[Cyber Cultura] Hackers como "Personalidade do ano"

Anualmente a revista americana Time eleje a personalidade mais marcante daquele ano. O Donald Trump acabou de ser eleito a personalidade de 2016, mas o interessante mesmo é dar uma olhada na lista final de nomeados para esse prêmio: Hillary Clinton Os Hackers Recep Tayyip Erdogan, o presidente da Turquia Os pesquisadores que criaram um tel de CRISPR, aparentemente uma técnica na medicina para

Universidade Livre na UFRJ em 16 de Dezembro de 2016

A primeira edição de retorno do projeto Universidade Livre vai acontecer na UFRJ ainda em 2016. Esta edição terá um foco especial em segurança, já que foi organizada pelos alunos do GRIS. Data 16 de Dezembro de 2016, sexta-feira a partir das 8h30. Local Anfiteatro Maria Irene Melo – NCE Centro de Ciências Matemáticas e […]

Método permite “adivinhar” dados de cartão de crédito explorando vários sites simultaneamente

credit-card-851502_640

Pesquisadores da Universidade de Newcastle (Reino Unido) apresentaram, no dia 01/12/2016, um artigo no qual detalham um novo método que torna possível “adivinhar” os dados de um cartão de crédito a partir de múltiplas consultas simultâneas a sites diferentes em questão de segundos.

O método se aproveita de duas brechas em sistemas de pagamentos. Tendo em mente que, diferentes sites pedem diferentes informações de autenticação para processar transações: alguns pedem o CVV, outros pedem a data de vencimento do cartão, entre outros. Além disso, não há um mecanismo centralizado para identificar várias tentativas simultâneas inválidas de pagamento em sites diferentes.

Usando um bot e partindo dos 6 primeiros dígitos de um cartão (que definem a bandeira, o banco e a finalidade do cartão, informações facilmente conseguidas na internet), um atacante poderia – em tese – efetuar múltiplas tentativas de pagamento até conseguir as informações completas do cartão sem despertar suspeitas.

O método foi testado contra cartões das bandeiras Visa e MasterCard e provou ser efetivo apenas contra a primeira. Isso porque a MasterCard conta com um rede centralizada, que bloqueia transações após 10 tentativas inválidas, mesmo que as solicitações partam de diferentes websites.

Para maiores informações sobre o estudo, clique aqui. E para ver um vídeo com parte do processo, clique aqui.


Brasília terá dois cursos presenciais da Academia Clavis em janeiro de 2017

computer-workstations-415138_640

Dois cursos presenciais da Academia Clavis acontecem em Brasília no mês de janeiro: Auditoria de Segurança em Aplicações Web (de 18 a 20/01) e Desenvolvimento Seguro de Software (23 a 25/01).

Auditoria de Segurança em Aplicações Web

auditoria-de-seguranca-em-aplicacoes-web-ead

Voltado para  técnicos, analistas e administradores de redes que desejam obter o conhecimento sobre técnicas, padrões internacionais e ferramental para realização de auditoria de segurança em servidores Web. O curso aborda conceitos fundamentais da área, detalhando as principais vulnerabilidades, formas de exploração e métodos de mitigação destas falhas com a apresentação de metodologias e ferramentas, assim como cenários para demonstrações práticas de ataques à aplicações web.

Desenvolvimento Seguro de Software

desenvolvimento-seguro-software

Para profissionais interessados nas questões relacionadas com a segurança em aplicações, bem como os instrumentos de análise proativa e seu uso, capacita para criação de um Security Development Lifecycle (SDL), usando metodologias de mercado, normas internacionais e ferramentas disponíveis na Internet.

Clique aqui para maiores informações sobre o curso de Auditoria de Segurança em Aplicações Web. E Clique aqui para saber mais sobre o curso de Desenvolvimento Seguro de Software.


[Carreira] Perguntas ao final de uma entrevista de emprego

Normalmente uma entrevista de emprego termina com o entrevistador fazendo a derradeira pergunta "tem algo que você gostaria de perguntar". Nessa hora, após ser sabatinado, sobreviver a tensão da entrevista e estar com os neurônios fritos, nos resta poucas energias e nenhuma inspiração para perguntar algo. eu, particularmente, raramente perguntava algo, pois geralmente eu estudo um pouco sobre a

Fraudes com cartão em compras online teve um crescimento de 20% na Black Friday em 2016

credit-card-1591492_640

Um levantamento feito pela empresa de segurança Iovation e divulgado na última sexta-feira (2) mostrou um aumento de 20% no número de fraudes envolvendo cartões de crédito em compras online durante a Black Friday e a Cyber Monday em 2016 em comparação com o mesmo período de 2015.

O aumento é atribuído pelos autores do estudo à crescente adoção de cartões com chip (padrão EMV): “a mudança de foco das fraudes envolvendo cartão – de presenciais para não-presenciais – mostra como os cibercriminosos se adaptam rapidamente (…) novas formas de autenticação serão o antídoto para conter essa nova tendência”, afirmou o CTO da Iovation, Scott Waddell.

Outra tendência identificada pelo estudo foi o aumento nas compras através dos dispositivos móveis em detrimento de laptops e computadores – 55% das transações realizadas no período partiram de smartphones e tablets contra 49% no restante de 2016 e 47% no mesmo período do ano passado.

Entre os sistemas operacionais mais usados pelos consumidores em compras online estão o iOS (40%), o Windows (31%) e o Android (15%).

Mais informações sobre o estudo estão disponíveis neste link.


[Segurança] Como vai ser a Guerra Cibernética

Um artigo curto, porém interessante, do USA Today comenta como poderia ser um cenário atual de Guerra Cibernética e suas consequências. Possivelmente, uma guerra cibernética envolverá os seguintes cenários: Blackout da Internet de um país Ciber ataque contra a capacidade de comando e controle do adversário Ciber ataques causando danos a infraestrutura crítica de um país, causando blackouts de

SegInfocast #45 – Ransomware II

SegInfocast #45 – Faça o download aqui. (39:24 min, 27,0 MB) 

Neste episódio, Paulo Sant’anna recebe novamente Geraldo Bravo, engenheiro de pre-vendas da Cyberark para continuar a conversa sobre Ransomware, assunto já abordado no SegInfocast #41 com Carolina Bozza.

O que é o Ransomware?

Geraldo explica que o ransomware, também conhecido como vírus de resgate, é uma ameaça cujo objetivo é o sequestro de dados. Ele criptografa de forma não autorizada os arquivos da vítima (sistemas, documentos, etc) exigindo um pagamento para que se tenha acesso as informações com a revelação da chave usada para decriptografar os arquivos.

Quais são as principais famílias do Ransomware?

Nosso entrevistado cita algumas famílias como a CryptoLocker, uma das mais ativas atualmente. CryptedXXX, que além de criptografar arquivos também busca por credenciais e bitcoins, aliás, a razão que permitiu que os criminosos possam cobrar resgates sem serem identificados. Também o Crisis, que tem a capacidade de criptografar arquivos de sistema. Um ponto interessante é o fato de já existirem variantes que visam outros sistemas operacionais como o Mac e Android.

Os vetores de ataque do Ransomware

Mesmo com várias tecnologias de proteção, o e-mail (phishing) ainda é a forma mais utilizada para os ataques. E são utilizados executáveis e também documentos e scripts infectados.

Quais são as medidas para frear a ação desses ataques?

A primeira medida é a prevenção através de controle de e-mail e conscientização. O segundo passo é a contenção para evitar a propagação da ameaça na rede, impedindo a comunicação com o servidor na internet, para a criação das chaves de criptografia, porém alguns ransomwares já possuem uma chave padrão. Outras ações recomendadas são o monitoramento do nível de arquivos e também o conceito de privilégio mínimo necessário, para evitar que uma infecção altere outros processos importantes no sistema.

O que podemos esperar para o futuro?

Geraldo acredita que a Internet das Coisas aumentará ainda mais as possibilidades de infecção. Já existe um ransomware chamado Flocker, que consegue infectar uma smartTV, por exemplo. Uma outra novidade é o RaaS (Ransomware-As-A-Service), onde você pode escolher a ameaça mais adequada ao seu objetivo, criando uma variante exclusiva para o comprador.

Geraldo Bravo é engenheiro de pré-vendas da Cyberark com experiência de mais de 10 anos na área de redes e segurança da informação. Atuou em outras áreas como Gestão de Projetos e Gestão de Equipes e possui diversas certificações de segurança da informação.

 


Null Byte Security Conference – 3º Edição

No dia 26 de Novembro de 2016 aconteceu a terceira edição da Null Byte Security Conference. Conferência sobre segurança em computadores realizada em Salvador, Bahia. O local escolhido pelos organizadores, a sala de arte da UFBA (Universidade Federal da Bahia), atendeu muito bem os requisitos e o evento ocorreu sem problemas. Além do local das palestras ser bem espaçoso e confortável (um cinema), ainda era possível contar com um espaço livre com cadeiras e mesas e uma lanchonete/bar. A grade pelo período da manhã sofreu algumas alterações na ordem das palestras mas após o almoço voltou ao normal. Para almoçar, a maioria das pessoas escolheram um restaurante próximo do local do evento. Tínhamos pouco tempo para almoçar e retornar, mas como o restaurante era próximo, tudo ocorreu tranquilamente e antes do horário previsto já estávamos presentes, sem precisar correr, o que me surpreendeu. As apresentações, como de costume, foram de alto nível. Comentarei rapidamente sobre as apresentações e caso você deseje saber mais detalhes, os slides estão disponíveis aqui.

Protecting sensitive data through isolation of arbitrary processes on Linux-based operating systems – Otávio Augusto

Deveria ser a terceira apresentação mas devido a mudança na grade foi a primeira a acontecer. Otávio apresentou seu trabalho de pesquisa que consiste em proteger recursos através da isolação de processos no sistema operacional Linux. Como demonstração, ele executou um exploit que explora uma falha no kernel do Linux e mostrou que mesmo após ganhar shell como usuário root, o atacante se tornaria incapaz de ler arquivos sensíveis como /etc/shadow. O projeto no momento não é open-source.

Pwning phonez – Ygor Guimarães

Ygor começou falando sobre a história de phreaking, depois entrou no ponto principal da apresentação que é sobre VOIP (Voice over IP) e o funcionamento de seus protocolos como o SIP (Session Initiation Protocol) e o RTP (Real-time Transport Protocol). Ygor também apresentou alguns ataques conhecidos. Entre os ataques, o que mais me chamou a atenção foi um chamado vishing, que tem os mesmos objetivos de um phishingmas é realizado por telefone.

Atraindo malware para o fundo do rio: O poder da mãe das águas – Fernando Mercês

Fernando falou basicamente sobre a ferramenta Yara e como ela pode ser utilizada para criar assinaturas para malwares. Uma apresentação bem legal, técnica e com vários exemplos de uso da ferramenta. A apresentação tinha como foco pesquisadores de malware e não softwares de antivirus.

Almoço

C&C Bonet Factory – Toronto Garcez

Após voltar do almoço, começamos ouvindo Toronto falar sobre IoT (Internet of things), firmware e como construir uma botnet utilizando dispositivos embarcados. O foco da apresentação foi em roteadores. Foram dadas várias dicas de como resolver os problemas encontradas no processo, como exemplo, evitar a perca do dispositivo após uma atualização mal sucedida, problemas envolvendo tamanho do firmware, compilar busybox, como esconder-se usando a rede TOR. Também apresentou alguns problemas de segurança afetando esses dispositivos como storedreflective cross-site scripting open redirect.

Anti-Anti-Forense de memória: Abortando o “Abort Factor” – Tony Rodrigues

A apresentação do Tony foi a única que não assisti. Tinha assistido todas as anteriores e as próximas duas eu gostaria muito de ver, então decidi da um tempo conversando na área livre.

Stealth post-exploitation with phpsploit – Neal Mokrane

Neal apresentou seu projeto chamado phpsploit, uma ferramenta que auxilia na parte de pós exploração envolvendo vulnerabilidades em softwares PHP. O interessante da ferramenta é que ela tem como princípio se manter stealth  no sistema, sendo assim, ela é bastante flexível. O funcionamento básico é: após ganhar acesso a um sistema através de uma aplicação PHP, inserir um backdoor  usando a ferramenta e a partir daí, usá-la na parte de pós exploração. Com o mantra, pense como um defensor, Neal escreveu a ferramenta já pensando ante-mão como evadir-se do sistema e evitar detecção.

Muito além do alert() em ataques web client side – Wagner Elias

Wagner Elias falou sobre algumas coisas que podem ser feitas durante um ataque web client side. Ele falou sobre as principais técnicas e ferramentas e como elas podem ser utilizadas durante um ataque. Foi mencionado o uso da ferramenta BeeF e alguns de seus recursos como persistência através de cache poisoning, leitura do clipboard, mapeamento de rede, tunelamento e integração com o Metasploit. O Google Tag Manager também foi mencionado como um dos possíveis vetores de ataques. No final, Wagner falou como pode se proteger dos ataques usando CSP (Content Security Policy) e outros recursos.

Estive presente nas duas edições anteriores e fico bastante feliz pelo trabalho realizado pela organização. A Bahia precisava de um evento de segurança e o pessoal da Null Byte vem fazendo um ótimo trabalho. Infelizmente, a participação do público e empresas da Bahia não é como o esperado, mas nem por isso a organização do evento se abate e mesmo assim conseguem organizar uma ótima conferência. Fotos podem ser encontradas aqui.


[Segurança] Cartilhas sobre Segurança online e práticas seguras

Aproveitando, o Instituto Coaliza mantém uma página com várias cartilhas de conscientização dispníveis para download. São 44 cartilhas produzidas por diversas entidades, englobando assuntos como dicas básicas de segurança online, práticas de segurança, ciber bullying, combate a pedofilia, direitos humanos, uso de redes sociais, compras online com segurança, etc. Vale a pena dar uma olhada.