Todos os artigos por

Megaupload fechado, quem se segue?

por David Sopas em 20 de Janeiro de 2012 em Artigos com 1 Comentário
Megaupload fechado, quem se segue?

Esta foi uma notícia que já partilhei via Facebook  e Twitter.
O FBI começou, pelo que parece, a limpeza aos sites de partilha de ficheiros. Neste caso em particular o Megaupload e respectivos sites relacionados.
Conforme press-release no site oficial do FBI, para além das violações de direitos de autor, cada responsável do site é acusado de crimes que podem levar à cadeia por 50 anos!? (wtf – leia-se why the face). O departamento responsável, o IP Task Force, combate o roubo de propriedade intelecual.

De facto estou curioso para saber como as autoridades vão resolver no caso dos motores de busca (Google, Bing e restantes), pois estes também mostram resultados que podem ser considerados como violação de direitos de autor… E o Facebook e Twitter? SOPA anyone?

Não estou contra ou favor deste tipo de websites, acho que existem outras prioridades na segurança informática que deviam ser levadas mais a sério, como por exemplo: o roubo de cartões de crédito, combate ao phishing, etc…

reacção

Após o encerramento do site do Megaupload, o grupo Anonymous lançou uma operação de imediato #OpMegaUpload que em poucas horas colocaram site do FBI, Departamento de Justiça, RIAA e o Universal Music inacessíveis (DDoS).
Segundo o Twitter oficial do grupo, foi o ataque mais numeroso em termos de participantes até à data e prometem mais ataques nos próximos dias.

O fundador do Megaupload – o conhecido “Kim Dotcom“ volta a ter o nome nos média pelas piores razões mas parece que é coisa que já deve estar habituado.

Trojan Cossta aumenta presença em Portugal

por David Sopas em 18 de Janeiro de 2012 em Artigos com 0 comentários
Trojan tem como alvo Portugal e Angola

O trojan, conhecido por Trojan.Win32.Cossta.ree*, é conhecido e detectado pelos antivirus com uma taxa de sucesso que ronda os 40% (VirusTotal). É altamente prejudicial, dado que tem como objectivo tornar o computador do utilizador afectado num estado C&C (Command and Control). Acrescento também que rouba dados bancários  e outras contas de utilizador.
Em Dezembro de 2011 já tinha mencionado outra variante deste trojan (Trojan.Win32.Cossta.quj) neste artigo.

Com ajuda de algumas amostras enviadas por amigos do projecto WebSegura, consegui analisar um pouco mais sobre este software malicioso de origem brasileira.

O Cossta é actualmente propagado via emails fraudulentos de avisos da PSP – Policia de Segurança Publica, que pelo avaliar da pouca variância do tema, está a ter algum sucesso.
Nas amostras que recebi, o remetente tem quase sempre o dominio @terra.com.br no email com IP’s de origem no Brasil e Rússia. Muito provavelmente são máquinas comprometidas e que estão a fazer o envio destes emails fraudulentos.

Alguns dos scripts internos presentes neste software malicioso estão direccionados para ataques ao:

  • Banif
  • BPINET
  • CGD
  • Facebook
  • Gmail
  • Hotmail
  • Live
  • Montepio

Estes devem ser os principais alvos do Cossta.
De uma forma resumida e com base numa análise do comportamento do trojan concluí o seguinte:

  • Cria uma entrada na firewall do Windows como programa autorizado pelo sistema operativo
  • Eliminação e modificação de ficheiros do Windows
  • Pesquisa por cookies existentes com base nos scripts acima referidos
  • Modifica as configurações de segurança do Internet Explorer
  • Modifica o registo do Windows (inclui execução do programa no autorun)

Num estudo levado a cabo por Fabio Assolini, especialista de segurança da Kaspersky, podemos consultar o mapa dos países mais afectados por uma das variantes deste trojan.
Portugal e Angola são os países com mais máquinas comprometidas, muito provavelmente pela presença dos bancos alvo nestes países.

Submeti a amostra para as sandboxes públicas, que podem consultar:

Para evitar que seja infectado pelo Cossta, é conveniente ter o seu antivirus actualizado e se pretender um pouco mais de segurança, instalar software de remoção de malware, como por exemplo o Malwarebytes.

* Nome identificativo pela empresa de segurança Kaspersky.

Falha Hash Collision debatida em Podcast

por David Sopas em 17 de Janeiro de 2012 em Artigos com 0 comentários
Falha Hash Collision debatida em Podcast

A famosa Hash Collision, vulnerabilidade que afecta milhões de servidores em todo o mundo, foi debatida por Manuel Lemos e Ernani Joppert na primeira versão do PHPCast – um podcast em português dedicada à linguagem de programação PHP.
De referir que a nova versão do PHP 5.3.9 já vem com um patch de segurança corrigir esta vulnerabilidade.

Uma excelente iniciativa e essencial a todos os programadores PHP.

SWFScan disponibilizado pela HP

por David Sopas em 15 de Janeiro de 2012 em Ferramentas com 0 comentários
SWFScan disponibilizado pela HP

Hoje trago-vos mais uma ferramenta que pode ajudar bastante em analises de ficheiros, neste caso SWFs.

A pedido de vários utilizadores, Rafal Los (aka Wh1t3Rabbit) especialista de segurança na HP, partilhou o descompilador Flash SWFScan para utilização gratuita.
É um software interessante, que infelizmente corre apenas em sistemas Windows, que permite analisar código em ficheiros SWF e encontrar vulnerabilidades utilizando um scanner básico.

Se quiserem praticar e testar este tipo de ferramentas, vejam só código de muitos jogos SWF disponíveis na web e fiquem deslumbrados com códigos de tracking, spam, malware

Podem descarregar o SWFScan aqui e, se quiserem, deixar o vosso feedback.

Reaver – um brute-force contra WPS

por David Sopas em 12 de Janeiro de 2012 em Ferramentas com 2 Comentários
Reaver - um brute-force contra WPS

Pentesters, ou simplesmente utilizadores que queiram apenas testar a fragilidade da vossa rede Wifi, está disponível uma ferramenta que permite fazer um ataque força bruta aos Wifi Protected Setup (WPS). O Reaver foi implementado para testar a falha descrita por Stefan Viehbock no CERT, onde uma falha na autenticação do standard WPS permite recuperar o PIN e por sua vez aceder à rede Wifi.
De referir também que não existe qualquer limite de tentativas, o que deixa uma grande margem de manobra para lançar ataques de força bruta.
Como maioria dos routers mais recentes têm o WPS activo por default, esta situação deve atingir um grande número de equipamentos*.

E é aqui que entra o Reaver
Segundo o site oficial, o Reaver consegue recuperar a password numa média de 4 a 10 horas, dependendo do AP (Access Point).

Para complementar este artigo, deixo aqui um link para o Lifehacker com mais informação sobre o Reaver.

* Até à data os fabricantes não lançaram qualquer tipo de correção.

← Mais antigos