (RFI - Remote File Inclusion) e para um gerenciador de conteúdo e107.org, também em PHP. Entretanto, também foi encontrado em máquinas que não possuíam o PHP instalado.
A Sophos já possui a assinatura para detectar esse malware, e a comunidade Emerging Threats disponibilizou uma assinatura para o Snort que detecta a comunicação do BOT com o servidor gerente.
Fontes:
http://isc.sans.edu/diary.html?storyid=9430
http://www.sophos.com/blogs/sophoslabs/?p=10772
quinta-feira, 18 de março de 2010
Facebook alerta para email falso
Está circulando um email falso, que alega ser do Facebook e pede para abrir um anexo e receber uma nova senha. O Facebook alerta que não envia novas senhas através de email ou arquivos anexados. O anexo instala um Cavalo de Tróia para roubar senhas.
Este tipo de ataque é chamado de phishing.
A McAfee publicou em seu Blog mais informações sobre o novo phishing. Segue um exemplo do email malicioso:
Um mapa com o panorama da infecção também foi disponibilizado:
O Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Pesquisa - CAIS/RNP, publica um catálogo de fraudes que circulam na Internet e foram identificadas em incidentes reportados ao CAIS.
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil - Cert.br, através da Cartilha de Segurança, alerta que:
http://www.facebook.com/security?v=feed&story_fbid=372119944102#!/security?v=wall
http://siblog.mcafee.com/consumer/consumer-threat-alerts/facebook-password-reset-scam-threatens-computers-worldwide/
http://www.theregister.co.uk/2010/03/18/facebook_password_reset/
http://cartilha.cert.br/
http://www.rnp.br/cais
Este tipo de ataque é chamado de phishing.
A McAfee publicou em seu Blog mais informações sobre o novo phishing. Segue um exemplo do email malicioso:
Um mapa com o panorama da infecção também foi disponibilizado:
O Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Pesquisa - CAIS/RNP, publica um catálogo de fraudes que circulam na Internet e foram identificadas em incidentes reportados ao CAIS.O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil - Cert.br, através da Cartilha de Segurança, alerta que:
- no caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como parâmetro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos fraudadores;
- se você ainda tiver alguma dúvida e acreditar que a mensagem pode ser verdadeira, entre em contato com a instituição para certificar-se sobre o caso, antes de enviar qualquer dado, principalmente informações sensíveis, como senhas e números de cartões de crédito.
http://www.facebook.com/security?v=feed&story_fbid=372119944102#!/security?v=wall
http://siblog.mcafee.com/consumer/consumer-threat-alerts/facebook-password-reset-scam-threatens-computers-worldwide/
http://www.theregister.co.uk/2010/03/18/facebook_password_reset/
http://cartilha.cert.br/
http://www.rnp.br/cais
terça-feira, 16 de março de 2010
Google ameaça finalizar operações na China
Desde os ataques sofridos no final do ano passado, que resultaram em roubo de conteúdo de diversas contas de e-mail pertencentes a ativistas pelos direitos humanos na China, e outras 20 grandes companhias, a Google iniciou uma discussão com o Governo Chinês a respeito da censura imposta pela legislação chinesa, nas consultas realizadas em sites de busca. Aparentemente, a negociação não está fluindo bem e a Google ameaça finalizar suas operações na China.
Google e Adobe anunciaram que sofreram ataques coordenados, com origem na China, em janeiro de 2010. Durante a investigação do incidente, a Google anunciou que diversas contas de advogados europeus, americanos e chineses, que prestam serviços a organizações que atuam em prol dos direitos humanos na China, estavam sendo constantemente acessadas por terceiros, através de ataques de phishing scams ou malwares instalados nas máquinas de usuários. Além disso, as fontes dos ataques foram identificadas como escolas chinesas com forte ligação com o Governo chinês.
Em 2007, o MI5 - serviço secreto inglês, publicou um relatório alertando para a ameaça de ataques propagados por hackers chineses.
Fonte: http://www.theregister.co.uk/2010/03/14/google_almost_sure_on_china_search_closure/
Google e Adobe anunciaram que sofreram ataques coordenados, com origem na China, em janeiro de 2010. Durante a investigação do incidente, a Google anunciou que diversas contas de advogados europeus, americanos e chineses, que prestam serviços a organizações que atuam em prol dos direitos humanos na China, estavam sendo constantemente acessadas por terceiros, através de ataques de phishing scams ou malwares instalados nas máquinas de usuários. Além disso, as fontes dos ataques foram identificadas como escolas chinesas com forte ligação com o Governo chinês.
Em 2007, o MI5 - serviço secreto inglês, publicou um relatório alertando para a ameaça de ataques propagados por hackers chineses.
Fonte: http://www.theregister.co.uk/2010/03/14/google_almost_sure_on_china_search_closure/
sábado, 13 de março de 2010
Nova vulnerabilizade zero-day do Internet Explorer
Na terça 09/03/2010, a Microsoft publicou uma nova vulnerabilidade do Internet Explorer, que permite a execução de comandos , por um atacante remoto. A vulnerabilidade, considerada uma vulnerabilidade zero-day, pois ainda não possui correção publicada, não afeta a versão 8 do navegador, apenas versões anteriores.
Fonte: http://www.microsoft.com/technet/security/advisory/981374.mspx
Fonte: http://www.microsoft.com/technet/security/advisory/981374.mspx
quinta-feira, 11 de março de 2010
Carregador de Baterias USB da Energizer permite acesso remoto não autorizado
Energizer DUO é um carregador USB de Baterias. Uma aplicação opcional, para a plataforma Windows, permite ao usuário verificar o estado de carga da bateria. O instalador do aplicativo instala uma biblioteca chamada Arucer.dll que, ao ser carregada no login do usuário, permite conexões remotas na porta TCP 777, caracterizando uma backdoor.
Um atacante pode controlar remotamente o sistema infectado, listar diretórios, enviar e receber arquivos e executar programas, usando as permissões do usuário logado no sistema.
A vulnerabilidade foi divulgada dia 05/03/2010, pelo CERT/CC, e ainda não foram publicadas as correções. Uma solução paliativa é remover o arquivo Arucer.dll e reiniciar o computador. A Energizer publicou o anúncio da vulnerabilidade dia 08/03/2010.
O fato remete a 2005, quando a Sony distribuiu um rootkit através de seus CDs.
Fonte:
http://www.kb.cert.org/vuls/id/154421
Um atacante pode controlar remotamente o sistema infectado, listar diretórios, enviar e receber arquivos e executar programas, usando as permissões do usuário logado no sistema.
A vulnerabilidade foi divulgada dia 05/03/2010, pelo CERT/CC, e ainda não foram publicadas as correções. Uma solução paliativa é remover o arquivo Arucer.dll e reiniciar o computador. A Energizer publicou o anúncio da vulnerabilidade dia 08/03/2010.
O fato remete a 2005, quando a Sony distribuiu um rootkit através de seus CDs.
Fonte:
http://www.kb.cert.org/vuls/id/154421
terça-feira, 9 de março de 2010
Relatório da IBM apresenta perfil de ameaças
A equipe X-Force da IBM, publicou o Relatório sobre Ameaças e Riscos referentes a 2009, que é produzido duas vezes ao ano e fornece estatísticas sobre ameaças que afetam a segurança da Internet, incluindo vulnerabilidades de software, malware, spam, phishing, ameaças baseadas em web e atividade cyber criminosa em geral.
Destaque para o crescimento de vulnerabilidades em aplicações web, que chegaram a 49% do total de vulnerabilidades descobertas. De 1998 a 2009 o crescimento de vulnerabilidades em aplicações web cresceu exponencialmente, o que se reflete no aumento de ataques, e trojans que se propagam através de aplicações web 2.0, como o twitter e o orkut.
Além disso o relatório mostrou que sites com conteúdo pornográfico são os campeões em propagar malwares, na categoria com mais de 10
links maliciosos por site. Na categoria com ao menos 1 link malicioso por site, foram campeões as páginas pessoais e sites de blogs e comunidades.
Fonte:
http://www-935.ibm.com/services/us/iss/xforce/trendreports/
segunda-feira, 8 de março de 2010
Pesquisadores alegam ter quebrado a autenticação RSA
Pesquisadores da Universidade de Michigan, publicaram um artigo onde apresentam uma técnica capaz de recuperar a chave privada, utilizada no algoritmo RSA, em uma comunicação criptografada, através da alteração de voltagem do dispositivo. Em ambiente de laboratório foi possível recuperar uma chave de 1024 bits em 100 horas, ao aplicar a técnica em uma máquina Sparc, com sistema operacional Linux e a biblioteca livre OpenSSL.
Fonte:
http://securitywatch.eweek.com/vulnerability_research/researchers_claim_rsa_authentication_crack.html?kc=rss&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+RSS%2Fsecurity_watch+(eWEEK+Security+Watch+Blog)&utm_content=Google+Feedfetcher
Fonte:
http://securitywatch.eweek.com/vulnerability_research/researchers_claim_rsa_authentication_crack.html?kc=rss&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+RSS%2Fsecurity_watch+(eWEEK+Security+Watch+Blog)&utm_content=Google+Feedfetcher
sexta-feira, 5 de março de 2010
Botnet Mariposa, com 13 milhões de endereços IP, é desativada
Polícia Espanhola, com a ajuda de um grupo de voluntários formado por especialistas de várias empresas de segurança, desativou uma botnet com 13 milhões de máquinas zumbis. A botnet, chamada de Mariposa pelos pesquisadores, era utilizada para roubar dados bancários e lançar ataques de negação de serviço distribuídos.
Fonte:
http://news.techworld.com/security/3214049/spanish-police-shut-down-worlds-largest-botnet/?olo=rss
Fonte:
http://news.techworld.com/security/3214049/spanish-police-shut-down-worlds-largest-botnet/?olo=rss
Assinar:
Postagens (Atom)