Todos os posts tagados dos

Nova ferramenta DoS em JavaScript

flashflood

O VP da White Labs [da WhiteHat Security], Robert ‘RSnake’ Hansen, publicou um protótipo de uma ferramenta que poderá lançar ataques DoS e deixar os websites offlineFlashFlood.

Segundo fonte oficial, esta ferramenta funciona ao enviar enviar diversos pedidos HTTP com valores de parâmetros diferentes em todos os pedidos, com o objetivo de ultrapassar os servidores de caching, como por exemplo, o Varnish.
Claro que esta ferramenta não é propriamente anónima. Facilmente é possível identificar o endereço de IP de quem está a efetuar o flooding. Desta forma, Hansen informa que é necessário enganar outros utilizadores a clicarem no FlashFlood sem terem noção dessa operação. Uma possível combinação do FlashFlood em ataques XSS? Quem sabe…

Por si só, este script não é suficiente para colocar offline a maioria dos sites mas foi planeado para intensificar um ataque que já esteja a decorrer.
Segundo o autor, sites com grandes base de dados e sites Drupal são alvos perfeitos desta ferramenta, principalmente se dependerem de caching para se protegerem.

A influência dos LulzSec Portugal nos jovens

A influência dos LulzSec Portugal nos jovens

É o tema do momento nos média e no meio da segurança de informação. Jovens que conseguem aceder a informação confidencial e promovê-la nos órgãos de comunicação social como forma de manifesto, tendo como ferramenta a grande rede.

Quantos informáticos não foram já questionados por amigos e familiares sobre estes ataques?

Grupos como os LulzSec Portugal ou AntiSecPT podem desaparecer de um dia para o outro. No entanto já marcaram a sua posição principalmente porque já começaram a criar os alicerces para outros jovens seguirem actividades ilícitas e com base em apenas exemplos práticos. A razão teórica e o real significado das coisas são deixados de parte.
Os tutoriais que estes grupos promovem nos canais de IRC, servem apenas para ajudar o mesmo nos objectivos fundados e não para formar jovens na área da segurança informática. É isso que os seguidores do grupo devem ter em atenção.
Para aprender nesta área é necessário muitos anos de dedicação e muito trabalho. É uma formação contínua. Não é só saber mexer nos programas hacker e carregar em botões.

Num caso concreto, que me foi reportado por um colega, um utilizador/seguidor que acompanhava estes grupos no IRC, requisitou algumas ferramentas para utilizar em negações de serviço (DoS). Vários utilizadores contribuíram com diversos links, onde mais tarde foi divulgado que maioria destas aplicações estavam infectadas com malware. De referir que muitos destes jovens utilizam VPNs sem realmente saberem o seu significado. Não tendo o conhecimento suficiente podem levar a alguns membros do grupo deslizarem no que consideravam ser o anonimato na web.

Pessoalmente, acho que irão surgir mais grupos deste género. Guiados pelo mediatismo e adrenalina de poderem obter informação confidencial. A questão é que na maioria vão ser jovens com pouco conhecimentos técnicos e com objectivos incertos, por vezes, de pura destruição ou divertimento (lulz).

Bons ou maus da fita, os LulzSec Portugal ou AntiSecPT, estão certamente a dar muitas dores de cabeça a muita gente. Talvez com isso passamos para uma era onde a segurança de informação comece a ser uma etapa de caminho obrigatório.

A contratação de pessoal especializado é um investimento com retorno positivo. Vejam o exemplo de uma simples loja online. Se for comprometida por uma simples falha de SQL Injection, além da possível indisponibilidade do serviço, poderá ter dados dos clientes comprometidos e ter prejuízos de milhares de euros. Algo que podia ser evitado, e facilmente detectado/corrigido, por um especialista.
Acho que declarações, como as da directora do Departamento Central de Investigação e Acção Penal (DCIAP), são contrárias a esta minha opinião. Dizer que:

… os sistemas violados são seguros e que até a NASA já foi comprometida por miúdos…

Este tipo de mentalidade só prejudica quem realmente tenta promover a segurança em Portugal.

Resta salientar que existem bons profissionais e empresas em Portugal aptas a responder às necessidades de qualquer empresa ou organização.

…e consegui concluir este artigo contendo-me em relação à utilização incorrecta da palavra hacker pela comunicação social.

Falhas XSS encontradas em websites da ESET, Panda e Symantec

O grupo de Team Elite encontrou várias falhas XSS em websites das empresas de segurança Panda Security, Symantec e ESET.

O mesmo grupo, reportou as falhas às empresas e afirmou que estas podiam ter sido utilizadas por utilizadores maliciosos para, por exemplo, ataques de phishing ou ataques de negação de serviço (DoS).

Já ontem eu tinha publicado um artigo sobre o Kaspersky, será que as empresas de antivírus não deviam ser as primeiras a darem o exemplo? Fica a questão…

Nova falha 0day crasha Firefox 3.6

Com um pequeno código javascript numa página HTML em alguns segundos o Mozilla Firefox 3.6 sofre um DoS.

Para um PoC clicar [aqui].