Monday, December 22, 2008

Encase + Memscript + Memoryze - facilitando a analise forense de memória


Como sabemos, a importância de se coletar e analisar a memória física de máquinas envolvidas em crimes ou sob investigação de incidentes de segurança é cada vez maior. Os seguintes posts já foram publicados neste blog sobre o assunto:
Para fechar o ano com chave de ouro, a Mandiant acaba de publicar um grande facilitador desta tarefa para usuários do Encase (Forensic, FIM ou Enterprise). Trata-se de um EnScript chamado "Memscript" - que facilita em muito a análise de memória a partir da interface do próprio Encase.

São pré-requisitos para ele: Memoryze, Audit Viewer (escrito em Python). Estas ferramentas tem licença BSD - o que facilita seu uso corporativo.

Depois de instalado na máquina do investigador, o processo é muito simplificado, pois basta escolher as máquinas a terem a memória coletada, efetuar o dump de memória pelo próprio Encase e depois utilzar o Memscript para efetuar a análise de memória, que contém os seguintes itens/subtitens:

ProcessAuditMemory (Files, Directories, Processes, Keys, Mutants, Events, Dlls, Strings, Memory Sections, Ports)

DriverAuditSignature (Root/All) (ImageBase, DriverName, DriverInit, DriverStartIO, DriverUnload, IRP_MJ_CLOSE, IRP_MJ_READ, + 20 campos IRP_MJ_*)

DriverAuditModuleList (ModulePath, ModuleName, ModuleInt, ModuleBase, ModuleSize, ModuleAddress)

RootkitAudit (HookedFunction, HookedModule, HookingModule, HookingAddress)

Existe um User Guide (PDF) muito bem escrito, descrevendo as funcionalidades do Audit Viewer.

No link incluído para o site da Mandiant, existe um passo a passo detalhado com capturas de telas, para auxiliar o investigador a configurar as ferramentas descritas.

Tuesday, December 16, 2008

ATENÇÃO: Patch para Vulnerabilidade Crítica do Internet Explorer sai amanhã

Atualização: 2008/12/16 22:43

O pessoal do Time de Segurança da Microsoft no Brasil postou sobre o Patch que será liberado amanhã, informando que o boletim de segurança sairá às 15h, horário de Brasília - segue parte do post:

"A Microsoft liberará um boletim de segurança (fora da programação normal das segundas terça-feiras do mês) que resolve uma vulnerabilidade do navegador Internet Explorer em todas as versões correntes e suportadas de Windows. Esse boletim sairá aproximadamente às 15:00 horas, horário de Brasília em 17 de Dezembro de 2008.

Essa atualização estará disponível fora do ciclo mensal de boletins de segurança em um esforça da Microsoft de proteger seus clientes. A Microsoft recomenda que seus clientes preparem seus sistemas e redes para aplicar esse boletim imediatamente após liberada para que seus computadores fiquem melhor preparados contra ações de ataques criminosos. Para mais informações sobre essas atualizações, por favor visite a página web em Inglês http://www.microsoft.com/protect."


Post Original: 2008/12/16 19:08

A Microsoft está prometendo o patch para a vulnerabilidade "0-day" do IE (todas versões) para amanhã.

anúncio:
http://www.microsoft.com/technet/security/bulletin/ms08-dec.mspx

outros links da microsoft relacionados:

http://www.microsoft.com/technet/security/advisory/961051.mspx
http://blogs.technet.com/swi/archive/2008/12/12/Clarification-on-the-various-workarounds-from-the-recent-IE-advisory.aspx


inscrição para webcast da MS amanhã (17/12/2008) sobre a vuln:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032399448&Culture=en-US

inscrição para webcast da MS do dia 18/12/2008:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032399449&Culture=en-US

repercussão do anúncio do Patch para amanhã:

http://blogs.zdnet.com/security/?p=2317
http://isc.sans.org/diary.html?storyid=5497&rss
http://security.blogs.techtarget.com/2008/12/16/microsoft-to-release-emergency-patch-for-ie-xml-flaw/

Tudo começou em um fórum hacker chinês (2) e foi trazido ao ocidente através de um Post da PC-WORLD em 09/12/2008 - Uma das melhores análises técnicas das explorações iniciais foi feita pelo HD Moore. Hoje já estão disponíveis vários exploits.

Enquanto isto o número de sites explorando a vulnerabilidade já subiu para 10.000 e o número de usuários afetados é de mais de 1 em cada 400 internautas. É interessante notar que a maioria são sites legítimos que são invadidos e passam a disseminar trojans através da exploração da falha não corrigida.

No meio tempo, entre as ações com real efeito, vale a pena - quando possível - utilizar um navegador mais seguro (Firefox, Chrome) e bloquear (via filtro de conteúdo, proxy, acls) os domínios maliciosos já identificados. Algumas regras de IDS podem ajudar, mas não resolvem.

Como - ainda por cima - os "workarounds" de mitigação oferecidos pela Microsoft não estão sendo levados muito a sério (são realmente confusos), o negócio é esperar o Patch sair amanhã e TESTAR/APLICAR em regime de urgência em todas as máquinas Windows - para minimizar o impacto nas máquinas sob sua resposabilidade.

Para mais informações, veja:

http://www.kb.cert.org/vuls/id/493881
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4844
http://xforce.iss.net/xforce/xfdb/47208
http://milw0rm.com/exploits/7477
http://www.securityfocus.com/bid/32721
http://feeds.feedburner.com/~r/SpywareSucks/~3/482165575/1656545.aspx
http://www.f-secure.com/weblog/archives/00001561.html
http://www.breakingpointsystems.com/community/blog/patch-tuesdays-and-drive-by-sundays
http://www.darknet.org.uk/2008/12/ie7-exploit-also-affects-ie5-ie6-and-ie8-more-users-in-trouble/
http://securitylabs.websense.com/content/Alerts/3259.aspx

Thursday, December 4, 2008

DNSChanger - v4

O primeiro post deste blog - em 13 de junho deste ano - foi sobre um trojan chamado "DNSChanger" que tentava acessar com senhas padrão o gateway (modem/AP/router) da rede interna e automatizava a exploração da rede local da vítima, além de reconfigurar os endereços DNS atribuídos automaticamente e assim possibilitar o controle da navegação e phishing/pharming em uma nova dimensão.

Pois bem, passados 6 meses, estamos no 48.0 post deste blog e uma nova variante do DNSChanger está chamando a atenção da comunidade de segurança, por sua inovação.

De uma forma geral, estes trojans que buscam alterar as configurações de DNS das máquinas locais ou da rede do usuário, têm agido até o momento com um três dos seguintes modus operandi:

  1. Modificar o arquivo Hosts do Windows Modify (%SYSROOT%\windows32\drivers\etc\hosts)
  2. Modificar a entrada de registro incluindo um DNS server malicioso (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer)
  3. Explorar vulnerabilidades do tipo "cross-site request forgery" em routers (ou via força bruta como nosso post de junho aponta) para sobrescrever a configuração DNS das máquinas na rede local
A novidade está na nova técnica utilizada por este trojan, que permite que todos os equipamentos IP (indepentende de sistema operacional) que estejam configurados para obter endereçamento automaticamente sejam afetados pela alteração de DNS.

É instalado na máquina infectada um driver (ArcNet NDIS) que irá a partir deste momento atuar como um servidor DHCP falso, e vai concorrer com o servidor real na distribuição dos endereçamentos da rede local - e - como você já deve ter imaginado - quando ele atribui o endereço ele também fornece ao equipamento os IPs de servidores DNS falsos para que a navegação das máquinas seja controlada por ele.

Dois pontos interessantes levantados pela Mcafee/Sans:

1 - o número de equipamentos afetados com este tipo de abordagem é maior, já que não há limitação por sistema operacional.

2 - a detecção da causa-raiz da alteração do DNS das máquinas afetadas é muito difícil (você teria que analisar o tráfego de rede para identificar os endereços MAC dos pacotes "DHCP Offer" para identificar onde a máquina infectada está..)

Os DNS falsos utilizados na variante analisada são:
  • 85.255.112.36
  • 85.255.112.41
Como mitigação (deste ataque específico), o SANS Institute recomenda bloquear o range 85.255.112.0 – 85.255.127.255 no seu gateway de borda.

A Mcafee informa também que o driver legítimo "ArcNet NDIS Protocol Driver" que é utilizado pode ser encontrado no caminho a seguir: (%SYSROOT%\system32\drivers\ndisprot.sys)

Além dos links de referência já citados, a Symantec publicou uma análise do trojan contendo as modificações efetuadas no sistema afetado.

Monday, December 1, 2008

FACE: Automated digital evidence discovery and correlation

Interessante pesquisa/protótipo de ferramenta para
correlacionar resultados de
forense de disco/ forense
de memória/ forense de rede: (
pdf).

O conceito é muito interessante, e é bem possível que
vejamos isto como commodity
em alguns anos, talvez
através de um padrão/protocolo aberto de
relacionamento entre estas tecnologias e fabricantes...


Abstract:

"Digital forensic tools are being developed at a brisk pace in response
to the ever increasing variety of forensic targets. Most tools are
created for specific tasks – filesystem analysis,memory analysis,
network analysis, etc. – and make little effort to interoperate with
one another. This makes it difficult and extremely time-consuming
for an investigator to build a wider view of the state of the system
under investigation. In this work, we present FACE, a framework
for automatic evidence discovery and correlation from a variety of
forensic targets. Our prototype implementation demonstrates the
integrated analysis and correlation of a disk image, memory image,
network capture, and configuration log files. The results of this
analysis are presented as a coherent view of the state of a target
system, allowing investigators to quickly understand it. We also
present an advanced open-source memory analysis tool, ramparser,
for the automated analysis of Linux systems."

Wednesday, November 26, 2008

MS08-067 - O Trojan está aí, e o uso em Bots e o Worm CHEGOU

UPDATE 26/11/2008:

Demorou um mês, mas o worm "Conficker" e os bots "IRCBot.BH" que exploram a vulnerabilidade descrita no MS08-067 são uma realidade... (inclusive no Brasil)...

25/10/2008:


O Trojan Gimmiv.A já está explorando a vulnerabildade recentemente corrigida pela Microsoft no "Server Service" do Windows.

Interessante notar que o trojan Gimmiv. A permite execução remota de código (via RCP-DCOM - a la Blaster de cinco anos atrás ... de volta ao passado?) .

Algumas coisas que p que o Gimmiv.A pode fazer:
  • Identificar e desabilitar Anti-Vírus (Trend Micro, Symantec, BitDefender, Rising, Kaspersky, Kingsoft, Microsoft One Care, Jiangmin)
  • Roubar usuario e senha do MSN Messenger
  • Roubar usuario e senha do Outlook Express
  • Roubar password salvos do Internet Explorer
  • Roubar Cookies com tokens de autenticação
  • Baixar qualquer arquivo que o atacante indique.
É claro que em breve esta vulnerabildade será transformada em worm.. e é aí que reside o maior perigo..

A falha de desenvolvimento que proporciona a vulnerabilidade está na mesma área de código do MS06-040 - segundo decompilação da função "sub_5B86A51B" da lib netapi32.dll do XP SP3 feita por Alexander Sotirov.

A SourceFire disponibilizou assinaturas para detectar ataques relacionados: baixe aqui.

Caso você ainda não tenha feito patch em seus Windows (Workstations E Servers): dê uma olhada neste post no Blog do time SWI da Microsoft. Em resumo, para XP,2000 e 2003, o risco é de execução remota de código.. para Vista e 2008 é (só) Denial of Service.. Lembra daquelas janelinhas de crash do DCOM com o Blaster...

Enquanto você não conseguir "patchear"todas suas máquinas, ao menos tente habilitar o Firewall e desabilitar - quando possível, o compartilhamento de arquivos/impressoras.. Dê uma olhada no link da SWI nas outras opções de remediação.

O pessoal da Threat Expert analisou o Gimmiv.A e ele baixa arquivos dos seguintes sites (vale a pena bloquear acesso à eles via FW/Controle de Conteúdo):

  • http://summertime.1gokurimu.com

  • http://perlbody.t35.com

  • http://doradora.atzend.com
No mais, é se certificar que as máquinas sob sua responsabildiade estejam com os PATCHES (para isto, use este plugin do NESSUS) e esperar que os Bots existentes passem a utilizar mais este vetor de exploração .. Afinal, além da análise de Sotirov, já existem exploits disponíveis no Milw0rm / SecurityFocus:

Friday, November 21, 2008

UPDATE - Forense: aquisição e análise de dumps de memória RAM

21-11-2008 - Atualização:

Rob Lee (da Mandiant e Sans Institute) publicou um interessantíssimo post contendo um how-to sobre o que comentamos em setembro neste blog (Live Response versus Memory Analysis) , usando como exemplo o Memoryze e o Volatility. Vale a pena conferir estas referências sobre o assunto:

  1. http://www.hbgary.com/papers/The%20value%20of%20physical%20memory%20for%20incident%20response.pdf
  2. http://www.search.org/files/pdf/collectevidenceruncomputer.pdf
  3. http://sansforensics.wordpress.com/2008/11/19/memory-forensic-analysis-finding-hidden-processes/

05-09-2008 - Atualização:

Os pesquisadores Cal Waits, Joseph Ayo Akinyele, Richard Nolan e Larry Rogers - do Carnegie Mellon University’s Software Engineering Institute - publicaram ontem um interessante relatório - intitulado "Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis. (SEI Technical Note CMU/SEI-2008-TN-017)".

O documento apresenta cenários onde evidências voláteis úteis à investigação são obtidas de duas formas diferentes:

1) coletadas de uma máquina ligada - utilizando ferramentas da Sysinternals (agora Microsoft).

2) colatadas através de dump da memória RAM da máquina - utilizando o Volatility e o PTFinder.

Para cada caso é mostrada a abordagem de resposta e de análise dos dados coletados, além de ser feita uma apresentação das vantagens e desvantagens dos métodos em questão e sua utilidade no curso de uma investigação envolvendo computadores ligados.

Ao final é sugerido pelos pesquisadores uma abordagem híbrida, utilizando tanto a análise de dados voláteis quanto dumps de memória durante a triagem do incidente em curso.

Para auxiliar grandes corporações a alcançar este objetivo em redes com milhares de pontos e grande complexidade, existem soluções comerciais como o Encase Enterprise, da Guidance Software.

23-06-2008:

Conforme apontado por 32bits : "winen.exe" e 64bits: "winen64.exe" - que funcionam nos sistemas operacionais Windows 2000, XP, 2003 & Vista).

Z:\>winen.exe -h
Usage: [Options]
-p : Evidence File Path
-m : Evidence Name (Max Size:50)
-c : Case Number (Max Size:64)
-e : Examiner Name (Max Size:64)
-r : Evidence Number (Max Size:64)
-d : Compression level (0=None, 1=Fast, 2=Best) (Default: 0)
-a : A semicolon delimated list of Alternate paths
-n : Notes (Max Size:32768)
-s : Maximum file size in mb (Default: 640) (min:1 max:10485760)
-g : Error granularity (Sectors) (Default: 1) (min:1 max:1024)
-b : Block size (Sectors) (Default: 64) (min:1 max:1024)
-f : Path to configuration file
-t: Turns off hashing the evidence file (default: true)
-h: This help message

Para efetuar o parsing das imagens de memória adquiridas, podem ser utilizados:

1 - Encase + Enscripts Encase publicados por - para XP SP2 e para Windows 2000
2 - FTK Imager Lite
3 - Volatility Open Source (CygWin/OSX/Linux) - escrito em python

Volatility Supported Commands:

connections Print list of open connections
connscan Scan for connection objects
datetime Get date/time information for image
dlllist Print list of loaded dlls for each process (VERY verbose)
files Print list of open files for each process (VERY verbose)
ident Identify image properties such as DTB and VM type (may take a while)
modules Print list of loaded modules
pslist Print list of running processes
psscan Scan for EPROCESS objects
sockets Print list of open sockets
sockscan Scan for socket objects
strings Match physical offsets to virtual addresses (VERY verbose)
thrdscan Scan for ETHREAD objects
vaddump Dump the Vad sections to files
vadinfo Dump the VAD info
vadwalk Walk the vad tree

1 - Exemplo de extração de processos executando de um Windows XP:

ss@ss:~/Volatility-1.1.2$ python volatility pslist -f memory-images/xp-laptop-2005-06-25.img

Name Pid PPid Thds Hnds Time
System 4 0 61 1140 Thu Jan 01 00:00:00 1970
smss.exe 448 4 3 21 Sat Jun 25 16:47:28 2005
services.exe 580 528 18 401 Sat Jun 25 16:47:31 2005
lsass.exe 592 528 21 374 Sat Jun 25 16:47:31 2005
(...)
wuauclt.exe 2424 840 4 160 Sat Jun 25 16:49:21 2005

firefox.exe 2160 1812 6 182 Sat Jun 25 16:49:22 2005
PluckSvr.exe 944 740 9 227 Sat Jun 25 16:51:00 2005
iexplore.exe 2392 1812 9 365 Sat Jun 25 16:51:02 2005
PluckTray.exe 2740 944 3 105 Sat Jun 25 16:51:10 2005
PluckTray.exe 3256 1812 0 -1 Sat Jun 25 16:54:28 2005
cmd.exe 2624 1812 1 29 Sat Jun 25 16:57:36 2005
wmiprvse.exe 4080 740 7 0 Sat Jun 25 16:57:53 2005
PluckTray.exe 3100 1812 0 -1 Sat Jun 25 16:57:59 2005
dd.exe 4012 2624 1 22 Sat Jun 25 16:58:46 2005


2 - Exemplo de extração de conexões estabelecidasem de um Windows XP:

ss@ss-ubuntu:~/Volatility-1.1.2$ python volatility connections -f memory-images/xp-laptop-2005-06-25.img

Local Address Remote Address Pid
127.0.0.1:1056 127.0.0.1:1055 2160
127.0.0.1:1055 127.0.0.1:1056 2160
192.168.2.7:1077 64.62.243.144:80 2392
192.168.2.7:1082 205.161.7.134:80 2392
192.168.2.7:1066 199.239.137.200:80 2392



3 - Exemplo de extração de objetos EPROCESS em de um Windows XP:

ss@ss:~/Volatility-1.1.2$ ./volatility psscan -f memory-images/xp-laptop-2005-07-04-1430.img
No. PID Time created Time exited Offset PDB Remarks
---- ------ ------------------------ ------------------------ ---------- ---------- ----------------

1 0 0x00558e80 0x00039000 Idle
2 3612 Mon Jul 04 18:24:00 2005 0x013383b0 0x19d19000 PluckTray.exe
3 3276 Mon Jul 04 18:21:11 2005 0x0133d810 0x1ebc8000 firefox.exe
4 2496 Mon Jul 04 18:18:06 2005 0x01462be0 0x185c5000 VPTray.exe
5 2392 Mon Jul 04 18:18:03 2005 0x0146e860 0x17b7f000 explorer.exe
6 3128 Mon Jul 04 18:19:11 2005 0x01474510 0x1c1b5000 wuauclt.exe
7 368 Mon Jul 04 18:24:30 2005 Mon Jul 04 18:26:44 2005 0x01488350 0x1bb44000 PluckUpdater.ex
8 2692 Mon Jul 04 18:18:15 2005 0x014b8a58 0x1972e000 WZQKPICK.EXE
9 480 Mon Jul 04 18:17:29 2005 0x014dc020 0x0dec3000 winlogon.exe
10 2548 Mon Jul 04 18:18:07 2005 0x014ecc00 0x18962000 jusched.exe
11 680 Mon Jul 04 18:17:31 2005 0x014f0020 0x0e7b3000 svchost.exe
12 1380 Mon Jul 04 18:17:40 2005 0x01521da0 0x12701000 DefWatch.exe
13 524 Mon Jul 04 18:17:30 2005 0x015221c8 0x0e0de000 services.exe
(...)


Seguem para referência dois guias interessantes que detalham os passos a serem seguidos nos casos em que é necessária a Forense de Dados Voláteis:
Muitas novidades devem surgir neste campo em breve, um evento para ficar de olho é o Digital Forensics Research Workshop (DFRWS) 2008 - que ocorrerá em 10/08/2008 e sediará também o evento "Open Memory Forensics Workshop (OMFW)", com a presença já garantida dos seguintes especialistas:
  • Dr. Brian Carrier (Basis Technology)
  • Eoghan Casey (ONKC)
  • Dr. Michael Cohen (Australian Federal Police)
  • Brian Dykstra (Jones Dykstra & Associates)
  • Brendan Dolan-Gavitt (Georgia Institute of Technology)
  • Matthew Geiger (CERT)
  • Keith Jones (Jones Dykstra & Associates)
  • Jesse Kornblum (ManTech)
  • Andreas Schuster (Deutsche Telekom AG)
  • AAron Walters (Volatile Systems, LLC)

Tuesday, November 18, 2008

Preparação / Procedimentos em alto nível para suspeita de vazamento de dados por comprometimento de um servidor

Pergunta: Quais seriam os Procedimentos (incluindo a preparação) em alto nível para tratar um incidente de suspeita de vazamento de dados por comprometimento de um servidor?

Este assunto foi suscitado no ótimo blog "Resposta a Incidentes e Forense Computacional".

Segue minha resposta (incluindo links) - e já com a correção (F-Response e não F-Secure...) feita pelo Tony:

Para responder de uma maneira mais completa ao problema proposto, o ideal é que a equipe de resposta a incidentes responsável possa contar com 3 tipos de soluções, listadas por ordem de importância para o caso em pauta:

I - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados ao ataque (ex: NetWitness NextGen / CA Network Forensics)

II - Uma solução de SIEM/SEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidor comprometido, ids/ips, dhcp, dns, aplicações internas, catracas de acesso, sistema de ponto, controle de acesso lógico, etc) (ex: ArcSight / ISM Intellitatics / Symantec SIM)

III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco (ex: Encase Enterprise / F-Response / AccessData Enterprise )

IV - Uma ferarmenta de monitoração de atividade de desktops (ex: SpectorCNE, WorkExaminer) [item incluído em 18/10/2009]


Friday, November 7, 2008

Espionagem Industrial - Engenheiro da Intel que foi para a AMD é indiciado por roubar 13 documentos de projetos


Como já escrevi por aqui, a Intel é uma empresa que se preocupa muito com a segurança de suas informações, especialmente as relacionadas aos projetos de novos chips para microcomputadores.

Não é por acaso. Um ex-engenheiro da Intel que foi trabalhar na concorrente AMD foi indiciado por roubar 13 documentos de projetos secretos da empresa, incluindo alguns que possuiam o design de novos chips - (veja o documento legal do indiciamento).

Durante uma férias que tirou na Intel, o engenheiro Biswamohan Pani foi contratado pela AMD e acessou via VPN a Intel para obter os documentos. Um dos projetos que ele trabalhou na Intel foi o desenvolvimento do processador Itanium.

As investigações até o momento não acharam provas de que a AMD solicitou ou sabia dos planos de Pani, e as duas empresas estão cooperando com o FBI no tratamento do caso.

Apesar das tentativas de defesa - dizendo que os arquivos foram baixados para auxiliar o trabalho da esposa, que também é da Intel, o engenheiro corre o risco de ser preso por 10 ou 20 anos...

Tuesday, October 28, 2008

Cymru disponibiliza serviço gratuito para verificação de hashes de arquivos (md5/sha1) via Whois e Dns

Para análise de malwares via WEB, já são famosos os serviços VirusTotal e JottiScan.

Agora o Team Cymru divulgou um serviço muito interessante para verificação simples ou em lote de hashes de arquivos que pode ser utilizado por grupos de resposta a incidentes:

Funciona assim: você primeiro gera a lista de hashes (md5sum / sha1sum) dos seus arquivos suspeitos, depois basta utilizar um cliente whois ou dns para fazer as consultas:

whois input:
$whois -h hash.cymru.com e1112134b6dcc8bed54e0e34d8ac272795e73d74

whois output:

"1221154281 53"

whois interpretação:
A data de entrada do binário está em epoch / unix time.
para traduzir, o melhor comando é "date -d @1221154281" => Thu Sep 11 14:31:21 BRT 2008

depois do espaço, é apresentado o percentual de detecção, ou seja, no exemplo
53% dos anti-vírus utilizados detectaram o hash que você enviou como malware

Mais info aqui para saber como se consulta via DNS e para consultas de arquivos contendo múltiplos hashes (via netcat).

Tuesday, October 21, 2008

pdgmail: nova ferramenta para Forense de Memória do GMAIL

O Gmail é o webmail que mais incomoda um analista forense em uma investigação em que os vestígios do
uso do Webmail é requerida - isto cada vez mais será coisa do passado. Baseado no recente artigo de John McCash, Jeff Bryner acaba de lançar uma ferramenta em python para interpretar a saída do dump de memória (toda memória física ou do processo do browser utilizado - qualquer browser, qualquer sistema operacional) e provê como ouput as seguintes informações sobre o gmail:

* Contatos
* Registros de Acesso (IPs)
* Nomes de conta do Gmail
* Cabeçalhos de mensagens
* Corpo das mensagens

Acredito ser um excelente "extra" para investigações envolvendo utilização de Gmail - especialmente
porque os vestígios deixados em disco pelo Gmail são insuficientes e cada vez mais ele é usado sobre
HTTPS..

Mais informações aqui.

Atente para este parágrafo:

"I used the pd dump tool from www.trapkit.de, available here, and tested against my meager
GMail account, Windows XP, 2000, IE 6, IE 7 and Firefox 3. In all cases I was able to retrieve
contact data, last login times and IP addresses, basic email headers and email bodies. Even if
the browser was ‘logged out’ of GMail, they all still retained this data. Even for messages that
were not opened, contacts that weren’t used. Simply loading up the GMail UI loads all this data
in the memory image."

Verifiquei que realmente os dados continuam disponíveis em memória mesmo depois do usuário
efetuar logoff tanto para o Firefox no linux e Internet Explorer e Firefox no Windows .

O procedimento é simples:

No Linux:

1) ./pd -p > browser.dump
2) strings -el browser.dump | pdgmail > output.gmail

No Windows:

1) .pd.exe -p > browser.dump
2) strings -el browser.dump | pdgmail > output.gmail

Urls:

PD: http://www.trapkit.de/research/forensic/pd/index.html
PDGMAIL: http://www.jeffbryner.com/code/pdgmail - ta com problemas no momento mas dá pra pegar via cache do google:
http://209.85.173.104/search?q=cache:crZARiCZN5IJ:www.jeffbryner.com/code/pdgmail

* o PDGMAIL requer o interpretador do PYTHON instalado.. (no linux já vem, para windows: http://www.python.org/download/windows/)


Sunday, October 19, 2008

FBI prende 60 pessoas depois de 2 anos de operação de site-armadilha




O FBI prendeu mais de 60 pessoas depois de 2 anos de operação do site-armadilha "DarkMarket" - que era reconhecido pela comunidade criminosa como um dos maiores sites para compra e venda de dados pessoais roubados e negociação de equipamentos utilizados em crimes financeiros, especialmente ligados à cartões de crédito - site movimentava mais de US$ 10 milhões mensalmente.

Apesar de anunciar que o site era comandado a partir do leste europeu, e que seu líder era o famoso hacker "Master Splyntr" (lembra das tartarugas ninjas?) Na verdade o site era comandado pelo agente do FBI J. Keith Mulars, a partir de um prédio da agência em Pittsburgh (pode ser que o agente tenha se apoderado no nickname/email/icq do bandido em 2005).

Estas informações foram primeiramente divulgadas pela rádio alemã Südwestrundfunk, que descobriu que o site era operado pelo FBI / "National Cyber Forensics Training Alliance" (NCFTA).

Durante estes 2 anos, muitos bandidos morderam a isca que o FBI colocou, e pelo menos 61 incautos foram presos...

Friday, October 17, 2008

Sans Forensic Summit & afterthoughs

Gostaria de compartilhar alguns links com impressões interessantes e comentários sobre o recente "Summit" de Forensics que o Sans Institute organizou nos USA.

Site Oficial do evento: http://www.sans.org/forensics08_summit/

Comentários de palestrantes:

1) http://volatility.tumblr.com/post/54726443/f-response-sans-summit (Pra quem não conhece, o Volatility é um - excelente - programa open-source para forense de memória RAM)

2) http://www.f-response.com/index.php?option=com_content&task=view&id=80&Itemid=9

3) http://windowsir.blogspot.com/2008/10/sans-forensic-summit_15.html

4) http://taosecurity.blogspot.com/2008/09/bejtlich-keynote-at-sans-forensics.html (autor do livro "The Tao of Network Security Monitoring")


Tuesday, October 7, 2008

T-Mobile/Deutsche Telekom e Shell Oil anunciam vazamento de dados pessoais



Em menos de uma semana, a (1) T-Mobile/Deutsche Telkecom anunciou (que em 2006) vazaram informações cadastrais de 16 milhões de clientes de telefonia móvel e a (2) Shell Oil anunciou que informações pessoais (PI) de parte de seus empregados foram utilizados indevidamente por um ex-funcionário de uma empresa contratada para cometimento de fraudes.

Interessante notar que - em alguns países - a divulgação é obrigatória ou pode atenuar a pena para a empresa responsável pelo vazamento dos dados.

Como referência deste tipo de divulgação nos EUA, existem duas excelentes páginas

Friday, October 3, 2008

Edição de Outubro da INSECURE MAGAZINE

Apesar do excesso de propagandas, a Insecure Magazine é uma excelente leitura, como sempre, nesta edição de Outubro/2008 - além dos temas fixos (sugestões de livros, notícias, eventos, destaques de softwares e videos) existem artigos sobre os seguintes temas:

  • Segurança da Informação e Segurança de Rede na Europa hoje
  • Segurança em Navegadores Web
  • Análise passiva de tráfego com NetworkMiner
  • Lynis - introdução à auditoria de sistema Unix
  • Vulnerabildiades em Drivers Windows - METHOD_NEITHER
  • Removendo armoring de executáveis
  • Inseguranças em programas de proteção da privacidade
  • Uma abordages proativa para vazamento de informações
  • Compliance não é Segurança mas é um bom começo
  • Desenvolvimento seguro de aplicações WEB
  • Evitando ataques sem comprometer a segurança
  • O risco dos insiders
  • Segurança de aplicação para empresas - como balancear o uso de revisão de códigos e firewalls de aplicação para compliance PCI
  • Segurança de Aplicação Web - um negócio arriscado?

Thursday, October 2, 2008

Skype Chinês - Você está sendo vigiado... e suas conversas estão disponíveis na Internet!


Sabe-se que o programa Skype possui criptografia 128 bits (ou melhor) - qual a alternativa então para monitoração de conteúdo de mensagens de texto/conversas de audio ?

Solução encontrada pelo governo chinês: manter no software (antes de criptografar a mensagem a ser enviada e depois de descriptografar a mensagem recebida) uma lista (atualizável) de palavras chaves como "comunismo", "vou sair do partido","leite em pó", "democracia", "Tibet" - e capturar o conteúdo das conversas que contiverem estas palavras, guardando-as em servidores do "Tom-Group".

Apesar de já ser público que o programa Skype desenvolvido em parceria pelo Tom Group para os chineses (wikipedia: "TOM-Skype client has built in trojan capabilities used by the Chinese government for censorship")

Foi publicado hoje por Nart Villeneuve um paper chamado "Breaching Trust - An analysis of surveillance and security practices on China’s TOM-Skype platform" - onde detalhes do funcionamento da espionagem do Skype Chinês são publicados - e coisa pior, como são mal guardados os dados capturados (inclusive com a chave de descriptografia no mesmo servidor!!)

Monday, September 29, 2008

Sans publica consenso sobre novas tendências de Resposta a Incidentes e Forense

sasO Sans Institute divulgou uma interessante lista de novas tendências das áreas de "Incident Response (I.R.)" e "Computer Forensics":
  • Aumento das Investigações de Vazamentos de Dados;
  • As empresas que precisam de IR/Forensics não fizeram a preparação adequada
  • Necessidade clara de qualificação adequada para execução de Forensics
  • Sub-setor de E-Discovery com grande crescimento devido às Federal Rules of Civil Procedure
  • Muitos dados para executar Forensics / necessidade de rever processos tradicionais
  • Forense para dispositivos móveis (Ipods, PDAs, ...)
  • Coleta e Análise de Dados Voláteis têm sido críticos para resolução de casos.

Os especialistas consultados foram:
  • Jim Butterworth (Guidance Software)
  • Harlan Carvey (IBM ISS)
  • Art Ehuan (Forward Discovery)
  • Rob Lee (Mandiant)
  • Monty McDougal (Raytheon)
  • Bret Padres (Stroz Friedberg LLC)
  • Jeffrey Palatt (IBM ISS)
  • Ed Skoudis (Intelguardians)
  • Aaron Walters (Volatile Systems)

Sunday, September 28, 2008

Helix3 2.0 lançado

A E-Fense lançou ontem a versão 2.0 do seu Live CD Helix3 - uma ótima alternativa open-source para resposta a incidentes e forense computacional "live"..

Nesta versão, o Linux utilizado como base foi o Ubuntu, o que certamente facilitará no processo de atualização das várias ferramentas que compõem a distribuição - listadas abaixo:

Ferramentas Gráficas:

  • Adepto & Air - GUI front-ends to dd/dcfldd/sdd
  • linen: EnCase Image Acquisition Tool
  • Retriever: (picture/video) capturing utility for “quick peeks”, and general searches
  • Autopsy Forensic Browser - graphical interface to the command line digital investigation analysis tools in The Sleuth Kit
  • pyFlag - simplify the process of log file analysis and forensic investigations
  • RegViewer - *Nix viewer / navigator for windows registry file
  • xhfs - graphical front-end for browsing and copying files on HFS-formatted
    volumes
  • Ethereal - allow you to interactively browse network traffic
  • ClamAV and F-Prot Anti Virus Scanners
Command Line:
  • 2hash: MD5 & SHA1 parallel hashing.
  • bmap: Detect & Recover data in used slackspace
  • ChaosReader: Trace tcpdump files and extract data
  • chkrootkit: Look for rootkits.
  • chntpw: Change Windows passwords.
  • dcfldd: dd replacement from the DCFL.
  • e2recover: Recover deleted files in ext2 file systems.
  • f-prot: F-Prot Anti Virus Scanner.
  • fatback: Analyze and recover deleted FAT files.
  • faust.pl: Analyze elf binaries and bash scripts.
  • fenris: debugging, tracing, decompiling.
  • foremost: Carve files based on header and footer.
  • ftimes: A toolset for forensic data acquisition.
  • galleta: Cookie analyzer for Internet Explorer.
  • glimpse: Indexing and query system.
  • grepmail: Grep through mailboxes.
  • logfinder.py: EFF logfinder utility.
  • logsh: Log your terminal session
  • lshw: Hardware Lister.
  • mac-robber: TCT's graverobber written in C.
  • md5deep: Recursive md5sum with db lookups.
  • outguess : Steganography detection suite.
  • pasco: Forensic tool for Internet Explorer Analysis.
  • rifiuti: "Recycle BIN" analyzer.
  • rkhunter: Rootkit hunter.
  • scalpel: Fast File Carver
  • sdd: Specialized dd w/better performance.
  • sha1deep: Recursive sha1sum with db lookups.
  • sha256eep: Recursive sha1sum with db lookups.
  • stegdetect: Steganography detection suite.
  • wipe: Secure file deletion.

Várias organizações utilizam o Helix como base para treinamentos :

Saturday, September 27, 2008

Apresentação sobre logs para resposta a incidentes e forense

Anton Chuvakin (LogLogic) disponibilizou uma interessante apresentação sobre a utilização de logs nos processos de resposta a incidentes e forense computacional que ele preparou para o Simpósio "GOVCERT 2008", na Holanda. Vale a pena conferir.

Thursday, September 18, 2008

Iphone Forensics Book & Video

Update: Iphone Forensics Video:

http://security4all.blogspot.com/2008/09/iphone-forensics-video-online-and-some.html

Iphone Forensics Book

"This book is a must for anyone attempting to examine the iPhone. The level of forensic detail is excellent. If only all guides to forensics were written with this clarity!" -Andrew Sheldon, Director of Evidence Talks, computer forensics experts With iPhone use increasing in business networks, IT and security professionals face a serious challenge: these devices store an enormous amount of information. If your staff conducts business with an iPhone, you need to know how to recover, analyze, and securely destroy sensitive data. iPhone Forensics supplies the knowledge necessary to conduct complete and highly specialized forensic analysis of the iPhone, iPhone 3G, and iPod Touch. This book helps you:

Determine what type of data is stored on the device Break v1.x and v2.x passcode-protected iPhones to gain access to the device Build a custom recovery toolkit for the iPhone Interrupt iPhone 3G's "secure wipe" process Conduct data recovery of a v1.x and v2.x iPhone user disk partition, and preserve and recover the entire raw user disk partition Recover deleted voicemail, images, email, and other personal data, using data carving techniques Recover geotagged metadata from camera photos Discover Google map lookups, typing cache, and other data stored on the live file system Extract contact information from the iPhone's database Use different recovery strategies based on case needs

And more. iPhone Forensics includes techniques used by more than 200 law enforcement agencies worldwide, and is a must-have for any corporate compliance and disaster recovery plan. This book is still in progress, but you can get going with this vital information right away through the Rough Cuts edition, whichgives you access to the manuscript as it evolves, either online or via PDF."

Saturday, August 30, 2008

Esteganografia na Folha de São Paulo para denunciar fraude em licitação de obra do metrô



Numa interessante utilização da técnica de esteganografia, o editor da Folha de São Paulo Online lançou mão desta arte de esconder mensagens dentro de outras para mostrar que era conhecido o vencedor de uma licitação para o Metrô de São Paulo 8 horas antes da divulgação oficial do resultado.

Veja a reportagem original com o texto escondido, falando da ópera Salomé, e a reportagem que mostra os trechos escondidos que denunciam que a licitação foi "dirigida".

Obrigado ao Marcelo Alves por garimpar esta....

Wednesday, August 27, 2008

Portal Brasileiro de Programação Segura Java

Aumentando o coro em prol da divulgação do novo portal de segurança para programação em Java de Lucas Ferreira.

Já utilizei suas referências em empresas que trabalhei e sempre temos que aplaudir iniciativas como estas de publicações de referências de tão alta qualidade sob licença Creative Commons ..

Seções:
  • Validar os dados de entrada
  • Proteger a aplicação web contra cross site scripting
  • Evitar "command injection"
  • Tratar corretamente todos os erros da aplicação
  • Validar a origem das requisições
  • Usar objetos imutáveis
  • Limitar o acesso às variáveis, classes e métodos
  • Tornar todos os métodos e classes “final”
  • Não usar o escopo de pacote para proteger a classe contra acessos indesejados
  • Impedir a clonagem dos objetos
  • Usar classes não serializáveis
  • Usar classes não desserializáveis
  • Não armazenar informações confidenciais no código do programa
  • Não comparar classes por nome
  • Não usar classes internas (“inner class”)
  • Usar os mecanismos de autenticação dos contêineres J2EE
  • Usar sockets com criptografia SSL
  • Proteger os arquivos criados
  • Especificar o diretório onde serão criados os arquivos temporários
  • Verificar condições de “overflow”, “underflow” e conversões de tipos numéricos
  • Declarar as variáveis estáticas públicas como “final”
  • Não armazenar vetores recebidos como parâmetros
  • Apagar dados críticos da memória
  • Controle de acesso em aplicações web
  • Usar os mecanismos de tratamento de exceções
  • Verificar métodos nativos (“native methods”)
  • Validar unboxing para tipos primitivos

Friday, August 22, 2008

Brasileiro preso na Holanda por aluguel de botnet pode ser extraditado para os EUA

[ Update - 12/12/2009 ]

Depois de 16 meses do post original sobre o assunto, citando várias fontes da mídia especializada se referindo à prisão de um brasileiro acusado de intermediar um aluguel de computadores zumbis da "Shadow Botnet", recebi hoje um comentário anônimo no meu blog (de um IP oriundo da cidade de Taubaté - que já havia chegado ao blog via pesquisas no Google em outra oportunidade) afirmando - de forma bastante exaltada *e por isto não foi publicado na íntegra* - que o brasileiro é "inocente e já estaria no Brasil".

Não encontrei as "reportagens da BAND" que o anônimo citou em seu comentário como "ser a única que foi procurada para auxiliá-lo para provar ao Brasil e ao MUNDO, que ele foi vítima de uma armadilha" - mas informo que se receber um link ou outra referência verificável, publicarei assim que averiguar a fonte.

Voltando a analisar o assunto depois de quase 1 ano e meio, encontrei um detalhamento maior do desenrolar desta história na revista Geek http://www.geek.com.br/blogs/832697695/posts/10243-brasileiro-e-indiciado-por-shadow-botnet-o-rei-do-spam e Galileu http://revistagalileu.globo.com/Revista/Galileu/0,,EDR86914-7943,00.html

Para a Revisa Galileu, na oportunidade da reportagem de junho de 2009 - o brasileiro falou sobre o assunto. Como esta é a única defesa publicada que encontrei, estou a reproduzindo como complemento deste post de 1 ano e meio atrás - tire as suas conclusões:
* Qual era o seu trabalho no Brasil?
Leni de Abreu Neto:
Eu trabalhava com o aluguel de servidores dedicados.

* Que negociação você fez na Holanda?
Leni:
Intermediei a venda de um CD-ROM com um software, desenvolvido por um holandês, que tinha o código-fonte de uma botnet com 25 mil computadores. Ganhei 10 mil euros.

* Uma rede de "computadores-zumbis"?
Leni:
Não, não. Essa botnet é diferente. Ela foi toda feita com download voluntário. Um programa mandava por MSN um link para download, mas sem vírus, sem invasão, sem ação de hacker. Tenho como provar que tudo foi feito dentro da lei.

* Você afirma que toda pessoa que fez o download para que seu computador fosse controlado à distância sabia disso?
Leni:
Claro. Só se ela for analfabeta para não saber. Quem faz a instalação é o Windows. Mesmo que a pessoa por MSN tenha passado o link como sendo, por exemplo, a foto de uma mulher pelada, quando ela clicar o Windows vai avisar que é um programa e perguntar pelo menos duas vezes se a pessoa quer a instalação. Quem mandou o programa pode ter mentido, mas mentir não é crime.

* Se era tudo dentro da lei, por que o programa foi negociado pessoalmente, com dinheiro vivo?
Leni:
Porque o Ronnie me induziu a trabalhar diferente da maneira com que geralmente eu trabalho. Eu receberia o depósito em conta e mandaria o software por e-mail. Na última hora, ele me entregou o dinheiro e pediu para fazer a negociação. Fiz como um favor para o Ronnie. Foi uma armação da polícia.

* Como é a sua vida hoje?
Leni:
Como você acha que é? Na cela em frente, está um cara que matou a esposa. Trato todo mundo com educação para que não venham me matar. Esse lugar não tem nada a ver comigo. Nunca cometi nenhum crime.

[ Post Original - 22/08/2008 ]

Os acordos internacionais e cooperação entre as polícias especializadas no combate ao cyber-crime começaram a mostrar resultados neste ano.

Foi anunciada ontem a prisão do brasileiro Leni de Abreu Neto, de Taubaté-SP, ocorrida no final de julho, depois da cooperação entre a Polícia Federal Brasileira (Cyber Crimes), o Federal Bureau of Investigations (FBI - Cyber Squad Unit of New Orleans) e a Unidade de Combate a crimes de Alta Tecnologia da Holanda (Nederlandse High-Tech Crime Unit). A operação foi batizada como "Conexão Holanda" pela Polícia Federal brasileira.

Além dos brasileiro estão envolvidos os criadores da botnet - que se disseminava principalmente por MSN - que são dois irmãos holandeses - um com 16 e outro com 19 anos (Nordin Nasiri) que serão processados em seu país de origem.

Dentre as atividades investigadas, foi divulgado que o brasileiro fez um acordo com o holandês Nasiri há 4 meses atrás para atuar como negociador do aluguel da botnet a terceiros - para envio de SPAM, o que segundo levantamentos pode ter rendido cerca de R$ 70 mil em apenas uma negociação.

Se condenado, Leni de Abreu Neto pode pegar até cinco anos de cadeia, mais três de condicional, aém de ter de pagar uma multa de até U$ 250 mil dependendo dos prejuízos causados.

Leni está preso na Holanda e pode ser extraditado para os Estados Unidos, onde está sendo acusado de "conspiração para causar dano a computadores" por um juri federal no estado americano da Luisiana.

Thursday, August 14, 2008

OpenVas - fork GPL Free do Nessus

Foi anunciada ontem a primeira versão estável do OpenVas - Fork Gratuito e GPL do famoso scanner de vulnerabilidade "Nessus", que trocou seu licenciamento para um modelo comercial.

Assim como o Nessus, o OpenVas possui um componente server e outro client, e inclui uma lista gratuita de plugins para os testes de vulnerabilidade.

Sunday, August 10, 2008

China e EUA: Quer privacidade? Desligue e Tire a bateria do seu celular...


Na semana passada escrevi sobre a monitoração da Internet Chinesa nos jogos olímpicos. Hoje o pessoal da belsec chama atenção para esta entrevista de Joel Brenner (executivo de contra-inteligência do governo americano) que vai mais longe: segundo ele, o governo chinês (e outros, certamente), pode ligar seu telefone e ativar o microfone enquanto você pensa que ele está desligado:

Mr. BRENNER: The public security services in China can turn your telephone on and activate its microphone when you think it's off.

Mr. ORR: If the phone's in my pocket and it's off, you're saying an outside force, an outside agent can turn it on.

Mr. BRENNER: Yeah.

Mr. ORR: And listen to what I'm doing?

Mr. BRENNER: That is what I'm saying.

Mr. ORR: And my BlackBerry.

Mr. BRENNER: Same thing.

Thursday, August 7, 2008

Presos os hackers responsáveis pelos maiores roubos de números de cartões de crédito (incluindo TJX)

Depois de 3 anos da intrusão inicial e 1 ano e meio da divulgação do incidente pela TJX, o Departamento de Justiça americano divulgou que em conjunto com forças da lei de vários países foram presas 11 pessoas, entre elas 3 americanos, um estoniano, 3 ucranianos, um chinês e um bielorusso (incluindo um informante do serviço secreto americano).

Eles foram os responsáveis pelo maior roubo de números de cartão de crédito da história da internet: o da empresa americana TJX (que foi um grande motivador para a criação do padrão/auditoria "PCI - Payment Card Industry Data Security Standard") .

O total de cartões de crédito afetados pela quadrilha somente na TJX chega a mais de 40 milhões (cerca de 12 milhões de MasterCards e 25 milhões de cartões Visa) . Sem dúvida trata-se do maior caso de roubo de identidades já descoberto/divulgado.

Interessante notar que a empresa TJX divulgou que percebeu que haviam sido roubados números de cartões de crédito em janeiro de 2007, mas investigações indicaram que as primeiras intrusões ocorreram no ano de 2005. Algumas prisões já haviam ocorrido em 2007, mas todas relacionadas aos receptadores dos dados, desta vez foram presos os responsáveis pelas invasões e distribuição dos números de cartões de crédito.

A informação confirma que redes wireless de várias empresas (TJX, BJ’s Wholesale Club, OfficeMax, Boston Market, Barnes & Noble, Sports Authority, Forever 21 e DSW) foram inicialmente exploradas pelos hackers que depois conseguiram se infiltrar nos sistemas internos das empresas. Veja a anatomia do ataque à TJX.

Os perpetradores posteriormente venderam ou gravaram os números de cartões de crédito para saques em ATM's em uma rede de distribuição que envolvia os seguintes países: Ucrania, Bielorussia, Estonia, China, Philipinas e Tailandia.

Wednesday, August 6, 2008

Falha no protocolo DNS descoberta / patches

2008-08-06 - Atualização:

Finalmente, a apresentação na BlackHat:

http://www.doxpara.com/DMK_BO2K8.ppt


2008-07-26 - Atualização:

Melhoria das Regras para IDS (Snort):

http://www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_DNS_Poisoning?rev=1.20;content-type=text%2Fplain

#by many very smart people
# This may be a high load sig. Take time and seriously consider
# that your dns_servers var is set as narrowly as possible
alert udp any 53 -> $DNS_SERVERS any (msg:"ET CURRENT_EVENTS Excessive DNS Responses with 1 or more RR's (100+ in 10 seconds) - possible Cache Poisoning Attempt"; byte_test:2,>,0,6; byte_test:2,>,0,10; threshold: type both, track by_src, count 100, seconds 10; classtype:bad-unknown; sid:2008446; rev:8;)

#this will catch large numbers of nxdomain replies, a sign that someone may be trying to poison you
#alert udp any 53 -> $HOME_NET any (msg:"ET CURRENT_EVENTS Excessive NXDOMAIN responses - Possible DNS Poisoning Attempt Backscatter"; byte_test:1,&,128,2; byte_test:1,&,1,3; byte_test:1,&,2,3; threshold: type both, track by_src, count 100, seconds 10; classtype:bad-unknown; sid:2008470; rev:2;)
#by Greg Martin at Econet
alert udp any 53 -> $HOME_NET any (msg:"ET CURRENT_EVENTS DNS Query Responses with 3 RR's set (50+ in 2 seconds) - possible NS RR Cache Poisoning Attempt"; content: "|85 00 00 01 00 01 00 01|"; offset: 2; within: 8; threshold: type both, track by_src,count 50, seconds 2; classtype:bad-unknown; reference:url,infosec20.blogspot.com/2008/07/kaminsky-dns-cache-poisoning-poc.html; sid:2008447; rev:4;)
alert udp any 53 -> $HOME_NET any (msg:"ET CURRENT_EVENTS DNS Query Responses with 3 RR's set (50+ in 2 seconds) - possible A RR Cache Poisoning Attempt"; content: "|81 80 00 01 00 01 00 01|"; offset: 2; within: 8; threshold: type both, track by_src, count 50, seconds 2; classtype:bad-unknown; reference:url,infosec20.blogspot.com/2008/07/kaminsky-dns-cache-poisoning-poc.html; sid:2008475; rev:1;)

2008-07-24 - Atualização:

Exploits disponíveis.

E adivinhe? Quase 4.000 DNS's (Mais de 50% dos grandes servidores DNS brasileiros) estão vulneráveis no momento - segundo o registro.br (via Caprino).

2008-07-22 - Atualização:


Patch Now. Detalhes sobre a vulnerabilidade DNS descrita abaixo vazaram.

Para verificar rapidamente se um DNS Server está vulnerável -
(/dev/random):

Teste no Site do Dan Kaminski

ou

dig +short porttest.dns-oarc.net TXT

Resposta Com patch:

$ dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"88.191.254.6 is GOOD: 26 queries in 3.9 seconds from 26 ports with std dev 19554.27"

Resposta SEM PATCH:

$ dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"212.35.96.66 is POOR: 35 queries in 4.3 seconds from 1 ports with std dev 0.00"


Mãos à obra!


2008-07-07
:

Dan Kaminski é um ninja do TCP/IP que já contribuiu com a comunidade de segurança com seu memorável "Paketto Keiretsu" e uma interessantíssima análise de eventos como o RootKit da Sony.

Hoje foi divulgado que em março deste ano ele descobriu uma vulnerabilidade que facilita muito ataques de cache poisoning - utilizando birthday attacks no protocolo DNS - que afeta tanto servidores quanto clientes DNS. Veja o resumo executivo da descoberta.

Múltiplos fabricantes trabalharam em conjunto para solucionar o problema em suas implementações e um advisory do CERT foi publicado (.DOC) .

Para verificar se o seu DNS está vulnerável, teste-o no site do Dan Kaminski: doxpara.com

Há também uma entrevista interessante com o Dan Kaminsky sobre o tema.

Simplificando, apesar da especificação do protocolo DNS definir um campo de 16 bits para o campo "transaction" do cabeçalho - adivinhe... não é o que as implementações fazem (utilizam bem menos bits para isto). As soluções são expostas no .DOC acima.

Segundo o Dan Kaminsky, maiores detalhes técnicos serão expostos em 6 de Agosto, na DEFCON.

De cá pra lá, é bom ficar de olho para correções disponíveis do(s) fabricante(s) de DNS que você utiliza.

update (2008-07-08): Assinaturas de IDS para detecção (parcial) dos ataques descritos: http://www.snort.org/vrt/docs/ruleset_changelogs/changes-2008-07-08.html

Monday, August 4, 2008

NIST: Performance Measurement Guide for Information Security

Foi publicada a alguns dias uma excelente referência sobre métricas aplicadas à Segurança da Informação:

http://csrc.nist.gov/publications/nistpubs/800-55-Rev1/SP800-55-rev1.pdf

Especialmente útil para empresas que utilizam o framework 800-53 do NIST como referência, mas de grande valor para qualquer um que busca medir a eficiência das ações de segurança.

Outras excelentes referências relacionadas à métricas em Segurança são o livro (Security Metrics, Replacing-Fear, Uncertainty and Doubt ) e o blog de Andrew Jaquith.

Ladrão que rouba de ladrão - versão online.

Hoje o blog "Zero Day" da ZDNet publicou um artigo interessante sobre as técnicas utilizadas pelos fabricantes de kits de malware/phishing (como o Pinch, Rock , DIY e Zeus) para explorar os phishers script kiddies que utilizam estes kits prontos para efetuar seus golpes.

Segundo análise de Dancho Danchev, de 30% a 40% dos kits possuem backdoors que permitem aos seus criadores ou distribuidores obterem as informações confidenciais (logins de acesso, credenciais bancárias roubadas, capturas de tela) dos golpes sendo efetuados pelos phishers novatos que adquiriram o kit...

Além disto, existem vulnerabilidades conhecidas em alguns kits que permitem que outros fraudadores se aproveitem e tenham acesso não autorizado em uma "operação" em andamento por outro grupo de phishers..

Ladrão que rouba de ladrão...

Saturday, August 2, 2008

China força hotéis a instalar software de monitoração do uso de internet

2008-08-02 - Atualização:

Oficiais Chineses concordaram em aliviar um pouco para os jornalistas o bloqueio feito no uso da Internet na China durante os jogos olímpicos.. Será que vão aliviar o monitoramento também? Difícil...

2008-07-31:

É de conhecimento público que a china monitora / censura / bloqueia as ações de seus cidadãos na Internet.

Agora, com a proximidade das olimpíadas, hotéis de redes internacionais também estão sendo forçados a instalar software de monitoração das atividades da internet, segundo o International Herald Tribune

Jornalistas já estão sendo avisados/treinados para usar Criptografia para fugir na espionagem chinesa (outra alternativa é pagar caro e ser monitorado com certeza na vila olímpica) .. Veja Vídeo no Youtube

Saturday, July 19, 2008

Adeona - solução OpenSource para Recuperação de Notebooks Roubados

Já existiam algumas soluções comerciais para Windows ou Mac com o objetivo de facilitar a Recuperação de Notebooks Roubados.

Nesta semana foi anunciado e lançado um programa open-source e gratuito - desenvolvido na Universidade de Washington - com versões para Linux, Windows e Mac, para monitoração/recuperação de notebooks roubados.

http://adeona.cs.washington.edu/

Outro desenvolvimento interessante nesta área é a tecnologia "Anti-Theft" da Intel, que promete destruir totalmente o computador caso este seja roubado.

(nota: não era mais fácil fazer um full-disk encryption do disco? =)

Wednesday, July 16, 2008

HoneyBlog divulga registros sobre redes 'FastFlux'

Redes Fast Flux tem sido utilizadas por atacantes para construir e manter um mecanismo de redes de serviços redirecionadores para garantir uma infra-estrutura de armazenamento e distribuição de código malicioso.

O projeto HoneyNet acaba de liberar um arquivo (.tgz, 7.3 MB) que contém várias medições de dados coletados sobre redes fast-flux durante meses.
  • storm-qavoter.com.log: consultas dns (dig) para domínios usados pelo Storm Worm usando fast-flux

  • asprox-damnec-hydra.log: consultas dns (dig) para a botnet Asprox/Damnec usando fast-flux

  • lookups-ff: consultas dns (dig) para domínios fast-flux, confirmados.

  • lookups-spam: consultas dns (dig) para domínios encontrados em spams

  • lookups-benign: consultas dns (dig) para dominios provavelmente benignos , coletados via dmoz e Alexa

  • lookups-ndss: alguns dominios usados para o paper do NDSS

  • lookups-ndss-ff: alguns dominios fast-flux suspeiros do paper do NDSS
Links relacionados:

Monday, July 7, 2008

TrueCrypt 6.0 - melhor e mais rápido.

A melhor solução open source de criptografia de disco (incluindo Full-Disk Encryption) - TrueCrypt - lançou ante-ontem uma nova versão. Entre as novidades que me chamaram atenção, estão:
  • utilização de múltiplos processadores (e multi-cores) para criptografia e descriptografia (veja benchmark)
  • capacidade de criar e executar sistemas operacionais escondidos (Windows Vista/XP/2008/2003)
  • possibilidade de criar volumes escondidos no Mac OS X e distribuições Linux
  • no Linux, agora são utilizados os serviços padrão de criptografia do kernel - para volumes criptografados no modo XTS.

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)