Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades

O Smartlocker é um plugin do Metasploit com o objetivo de capturar senhas de login do Windows em máquinas comprometidas. Seu funcionamento difere do script padrão do Meterpreter, keylogrecorder, pois ao invés de travar a tela diretamente, ele aguarda um tempo de não-utilização do computador para travar a tela naturalmente, sem levantar suspeitas, para então capturar o login e senha (em texto plano) do usuário no momento do login. Veja como realizar o procedimento no Blog do Metasploit: Capturing Windows Logons with Smartlocker.

Empresas pequenas correm os mesmos riscos de segurança da informação do que empresas grandes. Seguem algumas dicas que empresas pequenas deveriam considerar:

Empresas de pequeno porte são alvo de usuários maliciosos por uma simples questão: dinheiro. Muitas empresas pequenas escolhem usar ferramentas baratas e simples de usar, como antivírus desktop convencionais, sem se familiarizar com todos os riscos.

Como o malware chega até a sua companhia? De diferentes maneiras. Email e spam, ferramentas de mensagem instantânea, redes sociais, empregados usando seus próprios notebooks, pendrives e redes sem fio. A solução, além de ferramentas de segurança, é investir em treinamento.

Se pudéssemos dizer apenas 3 passos para considerar na segurança de dados empresariais, estes seriam, na ordem: 1. Treinamento de pessoal; 2. Backups regulares; e 3. Mudar senhas regularmente.

Outras coisas a se considerar: ter certeza de que os programas utilizados, bem como o sistema operacional estão com as últimas atualizações de segurança instaladas; utilizar uma solução de segurança na sua rede; instalar um firewall na ponta da rede; e antivírus no servidor de email e arquivos, caso eles sejam utilizados em sua empresa.

Veja mais detalhes em: AVG | Business Security Blog | Protect Your Business.

O Social Engineering Toolkit é uma ferramenta integrada com o Metasploit Framework com o objetivo de facilitar os testes, avaliações e ataques relacionados à engenharia social. Mesmo que você não tenha vocação hacker, é interessante conhecer a ferramenta para ver o quão simplesmente se realiza ataques hoje em dia:

Social-Engineer Toolkit (SET) 0.7 Codename Swagger Wagon from David Kennedy on Vimeo.

This is the newest release of the Social-Engineer Toolkit slated for Monday the 13th at 1:00PM EST.

Veja mais sobre o Social Engineering Toolkit, incluindo tutoriais de uso, no SecuriTeam Blogs » Social Engineering Toolkit 0.7.1.

Se você quiser ler mais artigos sobre segurança da informação neste fim de semana, seguem dois artigos recomendados:

• Vulnerability Management Basics: Pen Testing Techniques, que fala sobre técnicas de testes de invasão, como engenharia social, sniffing, war driving, war dialing, dumpster diving dentre outras.
• Security a Concern as HTML5 Gains Traction | threatpost, que versa sobre as possíveis vulnerabilidades que a adoção em massa do HTML5 – um novo padrão da linguagem de criação de páginas na internet – trará.
• E claro, seguindo a linha de artigos relacionados a auditoria testes de invasão, fica a dica do artigo recém publicado Auditoria Teste de Invasão(Pentest) – Planejamento, Preparação e Execução, de autoria do colunista do Blog SegInfo, Rafael Soares Ferreira.

Boa leitura e bom final de semana!

Foto: One of the rare non-Apple laptops seen in an otherwise cool park full of cool people por Ed Yourdon, CC-BY-SA.

Com as recentes vulnerabilidades no Reader, Quicktime e Flash, a Google deu algumas dicas de navegação mais segura no seu blog Google Online Security Blog. Veja as dicas:

• Manter o seu sistema operacional, navegador e plugins do navegador atualizados.
• Ter instalado um anti-vírus, e mantê-lo atualizado, também.
• Desabilitar ou desinstalar qualquer programa ou plugin de navegador que você não utiliza, diminuindo a sua “superfície de vulnerabilidade”.
• Se você receber um PDF anexado no Gmail, utilizar a opção “Visualizar” para visualizá-lo no Gmail ao invés de transferi-lo para o seu computador.

Para mais detalhes, veja em Google Online Security Blog: Stay safe while browsing.

Um problema de segurança frequentemente ignorado não só por cidadãos, mas por empresas: o descarte apropriado de documentos e informações confidenciais. Frequentemente aparecem na mídia catadores de materiais recicláveis que encontram documentos, como o caso do catador Baixinho, que tem uma coleção de documentos descartados, como RGs, CPFs e até uma folha de cheque preenchida.

Felizmente, a grande maioria dos catadores são pessoas de bem e honestas. Entretanto, é preciso tomar cuidado com quem fuça o seu lixo. A técnica de trashing dumpster diving (Valeu, Sandro!) consiste basicamente em verificar o lixo físico de alguma localidade – o descartes de papeis de uma empresa, por exemplo – visando a busca de informações que possam facilitar ataques por agentes maliciosos. A ideia de um cracker fuçando o seu lixo pode parecer fantasiosa para a maioria das pessoas, mas gestores de segurança corporativos tem de tomar medidas para evitar este tipo de problema.

Mesmo pessoas físicas podem tomar cuidados simples, como rasgar em vários pedaços folhas de papel e principalmente cartões plásticos de documentos; idealmente pode-se utilizar uma fragmentadora de papel, mas uma simples tesoura pode resolver o problema.

Foto: trash clam por Jes, CC-BY-SA.

O OpenSSL permite requisitar, assinar, gerar, exportar e converter certificados digitais. Ele está disponível como pacote ou pode ser compilado em todos os sabores de UNIX. Este guia irá explicar como gerar um repositório de chaves para certificados digitais, gerar certificados SSL privados e auto-assinados para servidores web, e exportar/converter o repositórios de chaves para um arquivo PFX (para importá-los em plataformas Windows). O guia abaixo foi testado em plataformas de servidores web comuns no Linux (Apache, Lighttpd, Nginx, Resin), entretanto a sintaxe seja provavelmente a mesma no Windows (ressalvando os caminhos dos arquivos).

Na grande maioria dos sistemas UNIX-like, como o Ubuntu Linux, o openssl já vem instalado; se você utiliza Windows, baixe os binários aqui.

1. Instale o OpenSSL.
2. Execute o comando abaixo para gerar um repositório de chaves chamado “server.key”:
   openssl genrsa -des3 -out /tmp/server.key 1024
3. Execute os comandos abaixo para requisitar um novo certificado SSL:
   openssl req -new -x509 -nodes -sha1 -days 1095 -key /tmp/server.key > /tmp/server.crt openssl x509 -noout -fingerprint -text /tmp/server.info
4. Execute o comando abaixo para fazer uma cópia do repositório de chaves que tenha uma senha:
   cp /tmp/server.key /tmp/server.key.bak
5. Execute o comando abaixo para gerar um novo repositório de chaves sem uma senha:
   openssl rsa -in /tmp/server.key -out /tmp/no.pwd.server.key
6. Execute o comando abaixo apenas se você necessita gerar um arquivo PEM que contenha concatenado o repositório de chaves e a chave pública em um único arquivo:
   cat /tmp/no.pwd.server.key /tmp/server.crt > /tmp/no.pwd.server.pem
7. Execute o comando abaixo apenas se você necessita exportar um repositório de chaves (sem senha) para um arquivo PFX (para importação em plataforma Windows):
   openssl pkcs12 -export -in /tmp/server.crt -inkey /tmp/no.pwd.server.key -certfile /tmp/no.pwd.server.pem -out /tmp/server.pfx

Apêndice:

• server.key – Arquivo do Repositório de Chaves
• server.crt – Arquivo da Chave Pública SSL do Servidor
• no.pwd.server.key – Arquivo do Repositório de Chaves (sem senha)
• no.pwd.server.pem – Arquivo do Repositório de Chaves + Chave Pública SSL do Servidor (sem senha)
• server.pfx – Chave Privada + Chave Pública, exportável para plataforma Windows (ex. servidor IIS)

Tradução de: SecuriTeam Blogs » Generating self-signed SSL certificate using OpenSSL

Foto: Network Insecurity with OpenSSL por puerexmachina, CC-BY-SA.

Durante a conferência Black Hat este ano, o hacker Patrick Thomas apresentou uma ferramenta para fingerprinting de aplicações web chamada BlindElephant.

A técnica de fingerprinting tem como objetivo de descobrir a versão de uma determinada plataforma web, por exemplo sistemas CMS como Drupal ou ferramentas de administração como o phpMyAdmin, podendo ser utilizado também para procurar por sistemas desatualizados, com vulnerabilidades.

A ferramenta funciona baixando arquivos estáticos dos sistemas (por exemplo, arquivo javascript) extraindo a soma de verificação (hash) e comparando com hashes conhecidos, retornando a versão da plataforma em questão. Feita em Python, pode ser utilizada tanto como uma aplicação em linha de comando como uma biblioteca, sendo embutida em outros programas.

Fonte: BlindElephant Web Application Fingerprinter

Foto: my fingerprint (infex, left hand) por Stefano Mortellaro, CC-BY.

Caixas de areia ou sandboxes são conhecidas em informática como um local para fazer suas experiências sem afetar a utilização do sistema, como um rascunho em um site. Em segurança da informação sandboxes são sites para os quais você pode enviar um arquivo (um binário .exe, por exemplo) afim de executar uma verificação por artefatos maliciosos (malwares). São, portanto, uma espécie de antivírus online, que ao invés de escanear todo o seu computador, trabalham apenas no arquivo específico enviado, sendo perfeitas para escanear aqueles arquivos suspeitos que recebemos por e-mail.

Alguns exemplos de sandboxes:

• Malware Analysis System
• CWSandbox
• ThreatExpert
• Anubis

Dica sugerida por Rafael Soares Ferreira.

Foto: a literal and visual sandbox por Torley, CC-BY-SA.

Dr.Emerson Wendt, Delegado de Polícia Civil do Estado do Rio Grande do Sul desde 1998, compartilhou em seu blog pessoal contatos de órgãos especializados no combate aos crimes virtuais em diversos estados e cidades da República Federativa do Brasil.

Neste mesmo post o Dr. Emerson Wendt sugere a leitura de um post sobre como proceder em casos de crimes virtuais, também de sua autoria, e sugere também a leitura do artigo do Dr. Rafael Correa, Delegado de Polícia do Espírito Santo, que aborda e dá dicas de como resolver problemas nas mídias sociais.

Foto: Blog do Emerson Wendt