Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

sexta-feira, 3 de outubro de 2014

Até que ponto chegamos....

Fui accessar um site de phishing hoje e tive uma surpresa.

A figura e o texto podem ser visto abaixo.





"Blindagem Anntrax Coder Terror Dos baqueiros Se os Politicos Roubam , Nos Vai Roubar um Pouquinho"

A pagina de phishing em si, não estava mais no ar, porem em época de eleição  vale a mensagem e a "charge".

Abraços

terça-feira, 26 de agosto de 2014

Who will gonna call !!!

Novidade para ninguem que alguns formatos de arquivos e alguns "interpretadores" são mais "pemissivos" que outros. Porem quando suas ferramentas falham...  a qual recorrer ?

Ja vou exeplicar ...

Veja o seguinte teste ...

Crie um arquivo texto com qualquer texto.
pegue um arquivo zip ( qualquer arquivo )

No linux faça .. cat w1.zip >> texto.txt
No Windows ..  type w1.zip >> texto.txt

O arquivo Zip será adicionado ao fim do arquivo texto.
Temos assim um arquivo de texto seguido de um arquivo ZIP.

Agora vamos testar o arquivo ...

root@siftworkstation:/tmp$ file texto.txt
a: data

root@siftworkstation:/tmp$ exiftool texto.txt
ExifTool Version Number         : 9.60
File Name                       : texto.txt
Directory                       : .
File Size                       : 3.7 MB
File Modification Date/Time     : 2014:08:26 12:21:42+00:00
File Access Date/Time           : 2014:08:26 12:21:58+00:00
File Inode Change Date/Time     : 2014:08:26 12:21:42+00:00
File Permissions                : rw-r--r--
Error                           : Unknown file type

root@siftworkstation:/tmp$ ./trid texto.txt

TrID/32 - File Identifier v2.11 - (C) 2003-11 By M.Pontello
Definitions found:  5368
Analyzing...

Collecting data from file: texto.txt
       Unknown!

(http://mark0.net/soft-trid-e.html)

Porem se voce tentar descompactar esse arquivo ...

root@siftworkstation:/tmp# unzip texto.txt
Archive:  texto.txt
warning [texto.txt]:  98 extra bytes at beginning or within zipfile
  (attempting to process anyway)
  inflating: licence.txt            
  inflating: readme.txt            
  inflating: Arquivo.com            
  inflating: Arquivo.exe    

O ZIP foi capaz de reconhecer que existia alguma coisa estranha no começo do arquivo e desconpacta-lo sem problemas.

Com PDF a situação é identica. Dependendo da "tag" adicionada ao começo do arquivo, as ferramentas acima não conseguem identificar o tipo correto e tudo falha.

Nesse caso 3 ferramentas que poderiam identificar os arquivos falharam...

Minha pergunta: Onde estamos falhando ? Estamos vendo só o obvio e esquecendo do resto ?

Alguem conhece alguma outra ferramenta de "deep inspection"  de tipo de arquivo ?




quarta-feira, 11 de junho de 2014

O SlideShare só pode estar de brincadeira.

Tentei fazer o download de uma apresentação do SlideShare hoje. Como procedimento normal ele pediu para eu logar no ambiente e disse que eu poderia utilizar minha conta do Linkedin.

Qual foi minha surpresa, quando percebi que se eu continuasse, o SideShare teria permissão para  EDITAR meu peril.


Na realidade não sei se a culpa é do Linekdin que não tem possibilidades mais restritivas duvido que seja tudo ou nada.

Sendo assim vou criar uma conta no SlideShare, assim se eles quiserem acessar meu perfil, fica mais facil.

Mais uma vez, prestem atenção, são detalhes como esse que nos levam a problemas mais sérios.
Se voce permitiu, cuidado ... foi voce quem deixou .
E isso vale para APPs de celular tambem .

Segurança Importa ? Se não, manda seu usuário e senha para eu editar seu perfil.

Abraços

segunda-feira, 9 de junho de 2014

Phishing para Roubo de Identidades

Nos ultimos tempos, um assunto que veio a pauta foi o Roubo de identidades.

Recebi hoje um email  de um chines (nada contra), com o titulo "Equipe Atualização Webmail Virus"


O interessante desse email é que ele não fala de qual Webmail estamos falando ou exatamente qual conta de email.
Clicando no Link indicado ( não recomendo que façam isso da maneira como eu faço ), fui redirecionado para uma outra pagina pedido para eu confirmar meus dados. ..



Conforme mostrado na pagina acima, estão solicitando seu nome completo, seu endereço de email,  seu nome de usuário, a senha e a data de seu aniversário.

Vamos avaliar com calma...
O texto em portugues esta MUITO mal escrito, não seguindo nem as novas regras ortograficas, nem as regras de tradução do Google, nem regra nenhuma. Temos algumas palavras jogadas que fazem sentido, só isso.
Porque alguem solicitaria todos os seus dados...
Sim isso é um indicativo de Phishing ..
Assim como outros golpes do mesmo tipo, esse email utiliza tecnicas de engenharia social, fazendo voce acreditar que alguma coisa horrivel aconteceu, e que vc tem que tomar alguma providencia.

Infelizmente acredito que muita gente vai ficar preocuada e preencher o formulário.

O que eu queria mostrar, é que segurança nem sempre necessita ser "nebulosa" se voce prestar um pouco de atenção vai conseguir notar e evitar muitas fraudes.
Se o caso for real, ou realmente urgente, voce receberá um sinal de fumaça, um telefonema, um telegrama, .

Agora eu queria saber onde esse chines vai usar meus dados ..
Talvez tentando entrar em redes sociais, talvez "só"  enviando Spam pela minha conta. ....
Quem sabe.

Abraços