blog.dennyroger.com.br

Para entender o procedimento o especialista em segurança da Future Security, Denny Roger, exemplificou com a situação a baixo. Um funcionário interno da empresa conseguiu ter acesso ao arquivo da folha de pagamento. O documento tem extensão .doc. Como o funcionário copiou o arquivo para sua máquina, ele terá que esconder a evidência do ataque dos administradores de rede.

Para isso ele vai executar os seguintes procedimentos de testes:

Roger alerta que antes de executar os procedimentos a baixo o usuário deve desmarcar a opção “Ocultar as extensões dos tipos de arquivo conhecido” em “Ferramentas”, “Opções de Pastas”, “Modo de exibição” do seu sistema operacional Windows.

1. Crie um arquivo com extensão .doc para a realização dos testes.

2. Renomeie o arquivo com extensão .doc para a extensão/nome fopag.dll.

3. Clique em “Iniciar”, “Executar” e digite %windir%system32. Neste diretório você irá encontrar centenas de componentes do Windows e de outros softwares instalados.

4. Copie o arquivo fopag.dll para este diretório.

“O diretório %windir%system32 é um excelente local para esconder as informações”. Isso ocorre porque neste diretório existem diversos arquivos com extensão .dll, justifica o especialista. “É pouco provável que durante a busca das evidências de um ataque, o administrador de rede procure informações ocultas neste diretório”.

Técnicas para detectar as informações escondidas:

1. Procure pela data e hora de criação/modificação do arquivo.

2. É possível realizar pesquisas específicas no Windows definindo data ou hora.

3. Você pode realizar um scan no seu computador a procura de arquivos modificados. A dica para realizar um scan nos arquivos protegidos do Windows é digitar no Command Prompt a seqüência “sfc /scannow”. Mais informações no link do site da Microsoft.

Alguns profissionais preferem catalogar os arquivos do Windows e incluir um hash MD5 para identificarem modificações nos arquivos.

4. Uma ferramenta capaz de identificar a integridade dos arquivos do Windows é Samhain. Outra forma mais simples é por meio da ferramenta de “Verificação de assinatura de arquivo”. Clique em “Iniciar”, “Executar”, digite “sigverif” e siga as orientações descritas. Mais informações no link do site da Microsoft.

Fonte: http://wnews.uol.com.br/site/noticias/materia_especial.php?id_secao=17&id_conteudo=496&id_coluna=10

Sem comentários »

São Paulo - Mensagem falsa leva usuário a clicar em um link que o leva para página onde ele faz o download de um arquivo malicioso.

Um e-mail fraudulento, que se passa por um comunicado de cobrança em nome da Embratel, está circulando na web desde sábado (20/10), alertou o especialista em segurança da informação da Future Security, Denny Roger.

Quando o usuário clica no link para supostamente fazer o pagamento da fatura, ele é direcionado para o servidor http://personales.gratisweb.com, onde há uma página criada para disseminação de um arquivo malicioso.

Nela, há um link com a frase “Para mais segurança faça o download clicando aqui”, que direciona o usuário ao download do arquivo “embratel.scr”. “Ele chega mascarado como um arquivo do Word”, explica Roger.

O analista baixou o arquivo para testar a eficiência de soluções de segurança. Dos 32 antivírus utilizados para analisar o arquivo, “apenas 12 detectaram a praga”, revelou.

A mensagem é enviada de um servidor de e-mail do Yahoo, localizado nos Estados Unidos. A página criada para espalhar o vírus está no mesmo país.

Fonte: http://idgnow.uol.com.br/internet/2007/10/23/idgnoticia.2007-10-23.7020136674/

Sem comentários »

Você já ouviu falar que o hacker sempre volta? Por Denny Roger.

Algumas empresas possuem equipes de segurança e softwares para inspecionar todo o tráfego de informações que estão chegando, virtualmente, até a empresa, e também saindo, incluindo ataques. Essas empresas perceberam que o mesmo atacante volta quase que diariamente a realizar os ataques.

Devido ao aumento da implementação dos recursos de segurança, o desafio de conseguir uma invasão bem-sucedida é cada vez maior. Sendo assim, quando o hacker consegue invadir uma empresa, geralmente a informação é compartilhada com outros hackers para mostrar a sua façanha.

Ataques que as empresas não conseguem detectar, mesmo possuindo tecnologia e profissionais para inspeção de tráfego, são quase que diariamente publicados na lista de discussão http://www.webappsec.org/lists/websecurity/. Participam desta lista alguns dos melhores profissionais de segurança do mundo, incluindo analistas de segurança dos fabricantes dos produtos de segurança.

É importante observarmos que o hacker não altera e/ou cópia qualquer tipo de informação. Existe outro tipo de atacante, o cracker, que tem como objetivo roubar e/ou destruir as informações da empresa vítima. Alguns crackers publicam suas invasões no site Zone-h.org.

Marca virtual

A idéia básica é a seguinte: você precisa coletar os registros de auditoria (logs) do roteador, firewall, servidores que hospedam aplicações críticas para o negócio (banco de dados, CRM) etc. Todos os registros devem ser redirecionados para um servidor preparado para fazer a inspeção detalhada dos logs.

A inspeção consiste na correlação dos registros de auditoria (logs). Este trabalho irá classificar os dados de várias formas e encontrar as relações que poderiam permanecer ocultas analisando apenas um sistema. Analisando apenas os logs do firewall não será possível detectar alguns tipos de invasão.

Realizando esta correlação de informações é possível identificar o autor dos ataques e criar uma “marca virtual”. Esta “marca virtual” tornaria o atacante visível através de uma console de monitoramento ou em um relatório diário. Esta técnica poderosa irá dizer quase que imediatamente que o hacker está voltando a atacar o ambiente computacional.

Os hackers não investem muito do seu tempo utilizando o teclado durante o ataque. Agora os ataques são baseados em script - os hackers automatizam os ataques deixando o processo de intrusão muito mais rápido.

As empresas precisam correlacionar os logs para identificar os ataques. É necessário identificar a hora, o dia e a localização do hacker (de que localidade realmente foi originado o ataque).

Finalmente, não deixe de ter um console de segurança na sua empresa para identificar quem está visitando, virtualmente, as informações críticas para o processo de negócio.

Denny Roger é gerente de negócios da Future Security, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@dennyroger.com.br.
Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2007-10-19.9555826458/

Sem comentários »

Como pensa e age um cracker? Profissionais da área de segurança da informação dizem que se o usuário sabe responder essa pergunta tem mais chances de se proteger de ações criminosas no mundo virtual. Pensando nisso, preparamos um guia mostrando como um criminoso virtual planeja suas ações.

O primeiro passo do cracker é avaliar e fazer uma pesquisa sobre o alvo. “O invasor identifica e analisa as características, como tecnologias usadas pelo usuário, vulnerabilidades e pontos de entrada e saída das informações”, explica o especialista em segurança da Future Security, Denny Roger.

O ataque inicial

Com essas informações, o cracker planeja o ataque inicial, pois tem em mãos tudo o que precisa saber sobre o usuário. Ele vai tentar realizar a invasão pelo modo mais fácil, usando senhas e logins legítimos, obtidos durante a fase de avaliação e pesquisa. Caso não consiga acesso às informações, colocará em prática o plano B, que são os Ataques de Negação de Serviço. “Esse tipo de ataque tem como objetivo deixar indisponível o acesso às informações do alvo”, explica o especialista.

Atualmente, os criminosos virtuais estão explorando vulnerabilidades encontradas, por exemplo, em intranets das empresas ou por meio das áreas restritas de uma determinada página Web. “O usuário e senha também podem ser obtidos via cavalos-de-Tróia programados para roubar senhas”, diz Roger.

Sem deixar rastro

Depois de invadir o alvo, o criminoso virtual tentará aumentar seus privilégios de uso do sistema, para que possa fazer as configurações e instalar os programas necessários para manter acesso às informações da vítima. E o cracker vai fazer de tudo para não deixar rastros.

“Todo invasor encobre seus rastros para manter o acesso. Ele está sempre preparado para apagar os logs do sistema invadido e manter oculto os programas instalados”, completa Roger.

Para se proteger, faça o básico

Agora que você sabe quais são as etapas de uma invasão, confira dicas básicas para evitar que você se torne vítima de um criminoso virtual.

a) Mantenha seu antivírus sempre atualizado;
b) Troque a sua senha do Internet Banking periodicamente;
c) Acesse sua conta corrente apenas de computadores confiáveis;
d) Não instale programas de computador de origem desconhecida;
e) Apague imediatamente e-mails suspeitos ou não solicitados, principalmente os que têm arquivos anexos;
f) Evite acessar páginas na Internet que solicitam a instalação de algum programa;
g) Mantenha sempre o seu sistema operacional atualizado;
h) Em caso de suspeita de vírus no computador, entre em contato com o seu banco;
i) Utilize um personal firewall em seu computador;
j) Sempre utilize software legalizado.

Fonte: http://wnews.uol.com.br/site/noticias/materia_especial.php?id_secao=17&id_conteudo=495&id_coluna=10

Sem comentários »

Denny Roger fala sobre inovações de criminosos hightech.

Para ver a entrevista em video, acesse http://wnews.uol.com.br/site/tvwnews/index.php?V=070917-not-dennyroger2.

Sem comentários »

O evento traz como promessa inovar em relação as apresentações de segurança já realizadas.

Segundo informações disponibilizadas no site do evento:

“Com palestras técnicas para motivar gerentes e sobre gestão e carreira que agradarão os técnicos, o evento facilitará para que todos conheçam um pouco mais do “outro lado”, trazendo um diferencial na qualificação profissional de todos. Tudo isso com o objetivo de melhorar o, às vezes confuso, mundo da Segurança da Informação.

Um evento que talvez não mude a sua vida, mas que com certeza vai fazer você questionar o que os outros (e você) estão fazendo para o futuro das nossas carreiras.

- Palestras de renomados profissionais brasileiros e estrangeiros,
- Networking e troca de informações
- Um formato totalmente diferente e descontraído, jamais visto em
eventos de segurança no Brasil.”

Para mais informações sobre o evento, acesse http://www.ysts.org/.

Abraços,

Denny Roger
www.dennyroger.com.br
(11) 8101 4476

Sem comentários »

Dispositivos móveis perdidos ou roubados abrem as portas das redes corporativas. Por Denny Roger

Alguns processos de negócio estão ganhando cada vez mais mobilidade. Após a explosão da utilização de laptops e PDAs em alguns processos de negócio críticos para muitas organizações, já temos algumas estatísticas globais do que está acontecendo em relação à segurança da informação.

De acordo com o Gartner, 47% dos dados corporativos estão armazenados em dispositivos móveis. Em um período de dois anos, no entanto, 350 mil dispositivos móveis foram perdidos ou roubados nos Estados Unidos.

Mais de 208 mil celulares, 31.469 handhelds e 11.303 laptops são deixados em táxis nas grandes cidades do mundo em um período de 6 meses.

Segundo a empresa Kensington Group, 20% dos computadores perdidos ou roubados são utilizados pelos atacantes para a realização de invasões bem-sucedidas. Destes, 50% das intrusões são resultantes do uso de credenciais adquiridas de equipamentos perdidos ou roubados.

A empresa Pointsec adquiriu 100 dispositivos através do eBay e em leilões de aeroportos. Todos os laptops adquiridos tiveram suas informações apagadas ou formatadas.

A Pointsec conseguiu recuperar informações em sete de cada dez dispositivos adquiridos. Informações valiosas foram encontradas, tais como: planos de pensão, base de dados de clientes, registros de folha de pagamento, detalhes pessoais, informações de login, senhas de administradores, e-mails etc.

As empresas não estão criando procedimentos de segurança para o gerenciamento da mobilidade dos seus processos de negócio. A criação de uma lista de ameaças pode ajudar a identificar as diversas explorações que podem ser usadas em um ataque aos laptops e PDAs, por exemplo.

É importante que as empresas sempre atualizem seus conhecimentos nesta área, pois novos métodos, ferramentas e técnicas estão sempre sendo inventados para o roubo de informações.

Denny Roger é especialista em análise de risco, projetos de redes seguras e perícia forense. Atuou como Security Officer de instituições financeiras no Brasil e é autor do curso Segurança da Informação em Ambientes de Rede. E-mail: denny@dennyroger.com.br .

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2007-09-28.4966003988/

Sem comentários »