Segurança Importa ? - Who Cares ?

Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

terça-feira, 26 de agosto de 2014

Who will gonna call !!!

Novidade para ninguem que alguns formatos de arquivos e alguns "interpretadores" são mais "pemissivos" que outros. Porem quando suas ferramentas falham...  a qual recorrer ?

Ja vou exeplicar ...

Veja o seguinte teste ...

Crie um arquivo texto com qualquer texto.
pegue um arquivo zip ( qualquer arquivo )

No linux faça .. cat w1.zip >> texto.txt
No Windows ..  type w1.zip >> texto.txt

O arquivo Zip será adicionado ao fim do arquivo texto.
Temos assim um arquivo de texto seguido de um arquivo ZIP.

Agora vamos testar o arquivo ...

root@siftworkstation:/tmp$ file texto.txt
a: data

root@siftworkstation:/tmp$ exiftool texto.txt
ExifTool Version Number         : 9.60
File Name                       : texto.txt
Directory                       : .
File Size                       : 3.7 MB
File Modification Date/Time     : 2014:08:26 12:21:42+00:00
File Access Date/Time           : 2014:08:26 12:21:58+00:00
File Inode Change Date/Time     : 2014:08:26 12:21:42+00:00
File Permissions                : rw-r--r--
Error                           : Unknown file type

root@siftworkstation:/tmp$ ./trid texto.txt

TrID/32 - File Identifier v2.11 - (C) 2003-11 By M.Pontello
Definitions found:  5368
Analyzing...

Collecting data from file: texto.txt
       Unknown!

(http://mark0.net/soft-trid-e.html)

Porem se voce tentar descompactar esse arquivo ...

root@siftworkstation:/tmp# unzip texto.txt
Archive:  texto.txt
warning [texto.txt]:  98 extra bytes at beginning or within zipfile
  (attempting to process anyway)
  inflating: licence.txt            
  inflating: readme.txt            
  inflating: Arquivo.com            
  inflating: Arquivo.exe    

O ZIP foi capaz de reconhecer que existia alguma coisa estranha no começo do arquivo e desconpacta-lo sem problemas.

Com PDF a situação é identica. Dependendo da "tag" adicionada ao começo do arquivo, as ferramentas acima não conseguem identificar o tipo correto e tudo falha.

Nesse caso 3 ferramentas que poderiam identificar os arquivos falharam...

Minha pergunta: Onde estamos falhando ? Estamos vendo só o obvio e esquecendo do resto ?

Alguem conhece alguma outra ferramenta de "deep inspection"  de tipo de arquivo ?




quarta-feira, 11 de junho de 2014

O SlideShare só pode estar de brincadeira.

Tentei fazer o download de uma apresentação do SlideShare hoje. Como procedimento normal ele pediu para eu logar no ambiente e disse que eu poderia utilizar minha conta do Linkedin.

Qual foi minha surpresa, quando percebi que se eu continuasse, o SideShare teria permissão para  EDITAR meu peril.


Na realidade não sei se a culpa é do Linekdin que não tem possibilidades mais restritivas duvido que seja tudo ou nada.

Sendo assim vou criar uma conta no SlideShare, assim se eles quiserem acessar meu perfil, fica mais facil.

Mais uma vez, prestem atenção, são detalhes como esse que nos levam a problemas mais sérios.
Se voce permitiu, cuidado ... foi voce quem deixou .
E isso vale para APPs de celular tambem .

Segurança Importa ? Se não, manda seu usuário e senha para eu editar seu perfil.

Abraços

segunda-feira, 9 de junho de 2014

Phishing para Roubo de Identidades

Nos ultimos tempos, um assunto que veio a pauta foi o Roubo de identidades.

Recebi hoje um email  de um chines (nada contra), com o titulo "Equipe Atualização Webmail Virus"


O interessante desse email é que ele não fala de qual Webmail estamos falando ou exatamente qual conta de email.
Clicando no Link indicado ( não recomendo que façam isso da maneira como eu faço ), fui redirecionado para uma outra pagina pedido para eu confirmar meus dados. ..



Conforme mostrado na pagina acima, estão solicitando seu nome completo, seu endereço de email,  seu nome de usuário, a senha e a data de seu aniversário.

Vamos avaliar com calma...
O texto em portugues esta MUITO mal escrito, não seguindo nem as novas regras ortograficas, nem as regras de tradução do Google, nem regra nenhuma. Temos algumas palavras jogadas que fazem sentido, só isso.
Porque alguem solicitaria todos os seus dados...
Sim isso é um indicativo de Phishing ..
Assim como outros golpes do mesmo tipo, esse email utiliza tecnicas de engenharia social, fazendo voce acreditar que alguma coisa horrivel aconteceu, e que vc tem que tomar alguma providencia.

Infelizmente acredito que muita gente vai ficar preocuada e preencher o formulário.

O que eu queria mostrar, é que segurança nem sempre necessita ser "nebulosa" se voce prestar um pouco de atenção vai conseguir notar e evitar muitas fraudes.
Se o caso for real, ou realmente urgente, voce receberá um sinal de fumaça, um telefonema, um telegrama, .

Agora eu queria saber onde esse chines vai usar meus dados ..
Talvez tentando entrar em redes sociais, talvez "só"  enviando Spam pela minha conta. ....
Quem sabe.

Abraços

quarta-feira, 18 de setembro de 2013

Recuperaçao de arquivos apagados no Linux


Somente quem ja passou por isso sabe como é.
De um momento para o outro seus dados sumiram.
Recuperação de arquivos em Linux ( ext2, ext3, ext4, etc ) sempre foi tarefa dificil.

Passei por um situação onde, durante uma migração de servidores, um amigo meu  inverteu os parametros de origem e destino e .... copiou o HD limpo para o HD com os dados.
O processo foi parado alguns segundos após o início, porem o desastre já tinha ocorrido.

Levei para a empresa o kit basico com HD limpo, bloqueador de escritas e o bom BackTrack.
Pensavamos como fazer a recuperação. Necessitavamos de uns 80 GB de dados. Tinhamos alguns arquivos antigos para verificar a estrutura, porem alguns arquivos eram grandes, com mais de 2 GB de tamanho e acabando com varios zeros, o que dificultava o uso de ferramentas de carvin, como o foremost e o scalpel.

Após alguns buscas apareceu o software que parecia ser a solução . Extundelete ( http://sourceforge.net/projects/extundelete/ )

Efetuamos um teste e o Extundelete foi capaz de recuperar diretórios completos e nomes de arquivos.
Colocamos ele para fazer a recuperação e o mesmo recuperou 90% do que necessitavamos.

O programa é leve e faz o que se propõe. (A ferramenta é MAGICA, e funciona !!!!)

Alguns arquivos muito grandes, por algum motivo desconhecido, não foram recuperados corretamente.
Durante a recuperação, o arquivo apagado aparecia, crescendo de tamanho (sendo recuperado), porem quando a recuperação acabava o mesmo estava com 10% do tamanho original esperado.  ( não se pode ganhar todas)
Teve tambem alguns arquivos que não foram recuperados. :-/

Gostariamos de agradecer o desenvolvedor, mas sentimos falta de uma coisa ...  um link para fazer uma doação .

Se voce trabalha com Linux/ Unix e para voce Segurança Importa, tenha a mão Extundelete.
Até a proxima.

sábado, 27 de abril de 2013

Recuperação de Dados - 1


Um dos assuntos que eu mais gosto em analise forense é o relacionado a recuperação de informações.
Quando conseguimos mante-las, e quando as perdemos ?
Proposital ou não, algumas vezes perdemos informações.

Nesse post não darei muitos detalhes técnicos, somente relatar um fato.

Trabalhei durante 3 anos com um notebook, e no começo desse ano (2013), recebi um novo.
Providenciei a cópia dos arquivos e continuei utilizando os dois equipamentos em paralelo.
Depois de 2 meses achei que já estava na hora de dar um novo fim a meu equipamento antigo, uma maquina  com 3 partições de disco e com Windows 7 instalado.
Instalei o Linux - BackTrack 5r3 . Durante a instalação solicitei que as antigas partições fossem removidas. Instalação padrão.  Assim, partições antigas foram removidas, partições novas criadas.
Relembrando :  Antes:  um sistema de arquivos NTFS que foi apagado. Depois: Um sistema EXT4 foi criado.

Um mês depois, usando o Linux na maquina antiga, lembrei que esqueci de copiar meus arquivos relacionados ao imposto de renda.
Uma coisa que pode ser considerada normal, visto que não existem padrões para onde os programas vão gravas suas informações e cada programa usa seu próprio padrão. Nem tudo esta no "Meus Documentos" .


Usando as ferramentas do próprio Linux BackTrack, (sleuthkit e autopsy - www.sleuthkit.org/)  iniciei uma busca no HD (como linux) pelo meu CPF ( que só havia sido utilizado em meu computador quando eu utilizava Windows ). Para deixar bem claro, eu não procurei arquivos. Fui procurar dados no disco.

Encontrei e consegui recuperar minha declaração completa.
Esse processo como todo é trabalhoso.

Agora.

Não acreditem em tudo que leem.


A mensagem acima pode não ser totalmente verdadeira.


Se voce escolheu a opção de "Quick Format"  = " Formatação Rápida" , a mensagem diz.
" Vou remover o índice de seu dicionario", quer dizer, as informações / dados, continuam la, porem  difícil de serem encontrados.
Se a voce não escolheu Formatação rápida, seus dados serão apagados.

Se voces prestaram atenção, eu mostrei um fato que aconteceu do Windows para o Linux
E agora Windows para Windows.

Quero dizer que esse " problema" não esta relacionado a um sistema operacional em especifico.

Apagar um disco leva tempo, e a maioria das pessoas, quer as coisas funcionando rápido.
Formatar um disco grande, ( tipo 1.5 Tera ) da forma lenta, pode demorar varias horas.

Fica a dica.

Quem se importa com segurança tem sempre um Backup. ( eu achei o meu algumas horas depois de ter recuperado os dados direto do disco )

Abraços


quinta-feira, 28 de fevereiro de 2013

Tratando Volume 01


O mundo é sempre colorido, quando tudo funciona bem. Porem o que fazer quando necessitamos fazer uma determinada tarefa e as coisas não funcionam como esperado .

Necessitei fazer uma coisa bem simples, um BACKUP, para falar a verdade, uma simples copia de arquivos .
O problema, eu necessitava fazer o backup, não de um, não de uma dezena, nem uma centena de arquivos.
Eu necessitava fazer o BaCkup de mais de 2 milhões de arquivos. Esse arquivos estão em 16 diretórios, bem estruturados.
Tudo deveria ser simples, porem as ferramentas começam a falhar quando falamos de coisas de quantidades grandes. Cada diretório desses tem aproximadamente 250 mil arquivos ( é .. a conta chega a 4 milhões )

Para essa tarefa eu ja havia utilizado o RSYNC do linux com grande sucesso, porem desta vez alguma coisa deu errado. Havia um (ou mais) arquivos com erro de leitura.
Fui descobrir depois de longas horas que o RSYNC não trata esse tipo de erro, simplesmente indica o erro e para. (Li o MAN, procurei no Google e nada, se alguem souber o parametro magico, favor me informar)

Ai não teve jeito... eu tinha que resolver meu problema. Mais uma vez tive que improvisar.

Situação:
2 drives removiveis, um do tipo NAS e outro USB

Juro que tentei fazer pelo Windows, porem o Windows desistiu durante a contagem de arquivos e tempo. Talvez o powershell resolva isso, mas ... A melhor ferramenta é sempre aquela que voce sabe usar, assim...

O que eu necessito :
1. copiar arquivos de um lado para o outro
2. descobrir quais são os arquivos a serem copiados
2.1 arquivos em vários diretório
3. não copiar arquivos que ja existem no diretório/drive destino.

Solução A:
1. Listar arquivos: comando FIND do linux
2. copiar arquivos: comando CP do linux

Se fosse só isso poderiamos resolver o problema com  FIND, AWK e CP
Porem eu queria evitar copias desnecessárias.

Solução P:
Resolvi fazer um pequeno programa em PERL para resolver meu problema

01- #!/usr/bin/perl
02- 
03- $origen = $ARGV[0];
04- $destino = $ARGV[1];
05- 
06- $exec = `find $origen -type f`;
07- 
08- @files = split(/\n/,$exec);
09- 
10- foreach $file (@files) {
11-         $dfile = $destino."/".$file;
12-         if (-e $dfile){
13-                 print "$file EXISTE em $dfile\n";
14-                 next;
15-         }else{
16-                 print "Copiando : $file   para  $dfile\n";
17-                 $exec = `cp $file $dfile`;
18-         }
19- }

O programa é simples, recebo 2 parametros, origem e destino ( linhas 03 e 04 )
Mando o PERL executar o comando find do Linux ( linha 06 )
Coloco o resultado (arquivos encontrados) em um Vetor ( linha 08)
Listo o vetor (10)
Monto a linha onde deverá estar o arquivo destino (11)
Agora...  linha 12 . Essa linha testa se o arquivo existe.
Agora ficou facil. Se existir, pula para o Proximo (14)
Se não copie o arquivo origem para o lugar onde eu quero ele (17)


root@WingChun:/mnt3/var/base/d# /mnt3/var/scripts/psync.pl . /mnt2/var/base/d/


Copiando : ./df/dff/dff6af87ee2e15b3745b3e67592e79962f13f1a0   para  /mnt2/var/base/d//./df/dff/dff6af87ee2e15b3745b3e67592e79962f13f1a0

Copiando : ./df/dff/dff6b06d6eec0d5d1db0e89bcc1d1f7f462acecf   para  /mnt2/var/base/d//./df/dff/dff6b06d6eec0d5d1db0e89bcc1d1f7f462acecf
Copiando : ./df/dff/dff6b38b80dcf68e6aa0d9e3cd41f6e7af207938   para  /mnt2/var/base/d//./df/dff/dff6b38b80dcf68e6aa0d9e3cd41f6e7af207938

Não tomei nenhum cuidado de programação segura, assim não venham me criticar.

E voces? ainda acham que Segurança Importa ?

Abraços

segunda-feira, 29 de outubro de 2012

Em Gana quem ?

A sorte vem me preseguindo nos ultimos tempos e decidi compartilhar algumas coisas com voces.

Recebi duas mensagens em especial...

  1. Sr. Benjamin Aburi, um banqueiro em Gana que me oferece 45% de 7.5 milhões de Dólares.
  2. Ganhei no sorteio, 40 mil Dólares

Essas mensagens são dois golpes, nada novos, que ja foram documentados, estudados e respondidos.
Se voce responde a mensagem, em algum momentos será informado que existem  "despesas burocráticas" e que voce deve enviar dinheiro para algum lugar. Mesmo assim se voce enviar R$ 1 mil parar receber Us$ 40 mil ainda é bem interessante. ( não vou nem comentar o outro caso ).
Mas tudo isso não passa de um golpe ( dois ).

Muito interessante verificar que esses dois emails passaram pelos filtros de spam do Google.
O segundo email, para evitar analise de texto, enviar uma figura com o texto.

Vale a pena gastar 1 minuto lendo a primeira mensagem e perceber que não usamos em nosso dia a dia algumas construções gramaticias utilizadas, para um pais de língua inglesa, o Sr Aburi, escreve portugues muito bem.

Uma pergunta que sempre alguem faz ... Esse golpe funciona ?
 SIM funciona, pois eles atacam o elemento humano. Esse golpe vai direto na ganancia humana.
Existe uma frase em ingles que deixa bem claro esse tipo de situação .. " There's no free lunch" .
"Não existe almoço de graça ". Assim antes de responder a esse tipo de email, ou antes de clicar em algum outra do mesmo tipo, pense nisso.

As mensagens estão transcritas abaixo, para quem desejar analisar ou responder .
Como nenhum deles me começe, voces podem dar sequencia nas negociações e concientemente ver até onde isso tudo vai chegar. Se receber alguma grana, não esqueçam do imposto de renda.

Segurança Importa ?

Abraços

Delivered-To: xxxxxx@gmail.com
Received: by 10.58.196.240 with SMTP id ip16csp601086vec;
        Tue, 9 Oct 2012 08:35:22 -0700 (PDT)
Received: by 10.50.149.131 with SMTP id ua3mr1794884igb.46.1349796922059;
        Tue, 09 Oct 2012 08:35:22 -0700 (PDT)
Return-Path: 
Received: from 10ibl20ser04.datacenter.cha.cantv.net (10ibl20ser04.datacenter.cha.cantv.net. [200.11.173.11])
        by mx.google.com with ESMTPS id bc8si26669575icb.29.2012.10.09.08.35.18
        (version=TLSv1/SSLv3 cipher=OTHER);
        Tue, 09 Oct 2012 08:35:22 -0700 (PDT)
Received-SPF: pass (google.com: domain of benjamin.ampomah1@cantv.net designates 200.11.173.11 as permitted sender) client-ip=200.11.173.11;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of benjamin.ampomah1@cantv.net designates 200.11.173.11 as permitted sender) smtp.mail=benjamin.ampomah1@cantv.net
X-Virus-Scanned: amavisd-new at cantv.net
Received: from webmail-05.datacenter.cha.cantv.net (webmail-05.datacenter.cha.cantv.net [200.11.153.88])
 (authenticated bits=0)
 by 10ibl20ser04.datacenter.cha.cantv.net (8.14.3/8.14.3/3.0) with ESMTP id q99FXhCq001733;
 Tue, 9 Oct 2012 11:03:43 -0430
X-Matched-Lists: []
Received: from 197.251.192.15 ([197.251.192.15]) by webmail-05.datacenter.cha.cantv.net (Cantv Webmail) with HTTP; Tue, 9 Oct 2012 11:03:43 -0430 (VET)
Date: Tue, 9 Oct 2012 11:03:43 -0430 (VET)
From: "Mr. Benjamin Aburi" 
Reply-To: benjamin.aburi@adinet.com.uy
To: mr.ba03@yahoo.com
Message-ID: <238260477 .230249.1349796823238.javamail.gess=".230249.1349796823238.javamail.gess" webmail-05.datacenter.cha.cantv.net="webmail-05.datacenter.cha.cantv.net">
Subject: Atenciosamente!
MIME-Version: 1.0
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
X-Mailer: Cantv Webmail
X-Originating-IP: [197.251.192.15]
from: Mr. Benjamin Aburi benjamin.ampomah1@cantv.net
reply-to: benjamin.aburi@adinet.com.uy
to: mr.ba03@yahoo.com
date: Tue, Oct 9, 2012 at 12:33 PM
subject: Atenciosamente!
mailed-by: cantv.net
Atenciosamente!
Meu nome é o Sr. Benjamin Aburi. Eu sou um banqueiro aqui em Gana. Eu tenho o seu contato do Ministério das Relações Exteriores e do Ministério da Indústria e Comércio Internacional. Preciso de sua ajuda para transferir dólares USD $ 7.500.000,00.
O dinheiro é parte dos lucros do nosso banco no ano passado (ou seja, 2011). Eu já enviou relatório anual para o ano passado para os meus aposentos bancárias cabeça em Accra - Gana, e eles não perceberam os lucros excessivos. Eu depositei os dólares USD $ 7.500.000,00 em uma conta vinculada, sem um beneficiário (Anônimo), para evitar qualquer vestígio.
Eu não pode ser diretamente ligado a esse dinheiro, porque eu ainda trabalho com o banco. Então, eu preciso de sua ajuda para transferir esse dinheiro para o seu país para mim e para você compartilhar. Eu ofereço-lhe 45% deste dinheiro como meu parceiro estrangeiro e 55% seria para mim. Não há risco envolvido, porque vai ser uma transferência de banco para banco. Tudo que eu preciso de você é para ficar como meu parceiro estrangeiro e dono do dinheiro para permitir que você apresentar uma conta de banco estrangeiro, onde o dinheiro será transferido.
Se você aceitar esta proposta, eu estou preparado para ir em parceria com você. Por favor, responda-me para mais informações sobre como proceder.
Atenciosamente, Sr. Benjamin Aburi.







Delivered-To: xxxxx@gmail.com
Received: by 10.58.218.161 with SMTP id ph1csp24018vec;
        Sun, 28 Oct 2012 03:41:01 -0700 (PDT)
Received: by 10.182.52.105 with SMTP id s9mr22470508obo.25.1351420861147;
        Sun, 28 Oct 2012 03:41:01 -0700 (PDT)
Return-Path: 
Received: from p3plwbeout11-05.prod.phx3.secureserver.net (p3plsmtp11-05-2.prod.phx3.secureserver.net. [173.201.192.42])
        by mx.google.com with ESMTP id in8si6386620obb.0.2012.10.28.03.41.00;
        Sun, 28 Oct 2012 03:41:01 -0700 (PDT)
Received-SPF: neutral (google.com: 173.201.192.42 is neither permitted nor denied by best guess record for domain of a1@vicki1950morrison.com) client-ip=173.201.192.42;
Authentication-Results: mx.google.com; spf=neutral (google.com: 173.201.192.42 is neither permitted nor denied by best guess record for domain of a1@vicki1950morrison.com) smtp.mail=a1@vicki1950morrison.com
Received: from localhost ([10.6.243.7])
 by p3plwbeout11-05.prod.phx3.secureserver.net with bizsmtp
 id Gagz1k0020AHSUS01agzsC; Sun, 28 Oct 2012 03:40:59 -0700
X-CMAE: v=2.0 cv=UtfhxpMB c=1 sm=1 a=2jPMPHKKGb8A:10 a=_2on6qn2_-UA:10
 a=x2QYw_hNEZgA:10 a=b2bCLod7AAAA:8 a=TZb1taSUAAAA:8 a=SFEu2tG3kzUvEri1b78A:9
 a=QEXdDO2ut3YA:10 a=_W_S_7VecoQA:10 a=0dkCT6D1XkmA9MUA:21
 a=W5L6ECIwCr3FGHjMuscA:9 a=KQqxNPgzF0kA:10 a=Sf_gFPzhefAA:10
 a=ucH7BwLj_I8A:10 a=6VXwN4XtgxTrFqBn:21 a=_-QOjsLrzbK4usiT:21
 a=yyhK710jx9xI_icP:18 a=Wediswmr7S4/FkQVhZURew==:117
X-SID: Gagz1k0020AHSUS01
Received: (qmail 20162 invoked by uid 99); 28 Oct 2012 10:40:59 -0000
Content-Type: multipart/mixed;
 boundary="=_c0ac280fbfbce6d41e5acaf570d8fc29"
X-Originating-IP: 41.151.185.117
User-Agent: Workspace Webmail 5.6.26
Message-Id: <20121028034057 .1cd2f4322af5e117493f9c39156d6e48.a84ec68499.wbe=".1cd2f4322af5e117493f9c39156d6e48.a84ec68499.wbe" email11.secureserver.net="email11.secureserver.net">
From: "Admin" 
X-Sender: a1@vicki1950morrison.com
To:
Subject: Note
Date: Sun, 28 Oct 2012 03:40:57 -0700
Mime-Version: 1.0


Clique na figura para ve-la maior.