value1

Hacker rouba mais de 10 milhões

Hacker rouba mais de 10 milhões

Um hacker alega ter roubado cerca de 10 milhões de registros médicos de pacientes e quer vendê-los por mais de 800 mil dólares. No final de semana, o hacker que se intitula como “thedarkoverlord”, começou a anunciar a venda dos registros no TheRealDeal, um mercado negro da Deep Web. Continue reading "Hacker rouba mais de 10 milhões"

value1

Saiba quais serão as 7 tendências de segurança em TI para 2016

Saiba quais serão as 7 tendências de segurança em TI para 2016

Prepare-se: o próximo ano será marcado por extorsões online e hacktivismo. Pelo menos é o que aponta o relatório “Uma Linha Tênue: Previsões de Segurança para 2016” da Trend Micro. Continue reading "Saiba quais serão as 7 tendências de segurança em TI para 2016"

value1

Hackers roubam dados de 800 mil empregados do correio americano

O serviço de correios norte-americano (U.S. Postal Service) sofreu um ataque que pode ter comprometido e vazado informações de 800 mil funcionários, bem como de clientes que utilizaram serviços do governo dos Estados Unidos. 

 

O vazamento de dados atingiu sistemas de informação do órgão, e está sendo investigado pela polícia federal (FBI) do país, que tocam dados como nomes, datas de nascimento, números de seguro social, endereços e outras informações dos colaboradores da entidade. 

A invasão foi descoberta em setembro e pode, também, ter afetado dados de clientes que usaram serviços do USPS entre janeiro e agosto, que incluem nomes, endereços, telefones e dados de e-mails. 

O órgão, contudo, não acreditam que consumidores afetados tenham que tomar alguma ação para protegerem suas contas em bancos, por exemplo, pois “não há evidências” de que informações relativas a cartões de débito e crédito não tenham sido atingidas, informou a empresa, que ainda investiga qual o tamanho do estrago e o número total de afetados. 

A USPS atribuiu o vazamento a táticas sofisticadas de invasão. Os serviços não foram suspensos devido ao fato. A suspeita é que o ataque partiu de hackers chineses. Tal informação, contudo, ainda está sob investigação. 

value1

Hacker engana autenticação em duas etapas e invade conta do Gmail

Um hacker conseguiu driblar o sistema de autenticação em duas etapas do Gmail para invadir a conta de sua vítima. O sistema, em si, não falhou, mas o ocorrido revela que há uma brecha a ser explorada pelos mal intencionados.

 

O caso foi relatado pelo desenvolvedor Grant Blakeman em seu perfil na Ello. O destino final do atacante era sua conta no Instagram, que ele acabou conseguindo dominar por algum tempo, antes que fosse devolvida a Blakeman.

O que o hacker fez foi invadir o Gmail para redefinir a senha do Instagram. Ele conseguiu isso após entrar em contato com a operadora de celular de Blakeman e pedir que suas ligações e mensagens fossem encaminhadas a outro número; assim, quando o Gmail pediu, além da senha, um código de confirmação que chega por SMS, o hacker foi capaz de obtê-lo.

A autenticação em dois passos funcionou, mas o atacante agiu antes do sistema, indo atrás de uma fonte relativamente fácil. Pedidos de reencaminhamento de chamadas e mensagens são feitos por telefone e basta informar dados pessoais para que o atendente realize a operação.

Via Gizmodo

value1

Sites Google na Indonésia foram atacados

Até a Google não escapa aos hackers, um grupo paquistanês denominado “MaDLeeTs” atacou diversos sites do Google localizados na Indonésia. As motivações apontadas prende-se com ações político-sociais contra o governo desse País.

Este grupo de Hackers confirmou através da sua página oficial do Facebook a autoria deste ataque. O tipo de ataque é denominado “DNS Poisoning”, para quem desconhece trata-se de um comprometimento de segurança e falha na integridade dos dados alojados num DNS, ou seja, afeta diretamente o servidor DNS e coloca seriamente em causa os dados dos utilizadores desse mesmo domínio.

 

Segundo site WebSegura, os domínios afetados do Google são os seguintes:

  • google.co.id
  • map.google.co.id
  • local.google.co.id
  • groups.google.co.id
  • accounts.google.co.id
  • directory.google.co.id
  • image.google.co.id
  • print.google.co.id
  • mobile.google.co.id
  • sms.google.co.id

Na prática representa que os IPs dos DNS foram trocados e o tráfego foi redirecionado para uma página desfigurada. Segundo o Google esta situação está a ser alvo de analise e será resolvido dentro de horas.

Em conclusão, este ataque mostra que nem uma das maiores empresas do mundo tecnológico, como é a Google, com investimentos de milhões em segurança está salvaguardada e pronta a fazer frente a este tipo de ataques informáticos por grupos minoritários e com poucos recursos.

Para os utilizadores esta notícia representará mais um reforço da certeza que os dados que introduzimos na internet ficarão para sempre na internet e não existe um garante de segurança vitalício ou 100% eficaz.

value1

Shellshock: proteja-se de uma das piores vulnerabilidades da história

Há alguns meses, o Heartbleed, uma falha na criptografia OpenSSL, apareceu como um dos bugs mais sérios já encontrados na tecnologia. No entanto, os danos foram relativamente fáceis de ser evitados. A nova falha do momento, chamada de “Shellshock” ou “Bash bug”, parece mais danosa e mais difícil de ser corrigida. Não está claro se o nome foi adotado a partir de um distúrbio que acometeu soldados na Primeira Guerra Mundial - naquela ocasião, pela primeira vez na história, os combatentes travaram batalhas que duraram horas, submetidos a bombas, tiros e barulhos ensurdecedores. Daí, vários militares desenvolverem problemas psíquicos que levavam a movimentos involuntários e descontrolados do corpo. A síndrome foi batizada de Shellshock. O problema atual também pode levar a comportamentos involuntários por parte dos servidores, que podem se ver executando códigos maliciosos.

 

A grande dificuldade do Shellshock digital está no fato de que não há como o usuário comum se proteger por conta própria, a solução precisa vir de dentro para fora, ao contrário do Heartbleed, em que uma mudança de senhas normalmente garantia sua segurança. A falha atinge um software chamado “Bash”, um prompt de comando open-source que opera em sistemas baseados em UNIX, afetando  Mac OS X, Linux (o que inclui o Android e inúmeros servidores web) e até mesmo tecnologia incorporada em produtos que formam a Internet das Coisas. Estima-se que 50% dos servidores web sejam vulneráveis.

\"Basicamente, essa vulnerabilidade permite que um invasor execute ataques de execução remota de código em qualquer servidor usando o Bash shell. Infelizmente, o uso deste shell é altamente difundido - ele é usado em muitos produtos de servidores, inclusive aqueles que alimentam sites”, explica David Jacoby, pesquisador sênior de segurança da Kaspersky.

O bug é muito mais simples de ser explorado do que o Heartbleed, portanto. No caso da falha do OpenSSL, o cibercriminoso precisava roubar um pacote de dados e torcer pelo surgimento de alguma informação útil. Já no Bash Bug, uma vez que a máquina está sob controle, é possível pegar exatamente a informação desejada por meio de comandos.

Com isso, ficou a responsabilidade para as empresas e administradores se adequarem o mais rápido possível a esta realidade e liberar correções ágeis para minimizar os eventuais danos.

“Muitas coisas chamam o Bash e eu posso apostar que há coisas na maioria dos ambientes que o atraem e você nem sabe”, afirma Josh Bressers, gerente de segurança de produto da Red Hat. A empresa diz ter analisado e chegado à conclusão de que se tratava de uma falha de alto risco. “É uma das situações onde há inúmeras variáveis para lidar, ao contrário do Heartbleed, onde todos eram afetados da mesma forma”, explica ele.

No entanto, apesar de ser necessária muita atenção com o Bash, há alguns atenuantes. O primeiro deles é que a maioria dos fabricantes já está corrigindo a falha, pelo menos parcialmente, cabendo aos administradores agilizar o update. A outra notícia positiva é que apesar de perigosíssimo, as condições necessárias para que o cibercriminoso possa agir são muito específicas e difíceis de ser implementadas. “Felizmente, não é comum”, afirma Bressers.

Além de instalar atualizações para corrigir o problema o mais breve possível, é uma boa ideia implantar sistemas para detectar anomalias, com o objetivo de identificar comportamento anormal de dispositivos, usuários e contas, afirma Avivah Litan, analista da Gartner ao Wall Street Journal. Os mais ousados podem aproveitar a situação para criar armadilhas para hackers.

A Kaspersky, por sua vez, recomenda que todos atualizem o Bash para a versão mais recente o mais rápido possível. No caso do Linux, as diferentes distribuições estão recebendo pacotes de correção que tentam solucionar o problema. Alguns serviços distribuem patches que se instalam automaticamente depois de 24 horas, mas em alguns casos é possível forçar a atualização antes.

fonte: http://olhardigital.uol.com.br/

value1

Subdomínios Extra.com invadidos

Falhas no wordpress mais uma vez são culpadas pela invasão de um site importante, espera… Quem é realmente culpado nessa história? Deixarei vocês decidirem ou criarem uma opinião própria sobre o culpado. As falhas existem e vários sites são responsáveis pela divulgação dessas falhas para administradores se manterem atualizados, então quem são os responsáveis para mitigar e manter um sistema atualizado?

 

O fato é que alguns subdomínios da empresa Extra.com foram invadidos pelo grupo Red Eye Crew, vocês podem ver eles logo abaixo. Esse mesmo grupo foi o responsável pela invasão no domínio do Mercado Livre.

http://guiadecompras.extra.com.br/
http://mkt.extra.com.br/
http://cupomdedesconto.extra.com.br/
http://tudo.extra.com.br/

Gostaria de deixar uma observação bem grande a respeito dos “selos de segurança” que aparecem geralmente no rodapé do site, esqueçam eles. A verificação acontece na transação entre cliente e servidor, ou seja, na comunicação com o site seus dados são protegidos, mas isso não quer dizer que a aplicação ou servidor estão seguros. O domínio principal não sofreu quaisquer alterações, mas isso não desvaloriza o fato que um grande site caiu na rede de invasores.

Analisando os sites invadidos podemos ver que rodavam o WordPress como aplicação principal, então sua falha poderia estar nos plugins ou temas que são em sua grande maioria produzidos por terceiros. Tentei entrar em contato com o pessoal do grupo Red Eye Crew, mas não consegui ainda, caso consiga deixarei uma atualização no final da postagem sobre qual plugin estava vulnerável.

Como se proteger? Simples. Primeiramente contrate um webmaster que conheça a aplicação e sua segurança. Diversos plugins existem para verificação de falhas como nesse artigo que escrevi e por último fique antenado nas últimas falhas do wordpress pelo seguinte site.

fonte: http://securityattack.com.br/

value1

E-mails do governo, igrejas e empresas vulneráveis em ano de eleição

Tive algumas horas de folga esse final de semana e decidi verificar uma falha que estava nos meus favoritos, a falha é referente ao zimbra, um “gerenciador de emails” open-source utilizado por muitas empresas. Como sempre grande partes dessas empresas, corporações ou órgãos não estão nem um pouco preocupadas com sua segurança e de seus clientes ou funcionários, até ai nenhuma novidade.

 

O fato é que gosto de integrar um pouco as coisas e formular algumas ideias bacanas de invasão e testes, além de fazer alguns “exposeds” para as empresas “criarem vergonha na cara” hehe (Sim, algumas falhas são consertadas depois de postagens aqui no blog e fico feliz por isso).

Como já citei o zimbra é basicamente a versão livre do microsoft exchange, fazem as mesmas funções, mas um é livre e outro é pago.  O zimbra por sua vez possui também uma versão comercial, o software é excelente e suas funcionalidades bem bacanas além do seu nível de segurança, mas porque estou falando dele aqui? O zimbra assim como outros softwares alguma vez na vida já tiveram falhas e pode ter outras que ainda não foram relatadas, a mais recente foi relatada final de 2013, então percebi que a maioria das empresas rodam esse software há muito tempo, reportei para algumas faculdades como a USP que seu servidor de e-mail estava vulnerável na época e eles prontamente corrigiram e agradeceram o contato.

Vários “script-kiddies” deixaram passar essa falha, mas mal eles sabem que podem ter nas mãos e-mails importantíssimos para fazer qualquer coisa. Não estou aqui para influenciar de forma errada ninguém, gosto apenas de mostrar a fragilidade que está a segurança no mundo de hoje e que qualquer um que saiba ler e interpretar pode invadir sistemas que a princípio deveriam ser seguros. Vou reproduzir um PoC da falha do zimbra e vocês ficarão espantados com a quantidade de sites importantes que o utilizam e estão desatualizados.

Primeiramente escrevi uma dork simples que pega todo site que tenha na url “webmail” e que na página tenha “zimbra”. E o resultado foi mais ou menos igual esse:

inurl: webmail & intext:zimbra

Além desses o google retornou outros resultados:

https://webmail.unifei.edu.br/
https://webmail.seduc.ce.gov.br/zimbra/
http://webmail.une.com.co/zimbra/
https://webmail.unifal-mg.edu.br/
https://webmail.phuket.psu.ac.th/zimbra/
https://webmail.ciu.edu.tr/
https://webmail.salvador.ba.gov.br/
http://webmail.promedica.com.br/
https://webmail.minesdedouai.fr/
https://webmail.citylar.com.br/

Até ai tudo bem, então fui na página da falha de Privilege Escalation via LFI que está a seguir: http://www.exploit-db.com/exploits/30085/

A falha diz que se eu adicionar o seguinte código na url “

LFI is located at :

/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml%00    “

Irá retornar credenciais do LDAP como administrador e poderei ter acesso ao sistema a partir dai, eu como tive preguiça de ir testando peguei o primeiro endereço http://webmail.promedica.com.br/ para testar, fiz também o teste no servidor de e-mail do Estado da Bahia e também retornou o mesmo resultado equivalente a esse:
 
https://webmail.salvador.ba.gov.br/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml%00
 
 
O mesmo pesquisador que achou a falha, desenvolveu um exploit para criar um usuário para você dentro do zimbra com acesso completo, disponibilizou para download e você pode baixá-lo aqui. Como executar o exploit? Simples. Você coloca a url, o nome do usuário e a senha que deseja criar. Alguma dificuldade? Deixo até uma imagem para vocês verem que foi executado com sucesso.
 
 
Você loga e pronto, pode manipular todos os e-mails, criar o que quiser e até ler.
 
Em minhas buscas achei inúmeras prefeituras, cidades, até mesmo centro de igrejas na cidade como a Universal de Minas Gerais vulneráveis. Estamos em ano de eleição, vários desses gerenciadores estão vulneráveis, imagina o estrago causado por grupos hacktivistas.
 
Meu conselho é simples, instalar patch’s de atualização que estão disponíveis há 9 meses. Se você trabalha em alguma empresa que utiliza o zimbra há muito tempo, pergunte do setor de T.I. qual foi a última vez que atualização. Lembre-se: O comodismo é o mal das empresas. Não espere acontecer algo de ruim para proteger.
 
E aqui me despeço da demonstração de uma falha que está a 9 meses disponível. Abraços e até a próxima.
fonte: http://securityattack.com.br/
value1

Instasheep – Ferramenta para invasão de instagram

Alguns dias atrás o site The Hacker News informou sobre uma falha no Instagram que permitia o atacante “roubar” as contas dos usuários e acessar fotos privadas, excluir fotos da vítima, editar comentários e até mesmo postar uma nova foto.

Graham, o pesquisador que achou a falha e fez essa aplicação, twitou o seguinte: “Denied bug bounty. Next step is to write automated tool enabling mass hijacking of accounts,” he wrote. “Pretty serious vuln, FB. please fix.

 

Você pode ver a ferramenta aqui.

O Facebook ficou ciente do problema e falou que está trabalhando na solução por meio de protocolo HTTPS, porém ainda não está claro quanto tempo vai demorar.

O que podemos dizer da falha é o seguinte: Cuidado onde está conectando seu celular. A vulnerabilidade expõe dados através de ataque Man-in-the-middle, pois o aplicativo envia alguns dados não criptografados com o cookie de sessão. O invasor pode então utilizar esses cookies e ter acesso total ao instagram da vítima.

Graham ainda citou: “I don’t agree the barrier to exploit is high. All it takes is one sufficiently skilled person to release a tool so simple even a script kiddie can use it. At that point Pandora’s Box has been blown apart,”.

Para pessoas leigas a ferramenta não terá muita utilidade, mas na mão de pessoas que ao menos saibam ler e executá-la será uma arma e tanto. Basta chegar em alguma rede pública de wi-fi compartilhado ou algo do gênero e executar. O certo é que devemos aproveitar até que o Facebook conserte a falha e fazer estudos em cima da ferramenta disponibilizada, segundo Graham o instasheep foi criado com o intuito de agilizar o processo de mitigação da falha por parte do Facebook.

Traduzindo… O cara criou o Instasheep para forçar o facebook a consertar o instagram o mais rápido possível. hehe

fonte: http://securityattack.com.br/