– root@injetionsec:~#

Vírus – mídia removível

05.06.2014 (11:54 am) – Filed under: Virus ::

A cada vez mais pen drives e cartões de memória infectados com vírus e a cada vez deparamos com vírus novos, que os antivírus não conhecem,vamos ver algumas dicas como se defender de um pen drive ou cartão de memória infectado e saiba como remover o vírus destes dispositivos.

Os vírus são programas (executáveis) e a infecção de um pen drive acontece quando o inserimos em um PC infectado,se o pen drive infectado é inserido em PC saudável e sem proteção adequada, este PC é infectado e passa a infectar todos os pen drives inseridos nele posteriormentecom isso temos um disseminação total dessa praga,isso tudo ocorre por conta da arquitetura e controle de permissões do Windows,os usuários logados em um sistema Windows pertence ao grupo “Administradores”, isto é, possui todas as permissões de escrita e leitura em praticamente todo o disco rígido e áreas de memória,ate ai você sacou o que porque..ahahha

Quando uma midia usb sem infecção e inserida em uma porta USB, a praga copia-se para ele.
Mas fica a pergunta como ao colocar um pendrive em outro computador a dissiminação ocorre

E o chamado autorun (ou auto-inicialização) para drives montados e com letra ja atribuída.

* Como funciona o autorun

Ele serve para executar qualquer aplicativo assim que o drive é montado,temos casos de CD/DVD-ROMs que ao serem inseridos no drive abrem uma aplicação com menus e outros recursos,o autorun pode ser utilizado em qualquer drive, seja uma partição do disco, CD-ROM, DVD, USB, câmera digital,HD externos, etc.
Podemos fazer isso criando um arquivinho chamado autorun.inf no diretório raiz do drive em questão,com isso são escritas rotinas que o Windows deverá seguir quando assim que o drive for montado,um exemplo

[autorun]
open=menu_midia.exe
icon=menu_midia.ico

Salve esse arquivo e nomei-e como autorun.inf e coloque no diretório raiz de um drive, ao montar ou acessar este drive, as instruções contidas neste arquivo serão executadas.

Que que ele vai fazer ,basicamente o ícone do drive exibirá agora o ícone menu_midia.ico, contido no diretório raiz do drive (do pendrive, por exemplo) e a aplicação menu_midia.exe será carregada.

O vírus de pen-drive é executado assim que ele é inserido,usando esse arquivinho

* Como evitar a contaminação,algumas dicas =]

Abra o seu prompt de comando (windows + r ou menu iniciar > executar > digite cmd é de enter)
O que vamos fazer e deletar arquivos autorun.inf,para isso observe qual letra sua mídia removível está.

Ex.: Se sua mídia removível está com a letra D: digite da seguinte forma no prompt de comando assim d:  , ficando como a imagem abaixo

94t4390

Depois de entrar na sua raiz da sua mídia removível execute os seguintes comandos abaixo,como mostrado na figura acima

atttrib -h -r -s autorun.inf de ENTER depois
del autorun.inf de ENTER depois

Faça isso para as outras unidas,depois de remover o arquivo autorun.inf reinicie  sua maquina, se aparecer alguma mensagem “File not found autorun.inf” e porque seu disco removível não tem nenhum arquivo autorun.inf

Abra um arquivo no bloco de notas com o seguinte  nome ver_ocultos.reg é salve o conteúdo abaixo.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced”
“Text”=”@shell32.dll,-30500”
“Type”=”radio”
“CheckedValue”=dword:00000001
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell.hlp#51105”

Isso vai possibilitar aparecer arquivos oculto em seu sistema.

Desabilitar a auto-reprodução das unidades removiveis,para isso entre em executar e digite regedit

No registro, navegue até a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer e coloque o valor NoDriveTypeAutoRun para 4,isso vai desabilitar a auto-reprodução em unidades removíveis,caso queira desabilitar em qualquer unidade utilize o valor ff, isso e para windows xp e 2003

Abra qualquer unidade removível pelo Windows Explorer, ao invés de dar duplo-clique no ícone,e só clicar com o botão direito na unidade e escolher “Explorar” ou abrir o “Windows Explorer”

Podemos também fazer assim para ver os arquivos ocultos, entre em  MEU COMPUTADOR > na parte superior vá em FERRAMENTAS > OPÇÕES DE PASTA , veja a figura esta em inglês mas e tranquilo de identificar.

9023248w2

Uma nova janela se abrir é só marcar a opção “MOSTRAR ARQUIVOS E PASTA OCULTOS” veja abaixo

43t9t3

Agora abra a unidade desejada com o botão direito e clique em “EXPLORAR”  não de duplo clique,então delete os arquivos autorun.inf e MS32DLL.dll.vb s ou MS32DLL.dll (Para excluir MS32DLL.dll.vbs ou MS32DLL.dll, vá para C :/ Windows ou C :/ Windows/System32), vá agora no editor de registro (windows + r e digite regedit) navegue pelos seguintes registros HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Current Version>Run  e do lado direito dele o MS32dll conforme a figura abaixo

282ufedf

Desabilitar a execução do arquivo autorun.inf,faça o seguinte,copie e cole as linhas abaixo para um bloco de notas e salve como desabilitar.reg:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExistSEUNOME”

Substitua SEUNOME pelo seu primeiro nome,depois basta executar o arquivo desabilitar.reg que você gerou.

Um software que automatiza isso e o USBForce,quando e executado na máquina, o USBForce :

– Desabilita a auto-reprodução em todas as unidades.
– Desabilita o reconhecimento de arquivos autorun.inf.
– Habilita sua proteção.

Quando você colocar alguma midia removivel,o Windows o reconhecerá mas nenhuma tela será aberta,você deve então clicar no ícone do USBForce onde salvou,ele abrirá o dispotivo pra você e tentará detectar se existe algum vestígio de infecção de vírus no dispositivo,caso encontre algum arquivo infectado tentara localiza-lo e deleta-lo

Essas foram algumas dicas para evitar é se proteger dessas pragas virtuais =]

Mais um novo bug no SSL – Linux

04.06.2014 (1:01 pm) – Filed under: Noticias ::

Dois meses após divulgar o bug Heartbleed, no OpenSSL, a mesma empresa Codenomicon encontrou mais uma falha grave em implementações open source do SSL: desta vez é no GnuTLS.O GnuTLS é usado em dezenas de pacotes de várias distribuições Linux populares, bem como em outros sistemas operacionais.

Com a falha, um servidor malicioso pode forçar a execução de código arbitrariamente injetado pelo próprio servidor nas máquinas que tentarem se autenticar junto a ele.As versões 3.1.25, 3.2.15 e 3.3.4 do GnuTLS, lançadas na sexta-feira, corrigem a falha, mas a mera instalação delas pode não ser suficiente para resolver as vulnerabilidades: pode ser necessário atualizar aplicativos que tenham sido compilados com suporte ao GnuTLS , mais informações aqui| Ars Technica

Fonte : br-linux.org

Banco buybitcoins dados expostos

04.06.2014 (12:21 pm) – Filed under: Noticias ::

Um total de 6314 logins e senhas do “banco” de bitcoins o http://buybitcoins.pixub.com/  foi publicado por um grupo do anonymous. As contas são verdadeiras e nelas há saldos. A maior parte dos logins parece pertencer a norte-americanos. Dada a voracidade dos bandidos na rede, o prejuízo vai ser grande,tinha conta com saldo  de 21 bitcoins – pela cotação de hoje, cerca de 14 mil dólares ou 30 mil reais,veja um a  imagem .

Fonte: cibersecurity

Brecha no WhatsApp indica o local onde usuário está

20.04.2014 (10:31 pm) – Filed under: Noticias ::

Pesquisadores da Universidade de New Haven descobriram uma nova brecha no WhatsApp, pela qual invasores conseguem descobrir facilmente a localização exata de uma vítima. A falha aparece no sistema de compartilhamento de posição do aplicativo, que se comunica com o Google Maps sem proteger o tráfego de dados.Segundo os especialistas, o app “chama” o serviço do Google no momento em que o usuário tenta enviar a posição a um contato.

A ideia é solicitar ao Maps uma imagem para ilustrar a localização da pessoa – e para consegui-la, o programa envia todos os dados aos servidores do sistema de mapas para receber a ilustração.O problema é que essa comunicação e a transferência de informações são feitas por HTTP, e não HTTPS. Assim, tudo fica desprotegido no meio do caminho, permitindo que um invasor que esteja monitorando o tráfego de uma rede Wi-Fi, por exemplo, consiga obter todos esses dados facilmente. E como ressalta o blog NakedSecurity, o criminoso nem precisaria utilizar o WhatsApp para isso.Os pesquisadores ilustraram o processo em um vídeo, que você pode conferir abaixo. No exemplo, o programa usado para interceptar os dados é o DataMiner, e ambos – invasor e vítima – estão próximos. Mas em uma rede pública, que abrangeria uma área maior, as possibilidades usando o mesmo software aumentariam,informações podem ser vistas  aqui

Fonte : exame abril

Aparelho que bloqueia sinal de alarme de carro

07.04.2014 (12:06 pm) – Filed under: Noticias ::

Um aparelho que bloqueia o sinal do alarme de carros vem sendo usado em furtos no Rio Grande do Sul. A Polícia Civil alerta que a prática vem sendo adotada em larga escala por criminosos, e a reportagem do Fantástico flagrou a obtenção de um dispositivo sem dificuldades em Porto Alegre.

“Não temos estatística ainda deste tipo de crime, embora saibamos que está muito em voga. É uma febre hoje, porque diariamente batem à nossa porta vitimas que tiveram o carro arrombado e até mesmo levado, muito provavelmente por este tipo de crime”, disse o delegado Juliano Ferreira, titular da Delegacia de Roubos da Polícia Civil gaúcha.

Conhecido entre os criminosos apenas como “chapolim”, o dispositivo bloqueia o sinal do alarme ao ser acionado próximo a um veículo. Assim, impede que as portas sejam trancadas pelo controle remoto da chave. Segundo o delegado André Mocciaro, os criminosos acionam o aparelho a cerca de 15 metros do veículo, mais informações podem ser vista aqui.

Fonte : G1

Pesquisadores encontram nova abertura em criptografia da RSA

05.04.2014 (7:10 pm) – Filed under: Noticias ::

Entre as diversas denúncias de espionagem feitas pelo ex-analista Edward Snowden, está a informação de que a NSA teria pagado US$ 10 milhões à RSA para inclusão de uma backdoor em seus sistemas de criptografia. Agora, cientistas de três universidades americanas descobriram brechas em outro sistema de segurança da companhia, permitindo uma entrada fácil de agências de segurança no que deveria ser um bloqueio de intrusos.

Os achados foram publicados pela agência Reuters e estarão presentes em um estudo que ainda deverá ser publicado pelas universidades de Wisconsin, Illinois e Johns Hopkins. Os achados revelaram que o já desacreditado sistema Dual Elliptic Curve não era o único a manter as portas abertas para a NSA, com um segundo protocolo conhecido como Extended Random também possuindo backdoorspara a agência.

A tecnologia acabou não se tornando popular e a RSA, quando procurada para comentários, negou ter reduzido a segurança de suas aplicações sob ordens da NSA. Além disso, a companhia informou que essa não foi a primeira falha de segurança encontrada na proteção Extended Random, que há seis meses não está mais disponível em nenhum dos produtos fabricados e vendidos por eles,mais informações veja a materia completa.

Fonte: canaltech

Boeing 777 da Malaysia Airlines derrubado por hackers?

28.03.2014 (6:00 pm) – Filed under: Noticias ::

Agora o assunto que esta na moda, segue algumas informações :

Noticias
Exame Abril  & Federal Register & Exame Abril

Videos
Hugo Teso – Aircraft Hacking: Practical Aero Series : aqui
DEF CON 20 – Hacking Airplanes – Brad Haines : aqui

Apresentações
conference.hitb.org & korben.info

WhatsApp usado para mineração de dados

14.03.2014 (12:49 pm) – Filed under: Noticias ::

Mineração de dados é o processo de explorar grandes quantidades de dados à procura de padrões consistentes.

Qualquer pessoa com conhecimentos básicos de matemática consegue perceber que o valor fechado na compra do WhatsApp pelo Facebook simplesmente não bate com o faturamento da empresa. 19 bilhões de dólares em uma empresa que tem apenas 50 funcionários. O aplicativo possui uma quantidade expressiva de usuários ativos – cerca de 450 milhões por mês – mas não possui um modelo de negócios muito rentável – uma assinatura de apenas um dólar por ano, contando a partir do segundo ano de uso, mais informações

 

Fonte: coaliza

Falha no aplicativo WhatsApp permite que qualquer app acesse suas mensagens

12.03.2014 (6:54 pm) – Filed under: Noticias ::

Uma falha de segurança séria foi identificada no WhatsApp, que permitiria que qualquer outro aplicativo tivesse acesso às mensagens que o usuário troca com seus contatos. A falha foi encontrada e revelada pelo especialista em segurança Bas Bosschert.

Após uma descrição detalhada do processo em seu blog, a conclusão é que o aplicativo falha na hora de criptografar o backup das mensagens, expondo os usuários sem precisar de muito esforço.

Segundo o especialista, a falha acontece quando o usuário realiza o back-up das mensagens para não perdê-las em caso de desintalação e reinstalação, por exemplo. O app estaria usando a mesma criptografia todas as vezes, em vez de criar uma nova chave para cada usuário. Pior: a encriptação do WhatsApp já é quebrada com grande facilidade.

Isso significa que o armazenamento dos dados no aparelho é feito de forma insegura e outros aplicativos maliciosos podem roubá-lo sem problemas, para abrir as mensagens do usuário ou procurar dados pessoais. E as versões mais antigas do app nem mesmo encriptavam as mensagens.

Ao salvar estas informações no cartão SD, basta que o usuário dê permissão para o aplicativo malicioso ler o armazenamento externo para que ele receba acesso a estas informações. “Como a maioria das pessoas permitem tudo em seus aparelhos Android, isso não é um problema”, afirmou ele.

Para acrescentar ironia à situação, Bas Bosschert ainda relembra do temor dos usuários do WhatsApp após a venda ao Facebook, temendo que a rede social fosse ter acesso a todas as suas mensagens. “O Facebook não precisava ter comprado o WhatsApp para ler suas mensagens”, afirmou.

Fonte: olhardigital

Schneider Electric Vulnerabilidades no Servidor OPC

06.03.2014 (1:53 pm) – Filed under: Noticias,Scada ::

O ICS-CERT  na semana passada emitiu avisos de advertência de vulnerabilidades na Schneider Electric SCADA.

Schneider Electric é um fornecedor de produtos de controle de gestão de energia que são usados ​​em uma série de indústrias críticas na América do Norte, incluindo energia, água e esgoto, comida, agricultura e sistemas de transporte,a empresa divulgou duas vulnerabilidades que poderiam permitir que invasores executem códigos maliciosos,foram feitas atualizações dos produtos para mitigar as vulnerabilidades presentes,mais informações

Fonte: threatpost