Capture The Flag - Por una Cabeza

Durante os dias 21 e 23 de Setembro de 2011, acontenceu a Eko Party, um evento de segurança da informação na Argentina, considerado por muitos a Defcon Latina. ( prometo um outro post falando mais sobre o evento )

Quem gosta de segurança e tem skills tecnicos, deveria participar, pelo menos uma vez de um desafio de CTF ( Capture The Flag ).

Estavamos na EkoParty (Argentina) e resolvemos (eu e outros brasileiros) participar de um.
Ouvimos dizer, que o desafio rodaria em uma maquina virtual, assim a ideia principal, seria, pegar uma copia da Maquina virtual para estuda-la depois.
Fizemos a inscrição, ganhamos acesso, e percemos que o desafio inteiro estava dentro de maquinas viruais, e não teriamos acesso (fisico) as mesmas, ou para cópia, e sim, acesso por rede.

O que custa tentar ?
Começamos completamente desacreditados, tanto pela organização do evento, quanto pelos outros times, pois estavamos com pelo menos meio dia de atraso frente aos outros times.
Entramos como o time, 9 de 10 times.
Fizemos um reconhecimento do nossos servidor, tentando entender o desafio como um todo.
Ficamos aproximandamente 2 horas conectados e saimos. Desconectamos nossos equipamentos, fomos assisitir as palestras e almoçar.
Porem, eu vi uma coisa no servidor que ninguem mais viu, e baseado nisso, durante o almoço, conversamos um pouco, dividimos tarefas e montamos uma estrategia basica.
Voltando do almoço, e em algumas horas, conseguimos pontuar, mais do que todos os outros times, que estavam com um dia de vantagem.
Brasileiros na Frente !!!!

Isso gerou a ira dos argentinos.

Em uma manobra baseada na Arte da Guerra, chamada de fazer aliados, TODOS os argentinos se juntaram contra nós.
Mais de 50 argentinos contra 6 brasileiros. Pelos conhecidos laços de amizade, ficou Claramente um jogo de Argentina contra Brasil.

Nos sentimos como no filme 300, mas fazia parte. ( No Retreat No Surrender )
Como não estavamos preparados para "jogar", não pensamos em estrategias, de ataque e defesa, estavamos na realidade nos divertindo.
Nessa "marcada", não defendemos corretamente nosso servidor.
Após isso, ficamos empatados em primeiro, com o outro time "do todos" contra um.
Nós em primeiros na ofensive e eles em primeiro na defensiva.

"Por una Cabeza", e de acordo com as regras (que ficamos sabendo bem no final do evento), em caso de empate, caberia o primeiro lugar a equipe que tivesse pego a primeira bandeira. Como começamos depois .....

O que eu achei bem interessante, foi que na hora da premiação, subiram ao palco somente 5 argentinos !
Perguntei inclusive, em voz alta, onde estavm os outros 50 ou 100 que trabalharam juntos, contra nós. ( sem resposta é claro )

Conclusões:
Trabalho em GRUPO é TUDO: Juntamos um time de especilistas brasileiros, e em pouco tempo mostramos nossa raça e qualificação técnica.
Desabafo: Mesmo ja tendo pensando em desistir dessa área diversas vezes, percebo que temos potencial e que esse conhecimento deve ser aprovietado. Porem infelizmente, vejo no Brasil (governo e empresas), pouco interesse e investimento nessa área.
Futuro: Estou buscando patrocínio, nacional ou estrangeiro, para um time de Capture The Flag.
Para que esse time, possa participar de desafios, pelo mundo a fora e compartilhar os conhecimentos adquiridos com as empresas patrocinadoras e com as novas gerações de profissionais, pensando sempre na Etica e na Moral. Se voce está interessado em patrocinar esse grupo ou ter mais detalhes sobre isso, entre em contato. Ficarei muito feliz em saber que existem empresas e pessoas que se importam.

Eu tenho certeza que Segurança Importa.
Abraços

Para que gastar ?

As tecnicas de enganar as pessoas, vao mudando com o passar dos tempos.
Ja tivemos a epoca dos emails bonitos, copias fieis de emails ou sites de empresas licitas.
Quanto mais bonito ou quanto mais parecido com o original, mais gente consegue enganar.

Agora, se funciona sem nada, porque fazer bonito ?
Recebi hoje um email que dizia somente "clique aqui para atualizar".

Os mais credulos podem acreditar se tratar de um problema com o navegador, ou com o cliente de email, porem não é.
Não existe pagina alguma para ser visualizada, o email é composto por somente uma linha.
Essa linha um link para um arquivo malicioso .
Essa tecnica esta sendo usada, com pouco ou sem nenhum texto como no exemplo acima.

Mais uma vez a dica.
CUIDADO !!

O que importa ? Segurança ou um email bonito ?

Site gratis Crime na certa

Descobri hoje um site de hospedagem gratis, porem alem de mim muitas outras pessoas tambem.
O interessante de tudo isso é que cada um pensa de maneira diferente, quando se depara com uma situação dessas.
Alguns pensam em se auto promover, outros em gerar informações, e outros ainda em gerar negocios, mesmo que esses negócios sejam ilegais.

O site em questão, tinha um dominio registrado dentre os ultimos que me chamou a atenção pela familiaridade do nome.

A primeira pergunta que me vem sempre a cabeça .. Estaria essa empresa passando por necessidades financeiras e optando por fazer hospedagem Gratuita para conter gastos ?

É claro que deve ser um GOLPE .

O Site em questão leva a uma pagina FALSA, solicitando o cadastro para algum tipo de promoção.

Após o cadastro voce é redirecionado para uma pagina de agradecimentos, etc,etc

A atenção a alguns detalhes pode fazer a diferença entre cair e não em golpes.

A proposito:
O responsavel legal pelo dominio vitima já foi notificado.

Eu acho que segurança importa, e voce ?

O Portão de controle

Minha história hoje, é sobre segurança fisica.

Em um condominio, um morador, teve o carro roubado.
Dentro desse carro, o controle remoto para abrir os portões do condiminio.
No mesmo dia, avisos no elevador dizendo :
Por questões de segurança, entreguem seus controles para que o codigo seja alterado.

Vou explicar os motivos, mas já vou avisar :
" Controle remoto + portões automaticos (como geralmente conhecemos) são equipamentos de CONFORTO e não de SEGURANÇA"

Um portão automatico, impede que voce:
- Saia do carro para abrir o portão. ( diminuindo assim seu tempo de exposição FORA do carro )
- Tome chuva

Um portão automatico, não impede que:
- Entrem dois carros, um atraz do outro.
- Entre um carro e uma pessoa, a pé ao lado desse carro.
- Entre alguem a mais DENTRO do seu carro.
- Que voce seja assaltado.

Normalmente os controles remotos são padrão e podem ser comprados em qualquer lugar (até mesmo em bancas de jornal e chaveiros).
Esses controles permitem 256 combinações de senha.

Não sou especialista em eletronica, porem acredito não ser dificil pazer um "testador de combinações". Um equipamento desses poderia abrir um portão em 5 minutos. ( levando em conta que estamos fazendo um teste de cada vez e levando um segundo cada teste ) [comprar 256 controles ia ficar caro]

Já vi dispositivos capazes de verificar, a frequencia que o controle esta emitindo. Assim o sujeito espera alguem utilizar o controle, verifica a frequencia utilizada, utiliza a mesma para abri-lo.

Sei que existe a possbilidade de ataques de REPLAY.

Em qualquer das situações acima, o porteiro, poderia no maximo, gritar.

INFELIZMENTE são poucos os condominios que se preocupam com segurança.
Os moradores buscam conforto e alguns não admitem serem parados ou terem seus amigos parados em uma portaria.
Tambem são poucas as empresas de portaria, que dão treinamentos de segurança a seus funcionários.

No final ... para que server o controle ? Para trocar de canal !

Quem se importa com segurança ?

Com Segurança, SemGas

Eu sempre fico perguntando ... Quem se importa com segurança ?
Acho que encontrei uma empresa...

A alguns dias, um amigo meu ligou para a concessionária de Gas da região, reportando, um problema.
No meio da conversa, ele disse a palavra " vazamento " .
De acordo com ele, e como em um filme de Hollywood, a atendente mudou o tom de voz, mudou o script de atendimento, e disse que o tecnico estaria na residencia dele em menos de 1 ( uma ) hora.
Alguem ja viu isso ? Geralmente as promessas de atendimento são genericas, tipo, periodo da manhã( que vai das 8:00 as 18:00) sem respeitar o cliente que na maioria das vezes TRABALHA.

Voltando .. Acreditem ou não, mesmo dizendo que irai sair para Trabalhar a atendente disse que o Tecnico já estava a caminho. Mais uma vez, caso raro de se screditar, o Tecnico apareceu, em MENOS de UMA HORA.
Desligou o GAS, fez testes, deu recomendações e antes de ir embora, removeu o Relógio de Gas e Lacrando os canos e impedindo que o Gas daquela residencia, fosse irresponsavelmente ligado.
O tecnico, não estava preocupado com o possivel banho frio, ou com o almoço das crianças.
Estava preocupado com a segurança do meu amigo e do predio como um todo.
Meu amigo, ficou .. SEMGAS !

O Triste é que nos espantamos com aquilo, que era para ser normal.

Tenho só mais uma coisa a dizer.

PARABENS COMGAS !

Aprendemos com nossos erros ?

Algumas pessoas sim, outras não ! E as empresas ?
Um amigo me disse uma vez que "as empresas eram perfeitas, mas elas tinham um problema: as pessoas !!".
Assim dependendo do tipo de pessoa que essa empresa tenha, o aprendizado será bem mais lento e dolorido.

Depois de anos no mercado, sofrendo ataques em seus sistemas operacionais, a Microsoft aprendeu a lição. Reescreveu alguns de seus softwares, montou grupos especificos para tratar de assuntos de segurança, e hoje tem um processo formal para trabalhar essas questões.

Nos ultimos meses, temos visto a Sony virar a bola da vez.
Foi invadida tantas vezes que ninguem sabe o número correto mais.
Varias ações foram tomadas, dentre elas, notas na midia, que ao meu ver foram super desastrosas. dentre as frases, algumas para entrar na categoria de pérolas:

"até o momento, nosso grupo responsavel pelos serviços de rede foi incapaz de determinar, que tipo de dados foram transferidos, e por isso eles desativaram a PlayStation Network" (At the time, the network service team was unable to determine what type of data had been transferred, and they therefore shut the PlayStation Network system down)

"A detecção foi dificil devido ao nivel de sofisticação da invasão "("Detection was difficult because of the sheer sophistication of the intrusion," )

"Segundo, a detecção foi dificil porque os Hackers criminosos exploraram uma vulnerabilidade de software no sistema"
("Second, detection was difficult because the criminal hackers exploited a system software vulnerability.")
Porem um executivo da empresa havia informado que os hackers haviam ganho acesso atravez de uma "vulnerabilidade conhecida" que a empresa não sabia da existencia.

http://arstechnica.com/gaming/news/2011/05/sony-wont-testify-on-psn-attack-names-anonymous-in-written-answers.ars
http://graphics8.nytimes.com/packages/pdf/technology/20110504-sony-letter.pdf
http://pastebin.com/vQcdsm48

Não bastando isso, a SONY começou a enviar email para os clientes da PSN cada hora com um endereço de email diferente. "Playstation_Network@playstation.sony.com", "PlayStation_Network@playstation-email.com", "PlayStation_Network@playstation.innovyx.net" .
Sabendo que a empresa foi invadida, voce recebe um email com um remetente suspeito, voce faz, oque ?
Conheço diversas pessoas que acharam que estavam sendo vitimas de golpe ( os forums ao redor do mundo estão lotados de gente questionando). Infelimente ou felizmente os emails são verdadeiros.

Isso me lembra uma empresa onde trabalhei, onde o objetivo era executar, sem chance de pensar (isso na área de segurança). Era permitido fazer 100 vezes errado, mas não era permitido pensar, visando acertar na primeira ou segunda (ou mais).

As coisas mais tristes ( ao meu ver ) já começaram a acontecer.
Em alguns paises, comerciantes, estavam oferecendo XBOX em troca do PS3.

As empresas, independente do ramo de atividade, tem que considerar, que são dependentes da tecnologia, e a mesma tecnologia que as levanta, pode derruba-las. Não adianta executar, tem que pensar primeiro.

A Microsoft usou a experiencia dos sistemas operacionis e outros sistema online para utilizar em seu video game. 100% seguro ? Claro que não, isso não existe, porem mais seguro que o concorrente.

Acho que o segredo é sempre pensar ... " e se ? ". Com tudo isso implementado, "e se" acontecer algo diferente ? e por ai vai .

Segurança é igual manutenção de casas ou carros. Existem alguns cuidados que vc tem que tomar de tempos em tempos. Se for deixando para tomar esses cuidados de uma unica vez, o preço será muito maior.

As ações da Sony na NASDQ, cairam e muito, desde o começo do ano.

O negócio é ganhar dinheiro, sempre funcionou assim !!

Será que eles vão aprender ?

Segurança ! Quem se importa ?

O Profeta - 1

Sempre tive "carinho especial" por algumas empresas / grupos.
Porem com o passar dos tempos, vi diversas delas serem adquiridas por outras e fecharem.

Uma dessas empresas, a ISS.
Possuiam, um time, chamado X-force. A nata dos profissionais de segurança.
Durante muito tempo, eles foram os melhores, divulgando vulnerabilidades, aos montes para todos os sistemas operacionais, softwares e equipamentos.
Suas descobretas eram incluidas nas assinaturas de seu Scanner de Vulnerabilidade e IDS.

Logo apos a compra da ISS pela IBM ( agosto de 2006 ), conversei com varios profissionais e vi uma série de coisas acontecerem.
- A empresa pequena e agil, ficou engessada, por uma tonelada de burocracia (previsivel)
- Parte do time da Xforce saiu ( não sei os motivos )
Porem em 2008 assisti, uma palestra onde a executiva da compradora, dizia que sua empresa iria focar em serviços.

Para mim foi um sinal muito claro, que os produtos da linha ISS seriam abandonados e talvez a propria empresa morresse.

Para os mais otimistas (ou cegos), eu estava louco.

Depois no mesmo ano (2008) durante um decisão de compra de produtos IDS/IPS na empresa a qual eu atuava, minha opinião, tambem não valeu nada. Nada conveceu os superiores a troca ou compra do produto adequado ( e/ou que teria maior vida ).

Não foi a primeira vez que recebi esse tipo de tratamento, porem, agora, alguns anos depois, ai esta a comprovação dos fatos.

http://www-01.ibm.com/cgi-bin/common/ssi/ssialias?infotype=an&subtype=ca&htmlfid=897%2FENUS911-082&appname=isource&language=enus#toc

Diversos produtos com data para morrer.

Fica mais uma vez o alerta.

Segurança ? Quem se importa ?

Recuperando Rastros Franceses

No Final do ano fui chamado para ajudar em uma Resposta a Incidente.
O que me foi reportado:
Maquina linux, foi invadida.
Uma pagina alterada. ( defacement )

Detalhes:
1- Fui chamado 3 horas após o incidente.
2- A pessoa que fez o primeiro atendimento, por inexperiencia, rebootou a maquina 3 vezes.
3- maquina com 2 hds rodando Raid 1 (mirror).

Minha missão:
1 - descobir o que aconteceu e como.
2 - tornar a maquina estavel tempo suficiente para a migração e backup dos dados.


Assim, remotamente, uma vez dentro da maquina, fui atras de arquivos de log.
NADA. Todos os logs foram deletados.
Olhando no /tmp, encontrei alguns scripts utilizados pelo atacante .

Descobri, que o script alterava todo e qualquer arquivo da maquina, com os nomes index, default e home.
Essa informação foi crucial para poder voltar ao funcionamento alguns serviços, como o email.
O script ainda indicava que após a "invasão" o site Zone-H era contactado.

Continuando ..

Verifiquei a data corrente da maquina.
# date

sabendo aproximadamente o horario da invasão, utilizei o comando touch do linux para " criar um arquivo de "referencia" algum tempo antes da invasão.

################################
touch -d "27 Dec 2010 08:00:00" /tmp/date_marker
###############################

apos isso utilizei o find para localizar todos os arquivos modificados na maquina após essa data e horario.

######################################
find / -newer /tmp/date_marker
######################################

Olhando a lista de arquivos, notei uma instalação do JOOMLA.
"Navegando dentro da maquina" descobri que a mesma era ANTIGA, e vulneravel a diversos tipos de ataque.

Consegui inclusive encontrar, outros arquivos, até partes de um rootkit.

O que e como eu já havia descoberto.
Voltei os serviços minimos da maquina, a um estado aceitavel.

Mesmo o cliente estando satisfeito, eu queria saber quem. ( e talvez alguns detalhes a mais do como )


Agora vem a pergunta ...
Como recuperar dados de um HD remoto, discos em mirror, sabendo que a maquina foi rebootada 3 vezes e que o mirror/fsck teve tempo suficiente para syncronizar os discos ?


Para minha sorte havia o NETCAT instalado na maquina ( default em alguns sistemas operacionais )
Assim, fiz a tranferencia de alguns arquivos, e depois tentei procurar algum resto de log que pudesse me ajudar.


Na maquina invadida:

# dd if=/dev/sda | strings | nc 11223


Na maquina destino ( minha maquina ):

# nc -l -p 11223 >>/tmp/strings.txt

O procedimento acima poderia ser utilizado nos 3 devices ... :-)
/dev/md0
/dev/sda
/dev/sdb

Depois de algumas horas eu interrompi a transferencia.
Buscando no arquivo /tmp/strings.txt na minha maquina um simples GREP com palavras chave do log HTTP, consegui recuperar TODOS os LOGS para remontar as ações do atacante.
Atacante, vindo de um IP de range FRANCES, usando um navegador FRANCES, fazendo Defacement de paginas no Brasil, com textos em Portugues - Brasileiro.

#########################
Minha primeira ação nesse caso, seria "quebrar" o mirror, separando os discos, tentando preservar algum dado, em algum HD, e é claro não rebootar a maquina. ( ou tardar o maximo essa ação )
#########################

MOTIVAÇÃO:
- mulecagem - Mass defacement - Mirror no Zone H

Conclusões.

0 - somente o arquivo "zerado" criado no /tmp, foi criado/alterdo na maquina.
1 - Sempre dá para achar alguma coisa.
2 - Não acredito que pilotos de ferramenta conseguissem fazer o que foi feito, principalmente remotamente.

#########################################################
alguns parametros, detalhes e endereços foram omitidos
#########################################################
Para quem não entendeu a dificuldade.

Raid 1 = Mirror.
Tudo feito na maquina é replicado para nos HDs.
Em caso de problemas com um disco voce DEVE ter dois discos iguais.
Assim, separando o mirror, voce consegue manter um backup.

O problema é que se um arquivo for apagado, será apagado dos dois HDs.
Se for executado um reboot, existe a chance do sistema efetuar rotinas normais de verificação e fazer a sincronizacao desses dados. ( apagar em um HD o que já foi apagado no outro )
#########################################################

Para quem se importa, existem algumas opções.
1- Estudar e aprender.
2- contratar alguem que saiba o que esta fazendo.

Abraços

T R A M - L L A W

Atualmente toda grande loja fisica, geralmente possui uma loja virtual tambem, em tempos de internet, todo mundo quer estar dentro do mercado.
Quem voce coloca para gerenciar sua loja virual ?
Qual a experiencia dessa pessoa ? ( com gerencia e com Internet )

Essa rede de lojas é mais uma que costuma despresar os clientes, alegando "erros no sistema".

Espero que eles continuem prosperando e vendendo mouses a esse valor ( que deve ser comum na loja, pois parece que somente os internautas perceberam isso )

Isso é o que dá, trabalhar com uma ferramenta que voce não conhece.

Abraços
Nesse caso. Nada importa, muito menos segurança.

Quando dinheiro não é tudo.

Normalmente, em segurança, quanto mais dinheiro, mais segurança.
Se voce tem dinheiro, compra um carro blindado, se não tem anda de onibus. Facil de entender não ?
Baseado nisso, se voce tem dinheiro infinito, poderia ter segurança infinita, certo ?

Sim, mas ... e se ninguem se importasse com segurança, se importando somente com o dinheiro ?

Mesmo sabendo das dificuldades dos administradores, existem situações onde eu acho LAMENTAVEL e INADIMISSIVEL o que eu vejo.

Hoje, recebi no twitter e depois em uma lista, um link de um Banco Brasileiro ( Não era Phishing )

A pagina exibia a mensagem "Hello World!".

Para quem não sabe esse é um texto padrão que recomenda-se ser utilizado aos futuros programadores em seus primeiros programas, em qualquer linguagem, para dar sorte ! (lenda)
Agora me explica, o que uma mensagem de "Hello World!", faz em um servidor de Produção de um SUPER Banco Brasileiro ?

E esta agora !!! " Servidor OK" , Fiquei muito feliz de saber que o servidor esta OK !!

Esta na hora de acabar com a hipocresia e as instituições começarem a mandar seus gerentes, diretores e superintendentes embora, ou no minimo realoca-los para areas de sua competencia.
(Não fica tentando aprender durante sua estadia no cargo.)

Quanto custa a IMAGEM da instituição, mostrando que eles não gerenciam mudanças, ativos, configuração, segurança, etc ?
Quem foi ? foi um terceiro ?
Então, esta na hora de aplicar as multas contratuais e punir as grandes empresas, por suas grandes economias porcas e contratação de pessoas mal instruidas que não merecem ser chamados de Profissionais.

Se voce contratou o cara errado, RUA para ele, se foi mais que um ( errado ) Rua para voce tambem .
Se voce contratou o outsourcing errado, RUA para voce, para ele e mais MULTA para ele.

No final, fica a mensagem "Hello World!" em um servidor de produção de uma empresa dita "séria" que guarda o seu dinheiro.

Segurança Importa ?, se sim, tira essa maquina do ar agora !!!!

Quer ser meu amigo ?

Assim como muitos de voces, recebi hoje uma solicitação de alguem que queria me seguir no Twitter.
Porem assim como nas outras redes socias que participo, eu sempre procuro "investigar" quem esta querendo me seguir ou ser meu amigo( colega de rede social. Amigo é muito intimo ).

Assim, EffieMelton232 queria ser meu amigo.
Fui olhar o perfil publico desse usuário e... algo me chamou muito a atenção !!!

Alguem notou algo ?
Meu Futuro-(EX)-Amigo, seguia 1353 outros e era seguido somente por 17 ( desavisados ).
Poderia ser uma pessoa honesta! Assim fui clicar no link do post ... "comment my Photos or message me at ...."

Mas eu não me dou por cansado e com a ajuda do Linux ...

laptop:/tmp$ wget http://www.hiderefer.com/ZFXZQUj1.htm --2011-02-22 00:08:59-- http://www.hiderefer.com/ZFXZQUj1.htm Resolving www.hiderefer.com... 209.159.156.66 Connecting to www.hiderefer.com|209.159.156.66|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 643 [text/html] Saving to: `ZFXZQUj1.htm' 100%[========================================================================================================>] 643 --.-K/s in 0s 2011-02-22 00:09:11 (30.9 MB/s) - `ZFXZQUj1.htm' saved [643/643]

O codigo era mais ou menos assim ( tive que dar uma alterada para publicar )

t i t l e-->HideRefer.com Anonym Link----/t i t l e f r ameset cols="*" f r a m e src="ht tp:// girlesaskguy . at. 2288 .org" /f ra me set m e t a h t t p -equiv="refresh" content="1; URL=ht tp:// girlesaskguy . at. 2288 .org" i m g border="0" src="http:// www. hiderefer. com / load.gif" width="16" height="16" Connecting to.. a h r e f="ht tp:// girlesaskguy . at . 2288 .org" -->ht tp:// girlesaskguy . at . 2288 .org

Eu nunca gostei desses nomes de dominios que são Numeros, e uma simples busca no google me mostrou a quantidade de subdominios 2288 ponto org que estão relacionados com malware.

A figura load.gif tambem me pareceu meio suspeita .. ( não gostei desse BBB, isso me lembra monitoração)

laptop:/tmp$ xxd load.gif 0000000: 4749 4638 3961 1000 1000 f200 00ff ffff GIF89a.......... 0000010: 0000 00c2 c2c2 4242 4200 0000 6262 6282 ......BBB...bbb. 0000020: 8282 9292 9221 fe15 4d61 6465 2062 7920 .....!..Made by 0000030: 416a 6178 4c6f 6164 2e69 6e66 6f00 21f9 AjaxLoad.info.!. 0000040: 0400 0a00 0000 21ff 0b4e 4554 5343 4150 ......!..NETSCAP 0000050: 4532 2e30 0301 0000 002c 0000 0000 1000 E2.0.....,...... 0000060: 1000 0003 3308 badc fe30 ca49 6b13 6308 ....3....0.Ik.c. 0000070: 3a08 199c 074e 9866 0945 b131 c2ba 1499 :....N.f.E.1....

"Ajaxload. info" é um site que gera dinamicamente ( na hora ), figuras de espera.(como bolinhas girando)

Faltou mais um html para o download.

laptop:/tmp$ wget http://girlesaskguy.at.2288.org --2011-02-22 00:10:55-- http://girlesaskguy.at.2288.org/ Resolving girlesaskguy.at.2288.org... 61.160.235.210 Connecting to girlesaskguy.at.2288.org|61.160.235.210|:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] Saving to: `index.html' [ <=> ] 470 --.-K/s in 0s 2011-02-22 00:10:57 (24.7 MB/s) - `index.html' saved [470]

Agora mais uma belezinha ( que dessa vez eu não segui ... )

F R A M E S E T R O W S="100%,*" BORDER="0" FRAMEBORDER="0" FRAMESPACING="0" FRAMECOLOR="#000000" F R A M E S R C=" ht tp:// ard. xxxblackbook. com/ trafficoptimizer /index.php?toid=18907&r=lc220138" NAME="redir_frame" / FRAMESET

Eu não gosto de Border, frameborder ou qualquer outro parametro do FRAME ou do IFRAME zerado.
(Se voce é programador web e usa isso, tenho certeza que voce esta fazendo algo errado, ou pior ainda, não sabe o que esta fazendo )

Para acabar

Acho que ja tenho informações suficientes para tomar minha decisão.
Decline e "Blocked and reported for spam"

Voce tambem se importa ?
Abraços

Extensão de Arquivos

Mais um pouco de investigação para voces ...

Principalmente quem já trabalhou no "mundo Unix" deve concordar comigo.
Se voce trabalha com Windows ... Não confie nas extensões de arquivos.

Relembrando o DOS, um nome de arquivo era formado por 8 caracteres, mais 3 de extensão. Seria como dizer Nome e sobrenome de arquivo. Os tamanhos 8+3 eram limitações do sistema de arquivos, que mudou ( acredito depois do Windows 95 ) permitindo romper a barreira dos 8 caracteres e com as possibilidades de caracteres especiais, como espaço, til, cedilha, etc.

No Unix/Linux, os arquivos não necessitam ter extenção, principalmente para serem executados. isso leva a uma atenção maior do usuário, referente ao que ele irá fazer.

No Windows, as extensões são associadas a programas ou a situações / funções especificas.
O Windows, pode executar programas, desde que eles tenham "uma extensão de executavel", dentre elas .EXE, .COM e .SCR. Porem se voce trocar a extenção de um arquivo ele poderá não fazer mais o esperado, ou não ser reconhecido pelo programa o qual deveria trata-lo.
Vamos supor 2 arquivos, um chamado : figura.jpg e outro programa.exe
Clicando em cada um deles é esperado que o figura.jpg carrege um editor ou visualizador de imagens ( associado a extensão .JPG ) e no outro execute o programa.exe . Tudo muito simples.

E se trocarmos as extensões desses arquivos ? Teriamos : figura.exe e programa.jpg

Clicando em figura.exe, o Windows iria iniciar os procedimentos para executar esse arquivo, que sendo uma figura, ( sem codigo executavel dentro ) resultará em um erro.
No outro caso, clicando em programa.jpg, o processo é similar. Seu visualizador ou editor de imagens será carregado e tentará abrir a figura. Por se tratar de um arquivo executavel, o programa não o reconhecerá e resultatá em um erro.

( outras coisas podem ocorrer, como o travamento do programa ou sistema, nas duas situações )

Agora, se um arquivo não tem extensão, como saber qual programa deveria trata-lo ?
A resposta: cabeçalhos de arquivos. Cabeçalhos geralmente são os primeiros bytes de um arquivo.

Um arquivo executavel, .EXE deve começar com os caracteres MZ, ZM ou MZP.
O exemplo abaixo demonstra os primeiros bytes de um arquivo Executavel.

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000000 4D 5A 50 00 02 00 00 00 04 00 0F 00 FF FF 00 00 MZP.........ÿÿ..
00000010 B8 00 00 00 00 00 00 00 40 00 1A 00 00 00 00 00 ¸.......@.......
00000020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000030 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 ................
00000040 BA 10 00 0E 1F B4 09 CD 21 B8 01 4C CD 21 90 90 º....´.Í!¸.LÍ!
00000050 54 68 69 73 20 70 72 6F 67 72 61 6D 20 6D 75 73 This program mus
00000060 74 20 62 65 20 72 75 6E 20 75 6E 64 65 72 20 57 t be run under W
00000070 69 6E 33 32 0D 0A 24 37 00 00 00 00 00 00 00 00 in32..$7........


Uma figura JPG deve conter os caracteres JFIF.
O exemplo abaixo demonstra os primeiros bytes de um arquivo JPG (figura).


Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000000 FF D8 FF E0 00 10 4A 46 49 46 00 01 01 01 00 60 ÿØÿà..JFIF.....`
00000010 00 60 00 00 FF E1 00 16 45 78 69 66 00 00 49 49 .`..ÿá..Exif..II



Agora finalmente vamos o POST. :-)

Estava trabalhando com um determinado programa, que gravava seus arquivos com uma extensão proprietária, onde visualmente supus um formato proprietário tambem.
Cansado de algumas limitações com relação a interface desse produto, eu queria mais. Queria utiliza-lo somente para visualizar meu trabalho, sem gerar meus arquivos por ele.
Comecei a analise e me deparei com o abaixo .....

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000000 50 4B 03 04 0A 00 00 00 00 00 F4 55 C1 3A 00 00 PK........ôUÁ:..
00000010 00 00 00 00 00 00 00 00 00 00 16 00 00 00 56 49 ..............VI

PK é um inicio tipico de arquivos compactados do tipo ZIP (PKZIP).

Tentei descompacta-lo e pronto, consegui mais dois arquivos, agora ambos com extenção XML.
Entendido o formato, gerei meus proprios arquivos. Compactei-os novamente, coloquei a extensão esperada pelo programa principal, e pronto. Tudo funcionou como eu gostaria.

Assim um investigador, não deve se prender a aparencias ( extensões ), mas sim saber extamente com o que ele esta trabalhando.
Na maioria dos casos eu trabalho com LINUX e com o Windows juntos.
No Linux eu consigo desconcapctar um arquivo, sem necessitar renomea-lo ( mudar a extensão). O Linux tambem prove nativamente uma ferramenta chamada FILE que identifica a grande maioria dos tipos de arquivos, muito util nesse tipo de situação.


Update ( 16/02/2011 - 13:13 )
Um amigo (Sp0oker) me lembrou e enviou o link onde voces podem aprender mais sobre Magic_Numbers - http://en.wikipedia.org/wiki/Magic_number_%28programming%29 - quem ler vai entender .


Espero que seja Util.
Segurança, quem se importa ?

Abraços

Password recover

Password recover

Acesso regularmente um site russo que não vem ao caso agora!
Uso o mesmo para diversão e trabalho (coleta de malwares)

O problema:
Formatei minha maquina e perdi minha senha. O sistema de Password recovery não funciona.

Cadastro simples de usuario, email e senha, porem após uma nova instalação do meu Windows, eu perdi o acesso ao site.
Tentei de diversas formas, as opções de recuperação de senha que nunca funcionaram.
Tentei gastar toda a minha fluencia em russo ( nenhuma ) e todos os recursos do Google Translator.

Opção:
A opção simples, utilizar um outro endereço de email para o cadastro, porem era uma oportunidade de apresnder. Decidi na usar essa.

Lembrei que eu havia guardado meu HD antigo, pensei, devo ter guardado os Cookies.
Após uma busca, achei o diretorio do Firefox, porem nada de arquivos TXT de cookies, agora os cookies ( e outras informações tambem) são guardados em arquivos SQLITE.

Após localizar o arquivo dos Cookies, e efetuar uma copia do mesmo, arrumei um cliente para o SQLITE.

Consegui localizar os cookies referentes ao Site e copiei somente essas informações para um arquivo Texto.

Após entrar no site em questão, digitei diretamente no navegador o comando :
javascript:alert(document.cookie);
Para ver os cookeis do site (ativos). NADA.

Resolvi então setar alguns Cookies baseado nas informações colhidas anteriormente usando o comando:
javascript:document.cookie='nome_do_cookie=valor';
Apos setar todos os Cookies, recarreguei a pagina e Bingo, Eu estava autenticado no site.
Mesmo assim eu continuava sem saber minha senha, e não conseguia altera-la.

Sem muita alternativa, toda vez que eu necessitava acessar o tal site, eu copiava e colava os cookies.
Uns 2 meses depois, prestando mais atenção nos campos dos cookies, notei uma string de 32 caracteres, pensei pode ser o hash md5 da minha senha, mas como descobri-la ?
Fiz uma busca no Google e "Voila" achei minha senha.
Em um site desses de "free password cracking " consegui localizar minha senha !!! ( senha fraca ? não vem ao caso agora !! )

Até hoje não consegui utilizar os recursos de recuperação de senha que o site deveria oferecer, mas consegui alcaçar o objetivo. ( recuperei minha senha )

Nesse caso foram utilizados conhecimentos de :
- SQL
- FileSystem
- Hashs
- HTML / JavaScript
- Como o navegador guarda suas informações, e como !!

Mostrando que Forense não é simplesmente uso de ferramenta.

Abraços

O Gafanhoto no MMA 1 - Grasshopper and MMA

Prentendo publicar alguns posts um pouco mais tecnicos (não muito). Todos os novos posts vão falar de analise forense. (de uma maneira ou outra )
Quero deixar bem claro que os metodos que aprendi e uso atualmente, aprendi sozinho, muitos deles, na época do MSX. (Se voce não sabe o que é isso eu posso te ajudar, mas o google é seu amigo tambem.)

Gostaria de deixar bem claro que :
1) Eu não sou PILOTO DE FERRAMENTA.
2) Eu aprendi,o que sei, na raça e respseito os mesmos que aprenderam da mesma maneira.
3) Eu tambem uso ferramentas, algumas que eu mesmo desenvolvi e quaisquer outras que ajudem meu trabalho,... MAS eu gosto de enteder como a ferramenta chegou a conclusão que chegou e não simplemente aceitar qualquer resultado como verdade absoluta.
4) Se voce fez um curso de uma ferramenta e se diz Expert em forense, tem muito a aprender, principalmente, como a sua ferramenta funciona.

Acho a analise forense o MMA da Segurança da Computação, onde a pessoa deve usar de todos os seus conhecimentos para chegar a uma conclusão. A Vitória!

Dedico esses posts a todos aquele se sentem os Gafanhotos da Computação, em qualquer modalidade, e assim como eu, entendem o significado desse termo.(E mantem a humildade )

Segurança ? Sim, importa ! ( pelo menos para mim )
--Sorry for all my english friends, I'm a natural Brazilian Speaker and will continue writing in Portuguese ( brazilian ), if you would like post in english, send me an email.

If you cares about security, and would like see posts in english, Just ask me.
I'll do my best.


regards,

Deixa eu Sair da Festa !!!

Existem alguns termos que eu aprendi somente depois de começar a estudar para a Prova do CISSP, e o livro CISSP All-in-One me ajudou muito nisso.

Dois termos que eu quero comentar vinvulados a segurança Fisica. Fail-Safe e Fail-Secure.

A configuração Fail-Safe siginifica que se houver falha de energia que afete as travas das portas automaticas, as portas ficarão destravadas. Essa é a configuração utilizada nas empresas e predios que se preocupam com segurança durante incendios ou exercicios de abandono de edificio.

Na configuração Fail-Secure, no caso de falta de energia, as portas automaticas ficarão trancadas.

Facil de entender. Agora aos exemplos.

1) Há alguns anos, DURANTE um incendio, em um Supermercado na Russia, o proprietario mandou os seguranças fecharem as portas, pois as pessoas estavam saindo sem pagar. As portas foram fechadas e as pessoas morreram dentro do supermercado ( e tambem não pagaram as compras ). Esse exemplo não está vinculado a tecnologia, mas demonstra bem esses conceitos.

2) Vi um exercicio de abandono de edificio, onde as catracas, estavam operando normalmente, forçando os funcionarios a passar seus crachas para sairem do prédio.
Resultado, todo mundo amontoado nas escadas tentando descer e um monte de gente se espremendo nas catracas. Um trabalho de amadores.

3) Materia do terra de 18/01/2011 - 18:08 - Campus Party Brasil fica no escuro e sem internet - (http://tecnologia.terra.com.br/campus-party/noticias/0,,OI4897155-EI17279,00-Campus+Party+Brasil+fica+no+escuro+e+sem+internet.html)
Notem o texto ... "... As pessoas não conseguem entrar ou sair dos espaços porque as catracas eletrônicas não funcionam."
Se fosse incendio, todo mundo Morto.
Não tenho outras palavras a não ser dizer, faltou o PROFISSIONAL de Segurança.

(inicio update de 21/01/2011 )
Um dos leitores do Blog postou nos comentarios o seguinte texto:

Fernando, não há catracas eletrônicas aqui na Campus Party. O negócio é meio cara-crachá mesmo. Quando saímos, precisamos passar pelos seguranças que possuem um leitor de código de barras. No caso da falta de energia, os campuseiros que não puderam sair foram somente os que estavam portando pcs/notebooks,para evitar possíveis furtos, já que o leitor não estava funcionando. Com certeza, se ocorresse um incêndio nada disso teria acontecido.

Acho que o Pais ja teve muitos Obitos nesse começo de ano, mas pode ser que o evento queira bater outros recordes tambem.

Após as informações prestadas..
1) a Materia do Terra não deixava claro a situação informada.
2) Se fosse incendio, qual seria o comportamento desses seguranças ? Os mesmos foram treinados ?

( ainda acho que faltou o profissional de Segurança )

A lição é a mesma
(fim update de 21/01/2011 )

A

Comentarios finais:
1) Vale a pena ler o livro CISSP All-in-One, independente de voce pretender fazer a prova para a certificação.
2) Independete da tecnologia. A Vida é mais importante.

Agora ... Voce sabe onde fica a saida mais proxima ?
Segurança ! Quem se importa com isso ??

Packers - e a culpa é de quem ?

Em uma conversa com um aluno, veio o assunto sobre compactadores de executaveis, os conhecidos Packers.
Esses programas surgiram em uma epoca onde memória era cara, ( HD, RAM, etc ) e serviam para diminuir o tamanho de um programa executavel, mantendo ele executavel, siginifica sem a necessidade de um outro programa para descompacta-lo.
Hoje em dia temos basicamente tres tipos de compactadores: compactadores de executaveis simples, os geradores de instalação e os "programas de proteção" ( será que esqueci de algum ?).
Os que eu estou chamando de simples, sao os programas que simplemente compactam e mantem o arquivo executavel.
Geradores de instalação são utilizados quando voce desenvolve uma aplicação que tem outros arquivos o blibliotecas que necessitam ser instaladas junto dentro da maquina destino.
Por final os "programas de proteção", voce desenvolve um programa, deseja vende-lo, mas tem medo da pirataria, o que voce faz ? usa um programa desse tipo . Esse programas, podem compactar, encriptar, colocar rotinas anti-debug, etc .

O problema :
Pessoas mal intensionadas estão utilizando TODOS esses softwares compactadores, para esconder as caracteristicas maliciosas de outros programas. Dificultando a analise e gerando dezenas de copias aparentemente diferentes ( se comparado o hash criptografico ), mas iguais em funcionalidades.

O debate :
O debate iniciou, com a pergunta se não seria mais facil ( ou melhor ) para um antivirus, bloquear 100% dos arquivos compactados.

Acredito que existem problemas em todos os lugares, mas os programas compactadores não podem ser discriminados ou punidos por isso.
Os mesmos podem ser utilizados honestamente, de forma legitima.
Por exemplo, o programa "winscp342.exe" esta compactado com o UPX, esse programa é Legitimo, e de meu uso diário, sendo utilizado para fazer transferencias de arquivos de forma segura, utilizando o protocolo SSH, entre servidores.

Agora, de quem é a culpa ?
A culpa é de quem faz as armas, ou de quem as usa ?
Ou de como essas armas são usadas ( proposito ).

A situação é a mesma. A culpa não é dos compactadores, nem das empresas de antivirus.

A culpa é do usuário, a culpa esta nas pessoas.

A curiosidade e a ganancia, fazem as pessoas clicarem nas coisas mais absurdas que existem. Talvez 90% das coisas, os outros 10% caem nos outros golpes de engenharia social, envolvendo sentimentos, ou dividas. ( não tenho as estatisiticas corretas ).

Agora de quem é a culpa.
Sou colecionar de malware, tenho milhares deles em minha maquina e nos ultimos 10 anos, dei apenas 2 cliques errados. Nenhum deles me gerou danos financeiros, mas mais uma vez me levaram a aprender uma lição. Cuidado ao Clicar nas Coisas.

Agora quem se importa com o Packer, se as pessoas vão clicar em tudo ?
Segurança Importa ?

Anti-virus para Video-Game

Quem nunca tentou fazer o download (Baixar) de alguma coisa ( música, programa, jogo ou filme) e receber alguma coisa totalmente diferente ?
Isso é uma constante principalmente para quem usa redes p2p, como torrent ou Emule. Na melhor das situações arquivos corrompidos, na pior, Virus, cavalos de troia ( malwares ), pedofilia e tudo mais de ilegal e imoral que você talvez nem consiga imaginar.
Nesse ano de 2010 na Defcon, foram demonstradas possibilidades de código malicioso para aparelhos de video-games e câmeras digitais.
Isso expande as possibilidades também para televisões, rádios, aparelhos de dvd ( tocadores de mídia ) e tudo o mais que tenha uma porta USB e possa "tocar" ou interpretar algum tipo de arquivo.

Já pensou, ter seu video-game contaminado por algum tipo de Malware ? Como já expliquei acima, isso não é impossível e a chance aumenta a cada dia que passa.

A maioria dos Videogames modernos, possuem possibilidades de updates e alguns jogos somente funcionam se a versão mais nova desses updates estiver instalada.

Imagine a seguinte situação: Você compra ou “baixa” um jogo pirata, e coloca no seu vídeo-game, como você já esta acostumado, você espera a atualização acabar e pronto, você jogas seu jogo perfeitamente.
O que você não sabe é que agora seu videogame não é mais totalmente seu. Mais gente pode acessar seu vídeo game e controlá-lo a distância ( talvez outro pais ), a intenção pode ser das mais variadas, tanto pegar os dados de seu cartão de credito, como utilizar seu equipamento para outros tipos de fraudes e atividades maliciosas. Já que seu vídeo game tem um HardDrive interno, esse harddrive pode até mesmo armazenar ( sem o seu conhecimento ) material ilegal.
Existem várias outras possibilidades, dentre elas, travar o vídeo game, impedindo que você continue jogando.
Será que a fabricante do videogame mantém a garantia no caso de uso de programas piratas ?

Quando você compra um jogo original, a empresa fornecedora/desenvolvedora, tem responsabilidades com seus clientes. Qual a responsabilidade do seu fornecedor de pirataria ?

Como tudo no mundo da segurança, não existe 100%, existem casos de celulares e pendrives que saíram de fabrica já infectados por malware. Nesse caso o fabricante se responsabilizou.

Agora, como evitar ser contaminado por algum código malicioso nas situações apresentadas acima ?
A resposta é simples e está também no texto acima, evitar o uso de PIRATARIA e manter seus produtos atualizados com as ultimas versões de software.

Você tem seu Telefone celular ou vídeo games atualizados com as ultimas versões de software?

Se você não conhece a procedência de uma coisa, como confiar nessa coisa ?
Os valores dos originais baixaram, preço não é mais desculpa.

Agora, se você não se importa com a procedência das músicas, programas, jogos ou filmes que você baixa, vai se importar com segurança ? Eu acho que deveria. !

A visita de Natal

Conversando com o pessoal da Fortivs (www.fortivs.com.br) sobre assuntos similares, surgiu-me a ideia de escrever algo sobre segurança fisica.

Nesse final de ano, assim como a maioria de vocês, tive o prazer de visitar e de ser visitado por alguns amigos. E mais uma vez, a segurança falha em coisas “simples” mas muito importantes do nosso dia a dia.

Vou comentar sobre situações de porteiros e seguranças.

Em uma das visitas, o visitante estava comigo ao telefone, e simplesmente disse ao porteiro, já falei com ele. E o porteiro deixou meu amigo subir sem antes me consultar.
Em outra ocasião o porteiro enviou meu visitante para o andar errado e outro para uma festa.
Em visita a casa de um amigo, simplesmente disse que esta indo na casa do Sr X, e o porteiro confirmou o número da casa e abriu o portão, sem nenhum outro tipo de verificação.
Em todos os casos os supostos aparatos de segurança, como portões e interfone estavam funcionando, porem não foram utilizados corretamente.]

Sim, estamos falando se segurança, de segurança física, algo que eu passei a me interessar mais, depois de dentro da área de segurança da informação.
Infelizmente os profissionais de segurança física hoje ( vulgarmente conhecidos como seguranças ou como porteiros ) são mal treinados, assim como as empresas são mal preparadas e muito suscetíveis a ataques de engenharia social.

Conheço uma empresa de São Paulo, que utiliza técnicas Israelenses para controle de condomínios (portarias), minimizando ao máximo os riscos.

É claro, segurança é um moeda de troca. Mais segurança, mais controles, menos liberdade.

A arrogância é um fator de fracasso. Pense bem antes de perguntar para alguém : “Você sabe com que esta falando ? “. Se a outra pessoa responder, “Não, por isso mesmo estou perguntando.” Sua equipe de segurança física acabou de provar alguma competência. Se a pessoa, se desculpar e deixar você passar, a pessoa provou incompetência e mostrou como é fácil entrar em seu condomínio ou empresa, usando a mesma técnica de arrogância que você usou.

É tão errado confiar em todo mundo quanto não confiar em ninguém, somente com treinamento conseguimos equilibrar essa balança.

Seu porteiro deixou o Papai Noel entrar ?

TODOS as profissões ou profissionais estão sugeitos a engenharia social.

Tenho certeza que muita gente tem historias para contar, conte a sua, de sucesso ou fracasso.

Segurança Importa ?