Navegador nativo do Android tem vulnerabilidade

A vulnerabilidade de segurança grave afeta o navegador padrão do sistema operacional Android inferior a 4,4, de acordo com os dados fornecidos pelo Google dashboard oficial quase a 66% dos dispositivos Android é impactado. A falha de segurança permite que um atacante para ignorar a política de mesma origem (SOP).

Android mesma falha Política de Origem

O Android política de mesma origem (SOP) vulnerabilidade ( CVE-2.014-6.041 ) foi divulgado pela primeira vez em setembro 2014 pelo especialista em segurança Rafay Baloch, que percebeu que o AOSP (Android plataforma open source) navegador instalado no Android 4.2.1 era vulnerável a política de mesma origem (SOP) vulnerabilidade que permite que um site para roubar dados de outro.

"O Navegador Android 4.2.1 aplicação no Android permite que atacantes remotos para ignorar a Política de Origem Same via um atributo trabalhada contendo um personagem \ u0000, como demonstrado por um onclick =" window.open ('\ u0000javascript:. Sequência ", afirma a descrição do  CVE-2014-6041  vulnerabilidade .

De acordo com especialistas em segurança da Trend Micro e Facebook, muitos usuários da rede social popular têm sido alvo de ataques cibernéticos que tentam explorar a Política de Origem (SOP) vulnerabilidade Same. Os atacantes usaram um Metasploit código de exploração publicamente disponível para executar o ataque de uma forma fácil e automatizado.

"Alguns meses atrás, nós discutimos a mesma vulnerabilidade Android Política de Origem (SOP), que foi mais tarde encontrado para ter um maior alcance do que se pensava. Agora, sob a colaboração da Trend Micro e Facebook, os ataques são encontrados que ativamente tentativa de explorar esta vulnerabilidade particular, cujo código acreditamos foi baseada na disposição do público código Metasploit. ", Afirma um post publicado pela TrendMicro.

Devido ao enorme impacto da Política de Origem (SOP) vulnerabilidade Same, o especialista Tod Beardsley apelidou-o " desastre de privacidade ". Beardsley é um dos desenvolvedores para  o  Metasploit equipe e forneceu um POC-vídeo para demonstrar que a falha é " suficientemente chocante . "

"Ao malforming um javascript: URL manipulador com um byte prefixado nulo, o AOSP, ou Android plataforma de código aberto (AOSP) Browser) não cumprir a Política (SOP) de controle de segurança do navegador de mesma origem ", Tod Beardsley da Rapid7 escreveu em um post . " O que isto significa é, qualquer site arbitrária (digamos, uma controlada por um spammer ou um espião) pode espreitar o conteúdo de qualquer outra página web. Imagine que você foi a uma atacantes site enquanto você teve seu webmail aberto em outra janela - o atacante poderia raspar seus dados de e-mail e ver o que o seu navegador vê. Pior, ele poderia prender uma cópia do seu cookie de sessão e seqüestrar sua sessão completamente, e ler e escrever webmail em seu nome.  Isso é um desastre de privacidade. A mesma origem política é a pedra angular da privacidade na web, e é um conjunto de componentes críticos para a segurança do navegador web. Oh, e fica pior. "

A política de mesma origem é um fundamental no modelo de segurança de aplicativos web implementados para proteger experiência de navegação dos usuários.

"Os scripts de política permite correr em páginas de originários do mesmo local - uma combinação de regime, hostname, eo número da porta -. Acessar DOM do outro, sem restrições específicas, mas impede o acesso ao DOM em locais diferentes", lê Wikipedia.

De acordo com a Trend Micro os atacantes servido um link através de uma página no Facebook em particular que redirecionar os usuários do Facebook para um site malicioso.

"Este ataque tem como alvo usuários do Facebook através de um link em uma página no Facebook em particular que leva a um site malicioso. Esta página contém ofuscado JavaScript código, que inclui uma tentativa de carregar a URL Facebook em um quadro interno. O usuário só verá uma página em branco como HTML da página foi configurado para não exibir qualquer coisa através da sua tag div, enquanto o quadro interno tem um tamanho de um pixel. ", Continua o post.

Android mesma falha Política de Origem Facebook

O código JavaScript pode ser explorada por um atacante para realizar várias atividades por conta Facebook da vítima, incluindo:

Adicionando Amigos
Como e Siga qualquer página do Facebook
Modificar Assinaturas
Autorizar aplicativos do Facebook para acessar o perfil público do usuário, lista de amigos, informações de aniversário, gosta.
Para roubar tokens de acesso da vítima e enviá-los para o seu servidor.
Coletar dados de análise (como a localização das vítimas, referenciador HTTP, etc.) usando o serviço legítimo.
Os especialistas notaram que os criminosos por trás desses ataques contar com um aplicativo BlackBerry oficial mantido pelo BlackBerry, a fim de roubar os tokens de acesso usadas para cortar as contas do Facebook.

"O malware móvel usando o SOP Android Exploit (Android Same Origin Policy Bypass Exploit) é projetado para atacar usuários do Facebook, independentemente da sua plataforma de dispositivos móveis", disse Blackberry Trend Micro em um comunicado. "No entanto, ele tenta tirar vantagem do site BlackBerry marca usando nosso aplicativo web Facebook. BlackBerry trabalha continuamente com a Trend Micro e Facebook para detectar e mitigar esse ataque. Note-se que o problema não é o resultado de um exploit para hardware, software, ou rede de Blackberry ".

Para corrigir a mesma vulnerabilidade Política Origin é necessário aplicar um patch já está disponível e emitido pela Google em setembro. Infelizmente, milhões de dispositivos Android ainda são vulneráveis ​​porque os fabricantes já não empurrar a atualização para seus clientes. A fim de proteger-se, desativar o navegador a partir de seus dispositivos Android, vá para Configurações> Aplicativos> Todos e procurando seu ícone.

Pierluigi Paganini

( Assuntos de Segurança  - política de mesma origem Vulnerabilidade, Android)

Biometria sem dedo vivo não é segura.

Um especialista em segurança na conferência do Chaos Computer Club mostrou como contornar biometria da impressão digital utilizando apenas algumas fotografias.

Biometria da impressão digital são considerados por muitos especialistas em segurança, um dos mais sofisticados sistemas de autenticação que combina segurança e facilidade de uso. Gigante de TI, como Apple e Samsung estão olhando com grande interesse para os dados biométricos de impressão digital, as duas empresas implementar a autenticação biométrica para as várias funções disponíveis no seu smartphone.

É biometria da impressão digital totalmente segura?

O pesquisador alemão Jan Krissler, aka Starbug, demonstrado pelo Chaos Computer Club da Alemanha, que também biometria da impressão digital poderia ser cortado.

O especialista afirma ter "copiado" a impressão digital da Alemanha ministro da Defesa, Ursula von der Leyen a partir de fotos padrão, ele usou uma imagem de close-up do ministro e isso combinado com outras fotografias para compor a impressão final, usando o software de biometria chamado Algoritmo.

Biometria da impressão digital 3

No passado, outros especialistas têm violado os dados biométricos de impressão digital Usando cópias obtidas a partir de uma pessoa que tocou fisicamente um objeto com uma superfície polida (ou seja, de vidro).

"Hackers membros da reivindicação Chaos Computer Club ter derrotado sensor de impressão digital da Apple TouchID para o iPhone 5S, logo após o início da sua venda ao público. O Chaos Computer Club na Alemanha anunciou na tarde de sábado ter ultrapassado com sucesso a segurança biométrica no sensor de impressão digital touch ID da Apple pelo uso de materiais que podem ser encontrados em quase todos os lares, parece que eles fizeram isso fotografando a impressão digital de um usuário do iPhone a partir de um vidro superfície e usar essa imagem capturada para verificar as credenciais de login do usuário. "Eu escrevi em um posto em setembro de 2013.

Em abril de 2014,  SRLabs  pesquisadores publicaram um vídeo Proof of Concept no YouTube para demonstrar que eles foram capazes de ignorar o mecanismo de autenticação de impressão digital implementado pela Samsung Galaxy S5 . Os pesquisadores demonstraram obter acesso não autorizado apenas usando uma impressão digital levantou com madeira-cola dedo fictício baseado.

Desta vez Krissler mostrou como estes, é possível alcançar o mesmo objetivo usando uma "câmera de fotos padrão."

" Krissler disse que usou um software disponível comercialmente chamado VeriFinger para retirar a façanha. A principal fonte era um retrato close-up de ouro von der Leyen do obtido durante uma coletiva de imprensa em outubro, junto com fotografias tiradas a partir de ângulos diferentes para obter uma imagem completa da impressão digital. ", relatou uma pós em venturebeat.com.

Starbug acredita que, após a sua apresentação "os políticos vão presumivelmente usar luvas quando se fala em público", e provavelmente ele está certo ;-)

Biometria da impressão digital é ainda considerável seguro, de qualquer maneira, é mais seguro de muitos outros métodos de autenticação.

"O site comenta:" Mesmo se reproduzindo uma impressão digital era um método viável para invadir um sistema, seja ele um smartphone ou um cofre de alta segurança, esta notícia não significa que as impressões digitais são repente inútil. Medidas de segurança perfeitas não existem, e as impressões digitais definitivamente ainda têm o seu lugar. ", Continua o VentureBeat.

Pierluigi Paganini

( Assuntos de Segurança  - Autenticação, biometria da impressão

Hackers chineses derrubam rede do Afeganistão

Hackers chineses derrubaram todos os principais sites do governo do Afeganistão por hackear uma rede CDN oficial usada no país.

Os especialistas da  Equipa de Investigação de Inteligência ThreatConnect (TCIRT ) informou recentemente a operação, batizada de Operação Helmand, dirigido por um grupo de hackers chineses que atacou toda a rede web governo afegão. Os hackers supostamente usado um cross-site scripting alvo (XSS) "drive-by" ataque sobre o conteúdo principal Delivery Network (CDN) usado no Afeganistão.

As plataformas CDN são um componente essencial para publicação na web, elas permitem a entregar dinamicamente o conteúdo da web para entidades públicas e privadas. Comprometer a CDN é possível atingir um público amplo, por esta razão, eles representam um alvo privilegiado para os atores de ameaça.

Um invasor pode explorar a plataforma CDN por exemplo, para servir de conteúdo malicioso e sistemas de compromisso visitante '.

No caso específico, os atacantes executar um cross-site scripting alvo (XSS) "drive-by" ataque que alavancou um único CDN para espalhar um applet Java malicioso através dos principais sites Afeganistão.

A campanha de hackers supostamente bater a rede gerenciada pelo afegão Ministério das Comunicações e TI (MCIT), os atacantes usaram um JavaScript para comprometida a CDN disponível no seguinte URL:  [http:] [.] // cdn.afghanistan af / scripts / GOP-script.js

"O domínio CDN .afghanistan [.] af é um site CDN legítimo utilizado pelo Ministério afegão das Comunicações e TI (MCIT) para hospedar o conteúdo da web que é exibido e usado em muitos sites oficiais gov.af. "Reportes um post publicado pelo ThreatConnect.com.

CDN Afeganistão pirataria

Os hackers derrubaram os sites dos principais órgãos do governo afegão, incluindo Educação, Finanças, Negócios Estrangeiros, Justiça e Assuntos da Mulher, e sites estrangeiros que recebem conteúdo do mesmo CDN como a embaixada australiana. Abaixo a lista de sites afetados:

[Http:] [.] // Canberra.afghanistan af / en (afegão Embaixada em Canberra, Austrália)
[Http:] [.] // Herat.gov af / fa (província de Herat Governo Regional)
[Http:] [.] // Mfa.gov af / en (Ministério dos Negócios Estrangeiros)
[Http:] [.] // Moci.gov af / en (Ministério de Comércio e Indústrias)
[Http:] [.] // Moe.gov af / en (Ministério da Educação)
[Http:] [.] // Mof.gov af / en (Ministério das Finanças)
[Http:] [.] // Moj.gov af / fa (Ministério da Justiça)
[Http:] [.] // Mowa.gov af / fa (Ministério de Assuntos da Mulher)
[Http:] [.] // Oaacoms.gov af / fa (Escritório de Assuntos Administrativos e Conselho de Ministros)
Os especialistas especulam que a Inteligência chinês adotou uma técnica de boteco, porque ele está olhando com grande interesse para o Afeganistão após os EUA ea NATO têm reduzido as suas tropas no país.

"Como os EUA ea NATO reduzir os seus níveis de tropas no Afeganistão, a China está fazendo pose para preencher a lacuna de influência que o oeste está deixando para trás. Com planos para facilitar as negociações de paz multilaterais com o Talibã e estabelecer grandes projetos de transporte que visam fortalecer a economia afegã, Pequim tem sido de olho Afeganistão, como parte de sua estratégia mais ampla do sul da Ásia. "Continua o post.

Os pesquisadores coletaram evidências de que os ataques boteco coincidiu com uma reunião sobre o desenvolvimento das infra-estruturas e da cooperação bilateral no Cazaquistão entre o primeiro-ministro da China Li Keqiang e do governo executivo-chefe do Afeganistão Abdullah Abdullah.

Os pesquisadores, analisando os metadados EXIF ​​da imagem de reunião Keqiang, descobriu que a imagem usada para servir o malware foi modificado algumas horas depois que apareceu a ser tomada na reunião.

CDN Afeganistão hackers 2

A Operação Helmand é bastante semelhante a outros ataques observados no Sudeste Asiático, os especialistas notaram também muitas semelhanças com outro ataque boteco descoberto neste verão, quando um arquivo Java malicioso foi servido no site da embaixada Grécia em Pequim durante uma reunião diplomática a Atenas.

Pierluigi Paganini

( Assuntos de Segurança  - Operação Helmand, CDN, Afeganistão)

Novo trojan ataca 150 bancos

A nova estirpe de Zeus Trojan apelidado Chthonic foi descoberto na natureza segmentação mais de 150 bancos e 20 sistemas de pagamento, principalmente na Europa.

Especialistas acreditam que eles viram tudo sobre o trojan Zeus , P2P versões, versões que infectam SaaS , agentes que exploram a rede Tor ou que mulas de dinheiro recruta ... então prontamente uma nova estirpe do malware em regiões selvagens e surpreende todos.

A nova variante Zeus é apelidado Chthonic e depende de um novo mecanismo para carregar seus módulos. A nova cepa de máquinas infectadas de malware prevalentemente no Reino Unido, Espanha, EUA, Rússia e Japão. Outras infecções também foram relatados em outros países europeus, incluindo a Bulgária, Irlanda, França, Alemanha e Itália.

Chthonic 3

Chthonic é servido às vítimas através do bot Andromeda, bem como através de um exploit para uma vulnerabilidade no Microsoft Office ( CVE-2014-1761 ) que é distribuído via e-mail.

"Uma nova ameaça de malware significativa segmentação sistemas bancários online e seus clientes tem sido detectado por analistas de segurança da Kaspersky Lab. Identificada como uma evolução do infame ZeuS Trojan, Trojan-Banker.Win32.Chthonic, ou Chthonic para breve, é conhecido por ter atingido mais de 150 bancos e 20 diferentes sistemas de pagamento em 15 países. Parece ser direcionados principalmente para as instituições financeiras no Reino Unido, a Espanha, os EUA, Rússia, Japão e Itália. ", Afirma um post publicado pela Kaspersky Lab.

O especialista descobriu que muitos componentes da Chthonic são compatíveis com sistemas de 64 bits, ele combina o esquema de criptografia de outras cepas de Zeus, bem como uma máquina virtual implementada por ZeusVM e KINS trojan .

"Chthonic compartilha algumas semelhanças com outros Trojans. Ele usa a mesma encryptor e downloader como bots Andrômeda, o mesmo esquema de criptografia AES como Zeus e Zeus Trojan V2, e uma máquina virtual semelhante ao utilizado em ZeusVM e KINS malware. ", Continua o post.

Chthonic usa um módulo principal que baixar todos os outros módulos do malware, o agente trabalha com plataformas de 32-bit e 64-bit, e entre as suas capacidades não está coletando informações do sistema, roubar senhas do sistema através Pony malwares , keyloggers, web controle de câmera, forma grilagem, injeção web e acesso remoto através de VNC componente de desktop remoto.

Chthonic 2

Os especialistas destacaram os injetores de Chthonic web que permitem que o malware para inserir seu próprio código no navegador quando vítimas visite o site dos bancos visados.

"Chthonic explora as funções do computador, incluindo a câmara web e teclado para roubar credenciais bancárias on-line, tais como senhas salvas. Os invasores também pode se conectar ao computador remotamente e comandá-lo a realizar as operações. ", Afirma o relatório.

"Principal arma do Chthonic, no entanto, é injetores web. Estes permitem o cavalo de Tróia para inserir seu próprio código e imagens nas páginas bancárias carregados pelo navegador do computador, permitindo que os atacantes para obter o número da vítima telefone, senhas de uso único e PINs, bem como quaisquer login e senha detalhes inseridos pelo usuário . "

O esquema de ataque não é diferente daquele implementado com outra estirpe de Zeus, ele conta com o man-in-the-middle técnica que permite Chthonic para i ntercept comunicação do cliente para o banco alvo e modifica a página web carregado na navegador injectar o código necessário. A injeção de código permite que atacantes para roubar informações bancárias (log-in detalhes, PIN, senha de uso único).

Pelo menos em um ataque contra um banco japonês, Chthonic foi capaz de esconder os avisos do banco, os clientes afetados, entretanto, de bancos russos foram enganados usando um iframe com uma cópia phishing do site que tem o mesmo tamanho da janela original.

"Felizmente, muitos fragmentos de código utilizados por Chthonic para realizar injeções web não pode mais ser usado, porque os bancos mudaram a estrutura de suas páginas e, em alguns casos, os domínios também."

A descoberta de Chthonic trojan é a demonstração de que o Trojan ZeuS ainda está evoluindo, graças também à disponibilidade de seu código-fonte no subterrâneo de hacking .

"" A descoberta de Chthonic confirma que o Trojan ZeuS ainda está evoluindo de forma activa. Os criadores de malware estão a fazer pleno uso das técnicas mais recentes, ajudaram consideravelmente pelo vazamento do código fonte do ZeuS. "

Uma análise detalhada do malware está disponível no website SecureList .

Pierluigi Paganini

( Assuntos de Segurança  - Chthonic, Zeus Trojan Bancário)

Perfil do submundo Hacker

O acompanhamento dos mercados de chapéu preto Blackhat uma das principais atividades de especialistas em segurança e agências de inteligência, permite a coleta de informações sobre a evolução das ameaças cibernéticas e as tendências emergentes no ecossistema criminal.

Em 2013, os especialistas da Dell unidade segura Threat Works Counter (CTU) publicou um relatório muito interessante intitulado " The Hacking Underground Economy está vivo e bem. ", que investigou o mercado online para dados roubados e serviços de hacking. O relatório detalhou os produtos vendidos nos mercados negros e custos relacionados, dando aos leitores um retrato interessante do  submundo do crime .

O submundo do crime é caracterizado por uma dinâmica rápida e uma análise cuidadosa pode permitir a aplicação da lei e agência de segurança para entender a evolução das ameaças cibernéticas e as TTPs de operadores principais. Um ano mais tarde, a mesma equipe de especialistas da Dell SecureWorks lançou uma atualização para o estudo dos mercados de chapéu preto, intitulado " Mercados Hacker Subterrâneas ", que relata uma série de tendências dignas de nota.

O pesquisador notou um crescente interesse nos dados pessoais, nomeadamente, em qualquer tipo de documentação que poderia ser usado como uma segunda forma de autenticação, incluindo passaportes, carteiras de motorista, números de segurança social e até mesmo contas de serviços públicos.

"Os mercados estão crescendo com documentos falsificados, para permitir uma fraude, incluindo novos kits de identidade, passaportes, contas de serviços públicos, segurança social cartões e carteiras de motorista. ", afirma o relatório.

Outro elemento distintivo da evolução dos mercados subterrâneos no último ano é a oferta de Hacker Tutoriais.

Tutoriais de treinamento fornecer instrução aos criminosos que querem vender cartões de crédito roubados para outras equipes, ou obter informações detalhadas sobre a execução de explorar kits, no arranjo de spam e campanhas de phishing ou como executar ataques DDoS.

"Estes cursos não só explicar o que, um kit de Tróia de acesso remoto (RAT) e explorar Crypter é, mas também como eles são usados, que são os mais populares, e que os hackers devem pagar por essas ferramentas de hackers", disse o relatório.

Outros tutoriais incluem instruções para fazer um corte ATM , como fazer transferências bancárias sem ser detectado e fazer uma retirada de dados de cartões de crédito roubados.

tutoriais hackers subterrâneas

Os dados fornecidos pela Dell confirma as conclusões de um outro relatório emitido pela TrendMicro que notei no underground brasileiro uma disponibilidade significativa de produtos e serviços similares.

Tripulações Criminal especializada em vender seu negócio de cartões de crédito prêmio, uma conseqüência direta do grande número de violações de dados ocorreram este ano e que inundou os mercados de hacking subterrâneas com milhões de dados de crédito e débito roubados.

Os pesquisadores explicaram marketplaces preto, exatamente como qualquer outro mercado, recompensar a confiabilidade e reputação dos fornecedores líderes que dedicam tanta atenção ao atendimento ao cliente.

Em particular, os criminosos cibernéticos estão se diferenciando a sua oferta com base nos níveis de serviço prestados aos compradores e garantias sobre os dados roubados.

"É evidente que os hackers subterrâneas são monetizar cada pedaço de dados que eles podem roubar ou comprar e estão constantemente adicionando serviços para outros scammers podem realizar com sucesso on-line e em pessoa fraude", é relatada no relatório.

Para aqueles criminosos que desejam adquirir uma nova identidade para atividades ilegais, os pacotes de subterrâneos de identidade de oferta de mercado que incluem passaportes, carteiras de motorista e cartões de segurança social, praticamente qualquer coisa é necessário para cometer um roubo de identidade .

No mercado subterrâneo, é possível adquirir um cartão de trabalho da segurança social, nome e endereço para US $ 250, pagar outros US $ 100 um scammer pode comprar uma conta de luz para usar em processos de verificação de identidade. Passaportes não-americanos falsificados estão disponíveis para um custo entre US $ 200 a US $ 500. Os especialistas explicaram que é muito difícil encontrar US passaportes, porque a aplicação da lei dos Estados Unidos é acreditado para infiltrar-se na comunidade de hackers, tornando arriscado sua comercialização. Carteiras de motorista falsificada US correr para US $ 100- $ 150, enquanto isso falsificar Segurança Social Cards run entre US $ 250 e US $ 400, em média, em ambos os casos, esses documentos possam ser utilizados para melhorar a eficiência dos esquemas de fraude.

Cartões premium continuam a ser mercadorias preciosas no submundo do crime, uma coleção completa de credenciais roubadas, também conhecidos com o termo hacker slang "fullz", executado por US $ 30 nos EUA, enquanto, em 2013, foi oferecido por US $ 5. O fullz inclui também informações relacionadas com o titular do cartão, como nome, endereço, número de telefone, endereços de email, datas de nascimento, números de segurança social, números de contas bancárias, números de cartões de crédito e dados bancários.

Os pesquisadores notaram que o preço de números de cartão de crédito individuais mantém-se inalterada desde o ano passado, Master Card premium e cartões Visa, incluindo tanto dados de Pista 1 e 2 estão vendendo por US $ 35 e US $ 23, respectivamente.

Outra bem precioso no underground de hackers é o malware, custo para  Trojans de acesso remoto  (ratos) é diminuída relativamente ao ano anterior, e hoje são vendidos por um preço que varia de US $ 20 a US $ 50 para RATOS notórios como  DarkComet . Vários ratos também são oferecidos gratuitamente deflação dos preços. A comunidade subterrânea também oferece populares explorar kits como Nuclear e Sweet Orange para os melhores preços com Laranja Doce em US $ 450 para um contrato de arrendamento semanalmente, para US $ 1.800 para um mês inteiro.

"Os hackers estão procurando por um rato que é facilmente disponível para compra ou para uso gratuito e que eles podem ser executados através de um Crypter (um programa que criptografa malware, tornando-FUD ou completamente indetectável a Anti-Virus e programas anti-malware), ", disse o relatório.

O relatório inclui uma série de dados interessantes relacionados a produtos e serviços oferecidos no botnet pirataria no subsolo, incluindo disponíveis para aluguel e DDoS ataque à demanda.

Em relação ao preço para bots localizados em países específicos, é maior respeito ano anterior e que depende da localização dos computadores infectados.

" Estes  bots aleatórios foram consideravelmente mais barato, por exemplo, 1.000 bots correu US $ 20; 5.000 bots correu  $ 90; 10.000 correu US $ 160; etc.  No entanto, este ano eles encontraram preços para bots localizados em países específicos, e esses bots  são consideravelmente mais caros. O preço para a compra de acesso a computadores comprometidos  que pode variar de país para país. O preço para 5.000 bots individuais localizados em os EUA  vai de US $ 600 a US $ 1.000, enquanto o mesmo número de bots baseadas no Reino Unido custa US $ 400 a US $ 500, um  decréscimo de 50 a 100 por cento no preço dos bots dos EUA ".

Não perca tempo ... dá uma olhada para relatar!

Pierluigi Paganini

( Assuntos de Segurança  - Hacking subterrâneo, o cibercrime)

Governo Sueco invadido

Os membros do grupo Anonymous alegam ter invadido várias contas de email governo sueco sobre a apreensão dos servidores do Pirate Bay.

Muitos especialistas em segurança cibernética consideram hacktivistas como uma ameaça que está fervilhando, mas é a minha opinião, é um erro grave subestimar suas capacidades e da Stratfor  caso é provavelmente a demonstração mais evidente do seu impacto.

Desta vez, a vítima do ataque é o governo sueco, o Anonymous, invadiu contas de e-mail dos representantes do governo em resposta à recente apreensão de servidores do The Pirate Bay website pelas sm autoridades suecas.

Os membros do Anonymous também alegou ter violado as contas de email de muitos outros governos, divulgando suas credenciais online, incluindo Índia, Brasil, Argentina, Brasil, Índia, Israel e México.

Na época, eu estou escrevendo, não há notícias sobre o suposto ataque ao e-mail contas de funcionários do governo. Não está claro quais são os sistemas segmentados por Anonymous e como os hackers obtiveram as suas credenciais.

O grupo Anonymous acrescentou a seguinte mensagem para a coleção de credenciais vazaram on-line:

"Aviso: Feliz Natal e um Feliz Ano Novo a todos !! Tchau: * "

A mensagem que contém a lista das credenciais foi postada no Pastebin.com, mas já foi removido, Anonymous também anunciou o corte através de um de sua conta oficial no Twitter.

Anonymous hackeado Governo sueco Pirate Bay
"QUEBRANDO: Emails do governo sueco foram cortados em retaliação a apreensão dos servidores do The Pirate Bay http://pastebin.com/cxmiUSJD", diz o tweet.

Após a apreensão do The Pirate Bay, hackers atacaram várias organizações suecas. A agência de notícias local informou que na semana passada que empresa de internet sueco, Telia, sofreu um grande ataque DDoS que afetou seus serviços on-line e conexões de usuários.

"O alto perfil que corta o ataque na internet gigante sueca Telia tem sido associada a uma batida policial no Pirate Bay, o que dizem os especialistas" sentimentos provocou "entre os hackers.", Afirma o Local. "David Jacoby, pesquisador-chefe da empresa de segurança de dados da Kaspersky Lab disse que o ataque provavelmente deriva de uma batida policial no início desta semana contra o compartilhamento de arquivos Pirate Bay, em Estocolmo. "

O Lizard Plantel equipe de hackers reivindicou a responsabilidade pelo ataque, o grupo também corre nas últimas semanas grandes ataques DDoS contra a rede on-line Xbox eo PlayStation Network causando interrupções significativas dos serviços. Jacoby explicou que o Lizard Squad é um dos muitos grupos de hackers envolvidos no movimento anônimo Pirate Bay.

"Estes ataques não vêm do nada. O ataque Pirate Bay tem provocado sentimentos nesses grupos ", Jacoby à agência de notícias TT.

Na terça-feira, o The Pirate Bay e muitos outros sites de torrent foram temporariamente inacessível devido ao assalto da polícia sueca contra a sua infra-estrutura.

The Pirate Bay foi de novo no dia seguinte, hospedado em um domínio na Costa Rica, mas os usuários notou algo de estranho no website.

"No entanto, os usuários de torrent notaram que os downloads eram nem devidamente funcionando, nem foram de cortesia, e veio com ofertas incomuns de um serviço VIP. Alguns disseram que o site da .cr poderia ter sido um velho espelho TPB gerido por um grupo diferente de pessoas, enquanto outros se refere a ela como uma farsa. " informou o site da rt.com .

Em setembro, os membros do The Pirate Bay alegou que o popular site é apoiado por  21 máquinas virtuais "à prova de RAID"  que o tornam resistente às ações operadas pela aplicação da lei.

Fique ligado para mais informações ....

Pierluigi Paganini

( Assuntos de Segurança  - The Pirate Bay,

Espionagem

http://securityaffairs.co/wordpress/31109/intelligence/stingray-used-spy-norway-politicians.html

Segurança da Internet das coisas é tema de palestra

Ontem Pierluigi Paganini apresentado na conferência ISACA Roma & OWASP Itália, o estado da arte para a Internet das Coisas paradigma.

Ontem eu apresentado na conferência ISACA Roma & OWASP Itália, o estado da arte para a Internet das Coisas paradigma. A apresentação destaca as questões de segurança e privacidade para a Internet das Coisas, uma tecnologia que está mudando a percepção do usuário da tecnologia.

internet-de-coisas-IoT

A apresentação inclui detalhes da difusão da Internet das Coisas, dispositivos previstos no seu crescimento e informações relacionadas com a economia por trás do paradigma.

Toda uma sessão explora os possíveis desvios (ou seja, DDoS , malwares , thingbot) da Internet das Coisas dispositivos analisando atores de ameaças e as técnicas de ataque implementadas em casos reais.

Apreciá-lo!

Pierluigi Paganini

( Assuntos de Segurança  - Internet das Coisas, OWASP, ISACA)

Ataque ao cassino Sands

Bloomberg revelou que hackers iranianos usaram malwares Visual Basic para acabar com dados de sistemas corporativos em Las Vegas Sands Corp.

Em fevereiro de 2014, o operador Casino Las Vegas Sands Corp sofreu um grande ataque cibernético, mas só agora a notícia foi publicamente  divulgado pela Bloomberg Businessweek .

O ataque tem muitas semelhanças com a recente violação de dados ocorreram à  Sony Pictures  e tem causado danos graves para a empresa. Também no caso do operador Casino Las Vegas Sands Corp, os atacantes têm comprometido a rede da empresa, destruindo milhares de servidores e computadores, limpando seus discos rígidos com um malwares agressivo.

Especialistas em segurança acreditam que os hackers têm operado uma retaliação em resposta ao comunicado divulgado pelo diretor executivo da Las Vegas Sands Corp., Sheldon Adelson.

Sheldon Adelson é culpado de ter feito uma declaração contra o governo iraniano em outubro de 2013, o bilionário estava no campus da Universidade de Yeshiva Manhattan quando declarou que um ataque contra o Irã era a única maneira de parar definitivamente o seu programa nuclear.

"O que eu faria", Sheldon Adelson declarou que "seria dizer:" Você vê que deserto por lá? Eu quero lhe mostrar uma coisa. " Você pega seu celular e você chamar algum lugar no Nebraska e você diz 'Ok deixá-lo ir. "... Então você diz:" Está vendo? O próximo é no meio de Teerã ".

O comunicado divulgado pela Adelson foi transposta pelo líder supremo iraniano, o aiatolá Ali Khameeni, que respondeu ao Governo dos Estados Unidos com a seguinte declaração:

"Tapa essas pessoas proferindo na boca e esmagar suas bocas."
Em dezembro do mesmo ano, os hackers atingiu a rede de Las Vegas Sands ea ofensiva continuou também em janeiro, quando os atacantes tiveram acesso a virtual gateway da rede privada da empresa no seu casino ranhuras em Bethlehem, Pennsylvania.

"Encontraram-lo: as credenciais de login de um sistemas de computador engenheiro sênior que normalmente trabalhavam na sede da empresa, mas cuja senha tinha sido usado em Belém durante uma viagem recente. Essas credenciais tem os hackers em servidores da empresa de jogos em Las Vegas. Como eles vasculharam a rede principal, os atacantes preparou uma bomba malware. ", Relatou o post publicado pela Bloomberg.
Em fevereiro, os hackers comprometido o desenvolvimento e estadiamento servidor Microsoft IIS por trás do site do casino e usou uma ferramenta aberta, apelidado  mimikatz ,  para exfiltrate credenciais dos usuários. Os hackers descobriram as credenciais de um engenheiro de sistemas sênior que visitaram o site Belém a partir de Las Vegas, em seguida, os atacantes usaram para comprometer a infra-estrutura corporativa e acabar com dados sobre máquinas internas.

Las Vegas Sands Corp 2 A malwares limpador usado pelos atacantes foi escrita em Visual Basic e foi capaz de apagar completamente os dados dos discos rígidos da empresa.
"Digitando a partir de um Sony ( SNE ) computador VAIO, que compilou um pequeno pedaço de código, apenas cerca de 150 linhas, na linguagem de programação Visual Basic. O programa revelou potente. Não só limpar os dados armazenados em computadores e servidores, mas também reinicia-los, um truque inteligente que expõe dados que é intocável, enquanto uma máquina ainda está sendo executado automaticamente. Pior ainda, o script escreve sobre os discos rígidos apagados com um padrão aleatório de zeros e uns, tornando os dados tão difícil recuperar de que é mais rentável para comprar novas máquinas e atirar os hackeados no lixo. ", Continua o post .
Os hackers comprometido a rede e vazou os dados on-line, incluindo informações pessoais, endereços de email e números roubados de segurança social dos trabalhadores no canteiro de Sands Belém.

Os atacantes também postou uma mensagem para o CEO da Las Vegas Sands Corp:

"Incentivar o uso de armas de destruição maciça, sob qualquer condição, é um crime, assinada, o WMD Equipe Anti", disse um deles. "Droga A, Não deixe que sua língua cortar sua garganta", advertiu o outro.
O porta-voz da empresa Ron Reese se recusou a comentar sobre os detalhes fornecidos no relatório publicado pela Bloomberg:
"Eu não estou indo para confirmar tudo o que foi especulado ou escrito na história Bloomberg.", Disse Reese.
Os especialistas da Dell SecureWorks que foram contratados pela Las Vegas Sands Corp para higienizar os sistemas da empresa se recusou a comentar o incidente, de qualquer forma especialistas em segurança excluir o envolvimento direto do governo iraniano e atribuiu o ataque a um grupo de hacktivistas.

Pierluigi Paganini

( Assuntos de Segurança  - Hackers iranianos, Sands Corp

Ataque a SonyPictures podem ter vindo da Corea do Norte

Especialistas em segurança na AlienVault descobriu outros elementos do malware limpador usado para o ataque à Sony Pictures que apontam para hackers norte-coreanos.

Novas evidências surgiu a partir da investigação sobre o ataque cibernético clamorosa contra os  da Sony Pictures , especialistas em Estrangeiro Vault forneceu mais elementos para ligar o ataque à  Coreia do Norte .

Na semana passada, os especialistas da TrendMicro, desde os detalhes do  limpador de malware  que infectou os sistemas no Sony Picture, os especialistas hoje no AlienVault empresa dissecado uma amostra do código identificado com as informações fornecidas pelo FBI.

Laboratórios O diretor do AlienVault Jaime Blasco analisou uma amostra de malware que foi detectado por honeypots da empresa, o malware foi compilado entre 22 de novembro e 24, poucos dias antes do grande ataque contra a Sony Pictures.

A descoberta mais interessante que os peritos feita é que o malware limpador foi compilado por um computador com as configurações de texto em idioma coreano.

Apesar dos resultados ligar o malware à Coreia do Norte, o Governo de Pyongyang nega qualquer envolvimento no ataque cibernético na Sony Pictures.

A análise realizada pela AlienVault fornece mais evidências de envolvimento de hackers da Coreia do Norte, destacando que o código fonte foi especificamente concebida para combater a Sony Pictures. A cepa de malware analisados ​​por Alien Vault usado um login simples e senha para ter acesso a rede corporativa Sony Picture, esta circunstância sugere que os hackers já têm como alvo a empresa, por exemplo roubar credenciais de rede em um  spear phishing  ataque.

AlienVault confirmou que o malware limpador uma vez infectado as vítimas excluiu todos os dados em seus discos rígidos, realizado outras atividades maliciosas e exibido o manifesto GOP.

Os peritos não excluem que o código foi reutilizado de doenças preexistentes malwares limpador, mas a sua análise revelou que foi personalizado e implementado pelo coreano falando hackers e comunidade de segurança acreditam que os especialistas desse país estão diretamente ligados ao Governo central.

Pierluigi Paganini

( Assuntos de Segurança  - Sony Pictures, a Coreia do Norte, malware limpador)

Novo Malware é descoberto pela Palo Alto

Palo Alto Networks descobre novo malware que mira em diferentes verticais

11.12.2014 07:30 por Jocelyn Auricchio 0

A equipe de inteligência de ameaças da Palo Alto Networks divulgou uma análise de tendências de um malware que está afetando milhares de organizações de diversos segmentos da indústria: Saúde, Varejo e Serviços Financeiros, ao redor do mundo.

Trata-se da família de malware Kuluoz, uma forma evoluída do Asprox que cria redes zumbis (botnets) para disparo de mensagens indesejadas (spams).

A descoberta foi publicada no relatório “Unit 42 Threat Landscape Review”, um relatório recorrente da inspeção de como as organizações de diferentes setores são afetadas por malware.

Dentre os fatores encontrados na Pesquisa, destacam-se:

• Todas as verticais viram o e-mail (SMTP) e o HTTP como os principais canais para entrega de malware, mas as porcentagens de cada Indústria variaram significativamente, indicando que esses segmentos têm diferentes perfis de ameaças. As organizações de Varejo e Atacado, por exemplo, receberam quase 28% sobre o canal web, enquanto organizações de Hotelaria receberam apenas 2% sobre o mesmo canal. As corporações precisam de visibilidade sobre os tipos de tráfego que atravessam as suas redes para que elas possam identificar e prevenir ameaças rapidamente.
• O malware foi entregue em mais de 50 aplicativos distintos, destes, 87% foram entregues por email e 11,8% por meio da navegação na web (HTTP). Enquanto estes dois canais são responsáveis ​​pela maioria dos ataques maliciosos, é importante que as organizações sejam capazes de identificar malware em qualquer aplicativo autorizado na sua rede.
• Mais de 90% de amostras únicas desse malware foram entregues em somente um ou dois ataques. A maioria destes arquivos é parte de famílias de malware abrangentes. Nesse sentido, os profissionais precisam considerar a segurança que possa identificar e parar o malware em várias fases da cadeia de ataque.
  A família de malware, conhecida como Kuluoz ou Asprox, foi responsável por cerca de 80% de todas as sessões de ataques registradas durante o mês de outubro de 2014, impactando cerca de 2 mil organizações. Este malware tem atormentado os usuários de internet há anos.

As organizações podem receber uma versão customizada da análise apresentada no documento Threat Landscape Review, requisitando o Relatório de Riscos Corporativos. Esta pesquisa pode ajudar as empresas a compreenderem como comparar suas redes com seus pares da Indústria em relação a ataques de malware.

A empresa reforça que sua Plataforma de Segurança Corporativa oferece uma abordagem preventiva única, com três componentes essenciais: firewall de última geração, proteção avançada de borda (terminais) e inteligência de ameaças em nuvem. O Objetivo é garantir ambientes de computação, de prevenção de ameaças conhecidas e desconhecidas, permitindo a segurança de um número cada vez maior de aplicativos.

Mac é vulnerável a vírus e bugs.

Mac OS X da Apple não é mais imune a malware e bugs, diz pesquisa Kaspersky Security Lab.A de 2014 revela que mais ataques de malware direcionados Mac.

Durante anos, o Mac OS X tem sido elogiado como o sistema operacional mais imune a malwares e bugs. Bem, o reinado de Mac pode acabar em 2014, com os usuários "no fim de recepção de mais de 1.499 novos programas maliciosos, que é apenas uma fração dos 3.693.936 malwares direcionados em usuários de Mac, de acordo com um boletim de segurança 2014 por um anti-russo vírus e segurança de internet empresa Kaspersky Labs.

"Ao longo dos últimos anos, nós descobrimos amostras mais e mais mal-intencionados que visam dispositivos Mac. No entanto, ainda há um equívoco comum que o Mac OS X está a salvo de malware e vírus ", disse David Emm, principal pesquisador de segurança da Kaspersky Lab.

Adware no topo da lista dos 20 programas mais maliciosos direcionados no Mac OS usuários. Adware são espalhados através de programas legítimos baixados de lojas de aplicativos em vez de comprar a partir de sites oficiais dos desenvolvedores. Uma vez instalado no computador, o adware pode adicionar extensões de publicidade para browsers, alterar o mecanismo de pesquisa padrão, entre uma série de outras atividades maliciosas diz Kaspersky.

A contagem regressiva 2014 malware não será completa sem WireLurker malwares que assustou milhões de usuários de Mac no início deste ano. O malware que se originou a partir de loja chinesa App, cavalos de Tróia mais de 467 App e infectadas mais de 300.000 usuários da Apple.

" WireLurker malware não só ameaçou OS X em si, mas também usado Macs como veículo para chegar a dispositivos iOS conectados ao Mac infectado ", observa Kaspersky

Outras ameaças de malware notáveis ​​para usuários de Mac, conforme relatado pelo Kaspersky incluem;

OSX.Callme- um programa malicioso distribuído através da palavra MS, que deu fraudadores online remoto volta porta de acesso para um sistema e, ao mesmo tempo propagar-se a todos os contatos listados na máquina comprometida.
OSX.Laoshu - programa malicioso que faz screenshots a cada minuto. O malware é assinado pelo certificado de confiança de, portanto, o desenvolvedor iludindo muitos programas anti-malware no sistema da vítima.
Spyware Trojan com uma função de controle remoto que permitiu que hackers para interceptar cursos chaves
Trojan-Spy.OSX.CoinStealer - a um dos seus programas maliciosos tipo projetado para roubar bitcoins para OS X. Ele imita diversas utilidades bitcoin construídos a partir de código-fonte aberto enquanto ele instala uma extensão do navegador malicioso e / ou uma versão corrigida do bitcoin-qt .
Geograficamente, os usuários de Mac em US sofreu as infecções mais de malware em 2014, liderando o grupo em 39,14%, seguido pela Alemanha 12,56%, Japão 5,51% UK 5,49% Rússia 4,87% e França 3,69% de todas as infecções notificadas.

trojan Mac OS X vírus

Seus termos de vulnerabilidades, ShellShock é provavelmente o bug do ano para usuários de Mac OS X. O bug é a codificação Bash erro, um software originalmente de autoria de Brian Fox na década de 70. Shellshock afetou todos os sistemas operacionais baseados em Unix, incluindo Apple Mac OS X, Linux e GNU. Permitiu um hacker mal intencionado obter o controle total de um sistema comprometido sem a senha ou chave de criptografia.

Em um ambiente tão precário, os usuários do Mac OS X já não pode dar ao luxo de ser complacente em termos de manter-se com as atualizações de segurança e fortalecendo o mecanismo de defesa.

"O mito do Mac OS X é invulnerável não significa verdade, e como os cibercriminosos continuam a evoluir seus métodos de ataque, os usuários também devem evoluir, tomando as medidas necessárias para reforçar a segurança em seus dispositivos Mac", disse Emm .

Kaspersky 2014 boletim listado o Oracle Java como o aplicativo mais vulnerável usado por fraudadores para espalhar malwares para os usuários. A Oracle Java representaram 45% dos malwares enviados para os usuários, uma queda significativa de 90% no ano passado. Outros vectores incluem Browsers, Adobe Reader , adobe flash player e Microsoft office.

Kaspersky também é alertado os usuários contra uma ameaça crescente de usuários móveis. Só em 2014, a empresa de antivírus bloqueou pelo menos 1.363.549 ataques únicos no usuário móvel em comparação com 335 mil ataques registrados no ano passado. Esta tendência deverá manter-se em 2015 com mais Trojan bancário móvel esperada para o próximo ano.

"Em 2014, o malware móvel focada em questões financeiras: o número de Trojans bancários móveis foi nove vezes maior do que no ano anterior e desenvolvimento nesta área continua a um ritmo alarmante", disse Roman Unuchek, analista de malware móvel sênior da Kaspersky Lab.

( Assuntos de Segurança  - Mac OS X, malware)

Escrito por: Ali Qamar, Fundador / Editor Chefe em SecurityGladiators.com

Falsificação de endereços na web

Os especialistas da IBM descobriram vários problemas na execução da autenticação de login social de vários provedores de identidade.

Os pesquisadores da segurança X Força da IBM descobriram uma maneira de obter acesso às contas da Web através da exploração de configuração incorreta em alguns serviços de login sociais.

O login social , também conhecido como social, single sign-in, é uma forma de  single sign-on  usando credenciais existentes a partir de um serviço de rede social como o Facebook, Twitter ou Google+ para acessar um terceiro serviço web festa. O login Sociais melhorar a experiência do usuário, simplificando logins para o processo de autenticação.

O login social é muitas vezes realizado com o  OAuth  padrão, sites que implementam a função de fornecer clássico "Faça login no Facebook / LinkedIn / etc.", que permitem que seus usuários façam login usando, por exemplo, as suas credenciais do Facebook LinkedIn.

Os especialistas da Força X da IBM descobriram que é possível ganhar o controle de contas em vários sites, incluindo Nasdaq.com, Slashdot.org, Crowdfunder.com e outros por abusar login mecanismo social LinkedIn.

Como explicado por Or Peles e Roee Hay da IBM Security Systems, explicou que o ataque que eles batizaram SpoofedMe funciona em muitos outros serviços de identidade.

"Em suma, para realizar o ataque, um cibercriminoso registra uma conta falsificado dentro de um provedor de identidade vulnerável usando o endereço de e-mail da vítima. Em seguida, sem ter de confirmar na verdade propriedade do endereço de e-mail, o atacante irá registrar -se para o site utilizando o login sociais contando com esta conta falsa. O site contando irá verificar os detalhes do usuário afirmadas do provedor de identidade e registrar o atacante para a conta da vítima com base no valor do endereço de e-mail da vítima. "estado do post de da IBM Força X

O post inclui uma PoC vídeo relacionado a um ataque que abusos LinkedIn para falsificar uma conta no provedor de identidade vulnerável. O atacante cria uma conta com o LinkedIn, usando o endereço de e-mail da vítima. LinkedIn irá enviar um e-mail de verificação para a conta da vítima para garantir o que ele tem o controle do endereço de e-mail fornecido na criação da conta.

Uma vez que o atacante criou a conta LinkedIn ele vai usá-lo para fazer o login no Slashdot através do recurso de login sociais, selecionando LinkedIn como o provedor de identidade. O problema é que os provedores de identidade não passar as credenciais do usuário para o site de terceiros, transferindo apenas informações como um endereço de e-mail.

LinkedIn, Amazon e Vasco, todos os provedores de identidade, têm todos fixos ou tomado medidas para evitar tais aquisições de contas, após a notificação da IBM, disseram os pesquisadores. Mas o problema é que ambos os provedores de identidade e sites de terceiros que utilizam esses serviços devem estar conscientes.

O ataque que os abusos LinkedIn é demonstrado em um vídeo incluído em um  post de blog . O atacante cria uma conta com o LinkedIn, usando o endereço de e-mail da vítima.

LinkedIn irá enviar um e-mail de confirmação para a vítima para garantir que a pessoa tem o controle sobre o endereço. Mas para fins do atacante, isso não importa.

Depois que a conta LinkedIn é criado, o atacante vai para Slashdot e usa o recurso de login sociais, selecionando LinkedIn como o provedor de identidade. Provedores de identidade não passam junto com as credenciais de uma pessoa para o site de terceiros, mas não transferir informações, como endereço de e-mail.

O site Slashdot.org então verifica o endereço de e-mail da vítima que foi passado a ele pelo LinkedIn para a conta existente, permitindo que o invasor controlar a conta. A conta poderia, então, ser usado para postar links maliciosos, com pessoas que acreditam um contato confiável publicou o conteúdo.

Esteja ciente, o ataque só funciona se a vítima ainda não tiver uma conta com um provedor de identidade. As falhas no processo de login social são:

Slashdot.org não deve confiar no endereço de e-mail a menos que o provedor de identidade sabe que foi verificada.
O provedor de identidade não deve passar os dados do usuário até o endereço de e-mail foi confirmado.
Entrada social falha 2

Os especialistas explicaram LinkedIn resultou vulnerável porque usou uma versão obsoleta do protocolo OAuth para login social. LinkedIn também pode usar o OAuth 2.0, que não é afectada por uma falha no processo de autenticação.

O problema é que a maioria dos sites analisados ​​pelos peritos usa a versão vulnerável do LinkedIn como um provedor de identidade.

Os pesquisadores descobriram uma questão de segurança semelhante na Amazônia implementação de login social. LinkedIn, Amazon e Vasco já resolveram o problema após a notificação da IBM.

Pierluigi Paganini

Payload hide on video.

Security experts have detected an attack against a major firm that used a data exfiltration technique based on the video steganography.

Threats actors in the wild are exfiltrating data with a technique based on video uploaded to cloud services. Attackers adopted this trick to move data from a compromised target outside without detection by conventional solutions, such as intrusion detection/prevention systems. To further improve the tactic, bad actors utilize steganography to hide encrypted data into video uploaded to an unmonitored video sharing service.

Why only videos and not images?

Security experts know that there are several tools available that can detect the use of steganography in images, these software are able in fact to detect signatures of common steganography tools and techniques. The situation is quite different for video and threat actors  using the exfiltration technique that we have described know it.

The attackers can use one several off the shelf tools or open source software (i.e. OpenPuff) to implement steganography of exfiltrated data. As revealed by TripWire in a blog post, one of the Fortune 500 companies was recently hit by hackers that used the above technique to exflitrate data.

data exfiltration videos

The data exfiltration went undetected until the company noticed several duplicate video files had been uploaded from their network to a video sharing website.

There are a number of tools available that can detect the presence of steganography in images on a network, such as software to appliances designed specifically for detecting signatures of common steganography tools and techniques. The problem is they are generally designed to detect the use of steganography in images, not video. The groups using this as an exfiltration technique are well aware of this, hence why they are using video instead of images which would be an easier transport mechanism.

As mitigation strategy it is suggested to network administrators to monitor the installation of application or custom binaries used by attackers to encode data into a video or an image. Administrators should already be monitoring assets for new binaries on hosts. The administrators anyway need to monitor outcoming connections to external services that could

Another mitigation strategy to detect software that could be used in the data exfiltration technique described is to scan of host systems for video files especially for the assets that are critical in the network.

Also, by monitoring connections of a host system to external services administrators is possible to detect suspicious activity.

As explained by TripWire, in the case of the Fortune 500 company that was targeted with this data exfiltration technique, the attackers used the same videos to send different pieces out of the targeted network.

Pierluigi Paganini

(Security Affairs –  Data exfiltration, cybercrime)

Racker arrependido que emprego legal.

Londres - Ryan Ackroyd mexia, nervoso, no microfone preso em sua camisa enquanto cerca de 200 colegas estudantes lotavam um auditório da Universidade Sheffield Hallam.

“Essa é a primeira palestra que eu faço”, disse ele, após ser apresentado como ex-hacker e, atualmente, estudante. “Eu fiz algumas coisas muito, muito ruins”.

Ackroyd, 27, e outros três membros do grupo de hackers LulzSec foram presos em 2013. Os membros do grupo, que nunca se reuniram pessoalmente,derrubaram os sites da Sony, da News Corp., da CIA e da polícia do Arizona.

Eles tiveram como alvo também a Força Aérea dos EUA e o Serviço Nacional de Saúde da Grã-Bretanha.

“As empresas sofreram sérios danos financeiros e à sua reputação”, disse Andrew Hadik, um promotor britânico, depois que os quatro foram condenados, em maio de 2013.

Ackroyd, que havia se declarado culpado pelas acusações, foi condenado a 30 meses de prisão e cumpriu nove meses.

Liberado no início de fevereiro, ele está estudando para um mestrado em segurança de sistemas de informação na Sheffield Hallam, ao norte e a cerca de três horas de trem de Londres.

No discurso para os estudantes, em 25 de novembro, ele disse que se arrependia do que fez e que esperava dar um uso melhor às suas habilidades.

Os mesmos talentos que colocaram Ackroyd na prisão um dia poderiam garantir a ele um salário anual de seis dígitos?

As empresas “reconhecem que há uma tempestade perfeita de segurança cibernética ocorrendo e que não há profissionais suficientes para atender as suas necessidades”, disse Del Heppenstall, diretor da KPMG LLP, que trabalha em segurança da informação.

“Isso deixou uma lacuna no mercado”.

Autodidata

Ackroyd, que largou a escola aos 16, aprendeu sozinho a ler códigos de computadores.

Ele começou a hackear aos 11 ou 12 anos, primeiro porque queria trapacear em jogos de computador, alterando o código para conseguir vidas infinitas ou invencibilidade. Isso mostrou ser viciante.

“Entrar em um servidor era algo que eu via apenas como um desafio”, disse ele, na palestra na Sheffield, que ele chamou LulzSec, 50 Days of Lulz. “Se eu não conseguia entrar, isso apenas me fazia querer ainda mais”.

A LulzSec era uma ramificação do grupo Anonymous, formado pelos ativistas on-line que atacaram os sites da PayPal e da MasterCard quando essas empresas interromperam os pagamentos para o WikiLeaks depois que a organização publicou informação militar dos EUA.

O nome deriva da frase “rindo da segurança”, disse Ackroyd, porque eles descobriram que a segurança on-line era tão ruim que merecia seu desprezo.

Um punhado de membros da LulzSec acessou milhões de nomes de usuários e endereços de e-mail do servidor da Sony e interceptou as comunicações do FBI a partir do sistema de computador de um prestador de serviço privado, disse Ackroyd.

Custos crescentes

O dano causado pelos hackers ajuda a explicar por que há tanto demanda por especialistas em segurança cibernética.

Em média, os principais incidentes custam às empresas 1 milhão de libras (US$ 1,57 milhão), o dobro de um ano atrás, disse Giles Smith, funcionário do Departamento de Negócios, Inovação e Habilidades do Reino Unido, em uma conferência em Londres, na semana passada.

Ackroyd recebeu formação em tecnologia da informação enquanto esteve na prisão e espera fazer carreira no ramo de ética hacker, embora reconheça que pode ser difícil para os empregadores confiar nele.

Stephanie Crates, consultora na agência de recrutamento Harvey Nash, em Londres, disse que os profissionais que testam a penetração em sistemas sênior -- os chamados hackers “chapéu branco”, que testam sistemas de segurança tentando invadi-los -- podem ganhar até 90.000 libras ao ano, ou 900 libras por dia como prestadores de serviço.

“É altamente provável que as empresas já estejam contratando hackers e ex-hackers, sabendo ou não dessas suas habilidades, caso eles nunca tenham sido pegos”, disse Crates.

A KPMG publicou uma pesquisa no início deste mês intitulada: “Hire a Hacker to Solve Cyber Skills Crisis, Say U.K. Companies” (“Contrate um hacker para resolver a crise de habilidades cibernéticas, dizem empresas do Reino Unido”, em tradução livre).

Mais da metade das empresas que participaram da pesquisa da KPMG disse que estudaria empregar um especialista em TI com ficha criminal.

“Agora que estou fora da prisão, me sinto um pouco mais otimista”, disse ele. “Eu queria estudar, espero que isso me leve a algum lugar bom”

New kind of mdm

Security experts at Zimperium discovered a new MITM attack technique dubbed DoubleDirect that is targeting iOS, Android and Mac users worldwide.

DoubleDirect is the name of a new Man-in-the-Middle (MitM) attack discovered by security researchers that is targeting mobile devices running either iOS or Android and potentially Mac OS X systems.

The DoubleDirect MitM attack allows attackers to hijack the victim’s traffic of major websites such as Facebook, Google and Twitter to a device controlled by the attacker.

As explained by security experts at mobile security firm Zimperium, once the attackers has redirected the victim’s traffic, it could be able to steal victims’ sensitive data, including personal data and login credentials, or serve malicious code on the targeted device.

In the blog post recently published by Zimperium the experts revealed that threat actors worldwide are already exploiting the DoubleDirect technique across 31 countries. Bad actors redirected users of several IT companies, including Facebook, Google, Hotmail, Live.com and Twitter.

doubledirect MITM attack

The DoubleDirect technique exploits the ICMP (Internet Control Message Protocol) redirect packets in order to change the routing tables of a host used by routers to provide information on the best path to the destination.

“With the detection of DoubleDirect in the wild we understood that the attackers are using previously unknown implementation to achieve full-duplex MITMs using ICMP Redirect” states the post.

As explained by experts Windows and Linux users are immune to the DoubleDirect attack because most of GNU/Linux and Windows desktop operating system do not accept ICMP redirect packets that is exploited by attackers to carry the malicious traffic.
“An attacker can also use ICMP Redirect packets to alter the routing tables on the victim host, causing the traffic to flow via an arbitrary network path for a particular IP,” Zimperium warned. “As a result, the attacker can launch a MitM attack, redirecting the victim’s traffic to his device.“

“Once redirected, the attacker can compromise the mobile device by chaining the attack with an additional Client Side vulnerability (e.g.: browser vulnerability), and in turn, provide an attack with access to the corporate network.“

Zimperium has provided a Proof-of-Concept (PoC) for the DoubleDirect Attack, the code allows full-duplex ICMP redirect attack by predicting the IP addresses the victim tries to connect to. The IP addresses are predicted by sniffing the DNS traffic of the target, once discovered that attackers send an ICMP redirect packet to all IP addresses.
“We have investigated the attacks and also created a POC tool to prove that it is possible to perform full-duplex ICMP Redirect attacks. ICMP Redirect attacks are not easy to emulate because the attacker must know beforehand which IP address the victim has accessed”
The experts at Zimperium also explained how to manually disable ICMP Redirect on their Macs to remediate the issue.
“Zimperium is releasing this information at this time to increase awareness as some operating system vendors have yet to implement protection at this point from ICMP Redirect attacks as there are attacks in-the-wild,” the post reads.

Balões para levar internet a áreas remotas.

Google revelou alguns detalhes do projeto Loon, que usará balões para levar internet para áreas remotas. Entre os dados, a empresa indica que os balões estão muito mais resistentes, capazes de permanecer 100 dias no ar, 10 vezes mais do que no ano passado.

A empresa também fez grandes progressos nas técnicas para inflar balões, conseguindo preenchê-los com gás em apenas 5 minutos. Desta forma, a empresa é capaz de lançar até 20 balões por dia, muito mais do que era possível antigamente.

Outro dado interessante é que os balões que já foram lançados pelo Google, que podem flutuar pela estratosfera e subir e descer para se adequar às correntes de ar, já navegaram por cerca de 3 milhões de quilômetros, o que seria suficiente para quatro viagens de ida e volta até a lua.

Esta técnica de navegação foi apurada nos últimos tempos. De acordo com a empresa, as simulações constantes de tragetórias fazem com que os balões cheguem aos seus destinos com muito mais precisão do que inicialmente. Em um dos casos, foi possível viajar cerca de 9 mil quilômetros e ficar apenas a 1,5 km do destino, apenas calculando as correntes de vento´s estratosféricos.

A expectativa da empresa é fechar parcerias com as empresas de telecomunicações para distribuir o sinal, o que significa que provavelmente não será o Google que distribuirá o sinal, mas companhias como TIM, Claro, Oi e Vivo. Elas terão acesso aos balões para transmissão da estratosfera, com custos que devem ser menores do que a implantação de toda a infraestrutura necessária.

Primeiro submarino construido no Brasil passa por manutenção.

Folha Militar Online » Marinha » Primeiro submarino construído no Brasil, Tamoio, realiza “load-in” para início do período de manutenção no Rio
Primeiro submarino construído no Brasil, Tamoio, realiza “load-in” para início do período de manutenção no Rio
Brasília, 21/11/2014 – Após 20 anos de bons serviços prestados à Marinha do Brasil, na vigilância e proteção da chamada “Amazônia Azul”, área oceânica de 4,5 milhões de km² que concentra riquezas naturais, o submarino Tamoio (S-31) iniciou novo Período de manutenção

A iniciativa, que ocorre a cada seis anos, tem como finalidade restabelecer as condições de operação de seus equipamentos e sistemas.

De acordo com o diretor do Arsenal de Marinha do Rio de Janeiro (AMRJ), contra-almirante Mário Ferreira Botelho, a manutenção obedece a rigorosos critérios de qualidade, o que é essencial para garantir e resgatar a capacidade operacional do submarino.

“Durante esse período são reparados diversos sistemas mecânicos, elétricos e eletrônicos, bem como realizadas inspeções estruturais, incluindo possíveis reparos do casco resistente”, explicou o almirante.

No início do processo, o submarino Tamoio foi retirado da água e levado para um galpão do AMRJ. Nesse procedimento, conhecido como load-in, o submarino “pousa” em cima de uma balsa alagada, dentro de um dique. Após a retirada da água, a balsa é suspensa, permitindo que o submarino seja movimentado e alinhado ao galpão, junto com a balsa.

Primeiro submarino construido 2Após essa etapa, a embarcação foi transportada para o interior da própria balsa por duas carretas, com importantes cálculos de engenharia, em trabalho que durou mais de quatro horas.

O Brasil é o único país do Hemisfério Sul que possui know-how para realizar load-in de submarino. Para efetuar toda a operação, profissionais da Marinha passaram por 20 dias de intenso planejamento e preparação.

Força de Submarinos

Durante o período de manutenção do Tamoio S31, permanecem em operação no patrulhamento e vigilância da costa nacional os submarinos Tupi S30, Timbira S32, Tapajo S33 e Tikuna S34.

Além dele, a Marinha irá incorporar cinco novos submarinos, atualmente em processo de desenvolvimento, como resultado de parceria entre o Brasil e a França. O acordo possibilitará a transferência de tecnologia dos modelos scorpénes.

Quatro desses submarinos são à diesel-elétricos e no Brasil receberão a nomenclatura S-BR. O quinto submarino, com propulsão nuclear, será fabricado no Estaleiro e Base Naval em Itaguaí (RJ), com tecnologia totalmente nacional.

Os cinco submarinos vão incorporar a Força de Submarinos, que completou 100 anos em 2014.

Submarino Tamoio e a história do Brasil

Durante todo seu atual ciclo de operação, iniciado em 2005, o submarino Tamoio participou de diversas operações em toda a extensão nacional, tendo atuado na vigilância de áreas estratégicas, como as bacias petrolíferas do pré-sal.

Incorporado em 1995 à Marinha do Brasil, o Tamoio foi batizado e lançado ao mar em 1993 e, ao longo desse período, já passou por vários testes operacionais. O submarino, da Classe Tupi, tem tecnologia brasileira e projeto alemão.

Primeiro submarino construido 3“A construção dos submarinos, Classe IKL-209 – número de série atribuído pelo fabricante ao projeto deste submarino –, no país representou a concretização de uma importante aspiração da Marinha. O desenvolvimento tecnológico mundial, assim como o relacionamento entre os países, transformaram o submarino em uma arma de fundamental relevância ao exercício do domínio no mar”, acrescentou o almirante Mário Ferreira.

Os submarinos são embarcações especializadas para operarem submersos e, por esta peculiaridade, são utilizados militarmente, também, por serem difíceis de localizar e destruir. Atualmente a Marinha possui cinco submarinos, sendo quatro da classe Tupi, com projetos de 1989, e um da classe Tikuna, com projeto de 2005. Todos possuem 1,4 mil toneladas.