Capture The Flag - Por una Cabeza

Durante os dias 21 e 23 de Setembro de 2011, acontenceu a Eko Party, um evento de segurança da informação na Argentina, considerado por muitos a Defcon Latina. ( prometo um outro post falando mais sobre o evento )

Quem gosta de segurança e tem skills tecnicos, deveria participar, pelo menos uma vez de um desafio de CTF ( Capture The Flag ).

Estavamos na EkoParty (Argentina) e resolvemos (eu e outros brasileiros) participar de um.
Ouvimos dizer, que o desafio rodaria em uma maquina virtual, assim a ideia principal, seria, pegar uma copia da Maquina virtual para estuda-la depois.
Fizemos a inscrição, ganhamos acesso, e percemos que o desafio inteiro estava dentro de maquinas viruais, e não teriamos acesso (fisico) as mesmas, ou para cópia, e sim, acesso por rede.

O que custa tentar ?
Começamos completamente desacreditados, tanto pela organização do evento, quanto pelos outros times, pois estavamos com pelo menos meio dia de atraso frente aos outros times.
Entramos como o time, 9 de 10 times.
Fizemos um reconhecimento do nossos servidor, tentando entender o desafio como um todo.
Ficamos aproximandamente 2 horas conectados e saimos. Desconectamos nossos equipamentos, fomos assisitir as palestras e almoçar.
Porem, eu vi uma coisa no servidor que ninguem mais viu, e baseado nisso, durante o almoço, conversamos um pouco, dividimos tarefas e montamos uma estrategia basica.
Voltando do almoço, e em algumas horas, conseguimos pontuar, mais do que todos os outros times, que estavam com um dia de vantagem.
Brasileiros na Frente !!!!

Isso gerou a ira dos argentinos.

Em uma manobra baseada na Arte da Guerra, chamada de fazer aliados, TODOS os argentinos se juntaram contra nós.
Mais de 50 argentinos contra 6 brasileiros. Pelos conhecidos laços de amizade, ficou Claramente um jogo de Argentina contra Brasil.

Nos sentimos como no filme 300, mas fazia parte. ( No Retreat No Surrender )
Como não estavamos preparados para "jogar", não pensamos em estrategias, de ataque e defesa, estavamos na realidade nos divertindo.
Nessa "marcada", não defendemos corretamente nosso servidor.
Após isso, ficamos empatados em primeiro, com o outro time "do todos" contra um.
Nós em primeiros na ofensive e eles em primeiro na defensiva.

"Por una Cabeza", e de acordo com as regras (que ficamos sabendo bem no final do evento), em caso de empate, caberia o primeiro lugar a equipe que tivesse pego a primeira bandeira. Como começamos depois .....

O que eu achei bem interessante, foi que na hora da premiação, subiram ao palco somente 5 argentinos !
Perguntei inclusive, em voz alta, onde estavm os outros 50 ou 100 que trabalharam juntos, contra nós. ( sem resposta é claro )

Conclusões:
Trabalho em GRUPO é TUDO: Juntamos um time de especilistas brasileiros, e em pouco tempo mostramos nossa raça e qualificação técnica.
Desabafo: Mesmo ja tendo pensando em desistir dessa área diversas vezes, percebo que temos potencial e que esse conhecimento deve ser aprovietado. Porem infelizmente, vejo no Brasil (governo e empresas), pouco interesse e investimento nessa área.
Futuro: Estou buscando patrocínio, nacional ou estrangeiro, para um time de Capture The Flag.
Para que esse time, possa participar de desafios, pelo mundo a fora e compartilhar os conhecimentos adquiridos com as empresas patrocinadoras e com as novas gerações de profissionais, pensando sempre na Etica e na Moral. Se voce está interessado em patrocinar esse grupo ou ter mais detalhes sobre isso, entre em contato. Ficarei muito feliz em saber que existem empresas e pessoas que se importam.

Eu tenho certeza que Segurança Importa.
Abraços

Para que gastar ?

As tecnicas de enganar as pessoas, vao mudando com o passar dos tempos.
Ja tivemos a epoca dos emails bonitos, copias fieis de emails ou sites de empresas licitas.
Quanto mais bonito ou quanto mais parecido com o original, mais gente consegue enganar.

Agora, se funciona sem nada, porque fazer bonito ?
Recebi hoje um email que dizia somente "clique aqui para atualizar".

Os mais credulos podem acreditar se tratar de um problema com o navegador, ou com o cliente de email, porem não é.
Não existe pagina alguma para ser visualizada, o email é composto por somente uma linha.
Essa linha um link para um arquivo malicioso .
Essa tecnica esta sendo usada, com pouco ou sem nenhum texto como no exemplo acima.

Mais uma vez a dica.
CUIDADO !!

O que importa ? Segurança ou um email bonito ?

Site gratis Crime na certa

Descobri hoje um site de hospedagem gratis, porem alem de mim muitas outras pessoas tambem.
O interessante de tudo isso é que cada um pensa de maneira diferente, quando se depara com uma situação dessas.
Alguns pensam em se auto promover, outros em gerar informações, e outros ainda em gerar negocios, mesmo que esses negócios sejam ilegais.

O site em questão, tinha um dominio registrado dentre os ultimos que me chamou a atenção pela familiaridade do nome.

A primeira pergunta que me vem sempre a cabeça .. Estaria essa empresa passando por necessidades financeiras e optando por fazer hospedagem Gratuita para conter gastos ?

É claro que deve ser um GOLPE .

O Site em questão leva a uma pagina FALSA, solicitando o cadastro para algum tipo de promoção.

Após o cadastro voce é redirecionado para uma pagina de agradecimentos, etc,etc

A atenção a alguns detalhes pode fazer a diferença entre cair e não em golpes.

A proposito:
O responsavel legal pelo dominio vitima já foi notificado.

Eu acho que segurança importa, e voce ?

O Portão de controle

Minha história hoje, é sobre segurança fisica.

Em um condominio, um morador, teve o carro roubado.
Dentro desse carro, o controle remoto para abrir os portões do condiminio.
No mesmo dia, avisos no elevador dizendo :
Por questões de segurança, entreguem seus controles para que o codigo seja alterado.

Vou explicar os motivos, mas já vou avisar :
" Controle remoto + portões automaticos (como geralmente conhecemos) são equipamentos de CONFORTO e não de SEGURANÇA"

Um portão automatico, impede que voce:
- Saia do carro para abrir o portão. ( diminuindo assim seu tempo de exposição FORA do carro )
- Tome chuva

Um portão automatico, não impede que:
- Entrem dois carros, um atraz do outro.
- Entre um carro e uma pessoa, a pé ao lado desse carro.
- Entre alguem a mais DENTRO do seu carro.
- Que voce seja assaltado.

Normalmente os controles remotos são padrão e podem ser comprados em qualquer lugar (até mesmo em bancas de jornal e chaveiros).
Esses controles permitem 256 combinações de senha.

Não sou especialista em eletronica, porem acredito não ser dificil pazer um "testador de combinações". Um equipamento desses poderia abrir um portão em 5 minutos. ( levando em conta que estamos fazendo um teste de cada vez e levando um segundo cada teste ) [comprar 256 controles ia ficar caro]

Já vi dispositivos capazes de verificar, a frequencia que o controle esta emitindo. Assim o sujeito espera alguem utilizar o controle, verifica a frequencia utilizada, utiliza a mesma para abri-lo.

Sei que existe a possbilidade de ataques de REPLAY.

Em qualquer das situações acima, o porteiro, poderia no maximo, gritar.

INFELIZMENTE são poucos os condominios que se preocupam com segurança.
Os moradores buscam conforto e alguns não admitem serem parados ou terem seus amigos parados em uma portaria.
Tambem são poucas as empresas de portaria, que dão treinamentos de segurança a seus funcionários.

No final ... para que server o controle ? Para trocar de canal !

Quem se importa com segurança ?

Com Segurança, SemGas

Eu sempre fico perguntando ... Quem se importa com segurança ?
Acho que encontrei uma empresa...

A alguns dias, um amigo meu ligou para a concessionária de Gas da região, reportando, um problema.
No meio da conversa, ele disse a palavra " vazamento " .
De acordo com ele, e como em um filme de Hollywood, a atendente mudou o tom de voz, mudou o script de atendimento, e disse que o tecnico estaria na residencia dele em menos de 1 ( uma ) hora.
Alguem ja viu isso ? Geralmente as promessas de atendimento são genericas, tipo, periodo da manhã( que vai das 8:00 as 18:00) sem respeitar o cliente que na maioria das vezes TRABALHA.

Voltando .. Acreditem ou não, mesmo dizendo que irai sair para Trabalhar a atendente disse que o Tecnico já estava a caminho. Mais uma vez, caso raro de se screditar, o Tecnico apareceu, em MENOS de UMA HORA.
Desligou o GAS, fez testes, deu recomendações e antes de ir embora, removeu o Relógio de Gas e Lacrando os canos e impedindo que o Gas daquela residencia, fosse irresponsavelmente ligado.
O tecnico, não estava preocupado com o possivel banho frio, ou com o almoço das crianças.
Estava preocupado com a segurança do meu amigo e do predio como um todo.
Meu amigo, ficou .. SEMGAS !

O Triste é que nos espantamos com aquilo, que era para ser normal.

Tenho só mais uma coisa a dizer.

PARABENS COMGAS !

Aprendemos com nossos erros ?

Algumas pessoas sim, outras não ! E as empresas ?
Um amigo me disse uma vez que "as empresas eram perfeitas, mas elas tinham um problema: as pessoas !!".
Assim dependendo do tipo de pessoa que essa empresa tenha, o aprendizado será bem mais lento e dolorido.

Depois de anos no mercado, sofrendo ataques em seus sistemas operacionais, a Microsoft aprendeu a lição. Reescreveu alguns de seus softwares, montou grupos especificos para tratar de assuntos de segurança, e hoje tem um processo formal para trabalhar essas questões.

Nos ultimos meses, temos visto a Sony virar a bola da vez.
Foi invadida tantas vezes que ninguem sabe o número correto mais.
Varias ações foram tomadas, dentre elas, notas na midia, que ao meu ver foram super desastrosas. dentre as frases, algumas para entrar na categoria de pérolas:

"até o momento, nosso grupo responsavel pelos serviços de rede foi incapaz de determinar, que tipo de dados foram transferidos, e por isso eles desativaram a PlayStation Network" (At the time, the network service team was unable to determine what type of data had been transferred, and they therefore shut the PlayStation Network system down)

"A detecção foi dificil devido ao nivel de sofisticação da invasão "("Detection was difficult because of the sheer sophistication of the intrusion," )

"Segundo, a detecção foi dificil porque os Hackers criminosos exploraram uma vulnerabilidade de software no sistema"
("Second, detection was difficult because the criminal hackers exploited a system software vulnerability.")
Porem um executivo da empresa havia informado que os hackers haviam ganho acesso atravez de uma "vulnerabilidade conhecida" que a empresa não sabia da existencia.

http://arstechnica.com/gaming/news/2011/05/sony-wont-testify-on-psn-attack-names-anonymous-in-written-answers.ars
http://graphics8.nytimes.com/packages/pdf/technology/20110504-sony-letter.pdf
http://pastebin.com/vQcdsm48

Não bastando isso, a SONY começou a enviar email para os clientes da PSN cada hora com um endereço de email diferente. "Playstation_Network@playstation.sony.com", "PlayStation_Network@playstation-email.com", "PlayStation_Network@playstation.innovyx.net" .
Sabendo que a empresa foi invadida, voce recebe um email com um remetente suspeito, voce faz, oque ?
Conheço diversas pessoas que acharam que estavam sendo vitimas de golpe ( os forums ao redor do mundo estão lotados de gente questionando). Infelimente ou felizmente os emails são verdadeiros.

Isso me lembra uma empresa onde trabalhei, onde o objetivo era executar, sem chance de pensar (isso na área de segurança). Era permitido fazer 100 vezes errado, mas não era permitido pensar, visando acertar na primeira ou segunda (ou mais).

As coisas mais tristes ( ao meu ver ) já começaram a acontecer.
Em alguns paises, comerciantes, estavam oferecendo XBOX em troca do PS3.

As empresas, independente do ramo de atividade, tem que considerar, que são dependentes da tecnologia, e a mesma tecnologia que as levanta, pode derruba-las. Não adianta executar, tem que pensar primeiro.

A Microsoft usou a experiencia dos sistemas operacionis e outros sistema online para utilizar em seu video game. 100% seguro ? Claro que não, isso não existe, porem mais seguro que o concorrente.

Acho que o segredo é sempre pensar ... " e se ? ". Com tudo isso implementado, "e se" acontecer algo diferente ? e por ai vai .

Segurança é igual manutenção de casas ou carros. Existem alguns cuidados que vc tem que tomar de tempos em tempos. Se for deixando para tomar esses cuidados de uma unica vez, o preço será muito maior.

As ações da Sony na NASDQ, cairam e muito, desde o começo do ano.

O negócio é ganhar dinheiro, sempre funcionou assim !!

Será que eles vão aprender ?

Segurança ! Quem se importa ?

O Profeta - 1

Sempre tive "carinho especial" por algumas empresas / grupos.
Porem com o passar dos tempos, vi diversas delas serem adquiridas por outras e fecharem.

Uma dessas empresas, a ISS.
Possuiam, um time, chamado X-force. A nata dos profissionais de segurança.
Durante muito tempo, eles foram os melhores, divulgando vulnerabilidades, aos montes para todos os sistemas operacionais, softwares e equipamentos.
Suas descobretas eram incluidas nas assinaturas de seu Scanner de Vulnerabilidade e IDS.

Logo apos a compra da ISS pela IBM ( agosto de 2006 ), conversei com varios profissionais e vi uma série de coisas acontecerem.
- A empresa pequena e agil, ficou engessada, por uma tonelada de burocracia (previsivel)
- Parte do time da Xforce saiu ( não sei os motivos )
Porem em 2008 assisti, uma palestra onde a executiva da compradora, dizia que sua empresa iria focar em serviços.

Para mim foi um sinal muito claro, que os produtos da linha ISS seriam abandonados e talvez a propria empresa morresse.

Para os mais otimistas (ou cegos), eu estava louco.

Depois no mesmo ano (2008) durante um decisão de compra de produtos IDS/IPS na empresa a qual eu atuava, minha opinião, tambem não valeu nada. Nada conveceu os superiores a troca ou compra do produto adequado ( e/ou que teria maior vida ).

Não foi a primeira vez que recebi esse tipo de tratamento, porem, agora, alguns anos depois, ai esta a comprovação dos fatos.

http://www-01.ibm.com/cgi-bin/common/ssi/ssialias?infotype=an&subtype=ca&htmlfid=897%2FENUS911-082&appname=isource&language=enus#toc

Diversos produtos com data para morrer.

Fica mais uma vez o alerta.

Segurança ? Quem se importa ?