Lider de Cibersegurança do Departamento de estado americado quer melhoria da vigilância ao Cibercrime.

Roteador sem fio ASUS RT é vulnerável a ataque do homem do meio.

O especialista em segurança David Longenecker descobriu que o processo de atualização para ASUS ,Roteadores sem fio RT Series é vulnerável a ataques man-in-the-middle.

O especialista em segurança David Longenecker descobriu que ASUS, Roteadores sem fio RT Series são vulneráveis ​​a ataques man-in-the-middle. O pesquisador explicou que os roteadores baixar atualizações via HTTP sem uma protocolos de criptografia, como explicado no  post por Longenecker. Um invasor pode explorar a questão da segurança para comprometer o dispositivo, porque as atualizações não são fornecidos através de um canal seguro (ou seja, através de HTTPS usando o protocolo Transport Layer Security (TLS)).

"Hoje estou divulgando uma vulnerabilidade adicional, enviado como  CVE-2014-2718 . A série ASUS RT-de roteadores dependem de um processo facilmente manipulado para determinar se é necessária uma atualização, e para recuperar o arquivo de atualização necessária. Em suma, os downloads roteador através de texto simples de um arquivo de http://dlcdnet.asus.com, analisa-lo para determinar a versão mais recente do firmware, depois de downloads (mais uma vez em claro) um arquivo binário que correspondem ao número da versão do mesmo web site. ", explicou Longenecker no post .

"A série ASUS RT-de roteadores dependem de um processo facilmente manipulado para determinar se é necessária uma atualização, e para recuperar o arquivo de atualização necessária", "Uma vez que os downloads do roteador via HTTP em vez de HTTPS, não há nenhuma maneira para validar que o servidor na outra extremidade é, de facto, o servidor ASUS e não um impostor ".

Segundo o especialista, o processo de atualização para o ASUS Roteadores sem fio RT Series é inseguro. O dispositivo de rede primeiro download de uma lista de arquivos de texto simples que contém o firmware mais recente constrói, em seguida, ele analisa o arquivo baixado em busca de uma atualização de firmware disponível mais recente. Uma vez que uma nova atualização de firmware disponível, o roteador faz o download do pacote de firmware.

"Conhecendo a última revisão real para um ou mais modelos de roteador alvo, podemos incrementar a versão estendida (EXT ####) e colocar o arquivo em um caminho de correspondência (pub / ASUS / LiveUpdate / Divulgação / Wireless / wlan_update_v2.zip) em um servidor que nós controlamos. "Escreveu Longenecker. 

O processo é claramente exposta a ataques externos como o Man-in-the-Middle , isso significa que um atacante pode manipular tanto a lista e software e comprometer o roteador para acesso / manipular o tráfego que passa por ele.

A ASUS Roteadores sem fio RT Series afetados pelo problema são: RT-AC68U, RT-AC68U, RT-AC66R, RT-AC66U, RT-AC56R, RT-AC56U, RT-N66R, RT-N66U, RT-N56R e RT- N56U.

Especialistas especulam que também outra ASUS Roteadores sem fio RT Series são afetados pelo mesmo problema: RT-N53, RT-N14U, RT-N16 e RT-N16R.

ASUS rapidamente emitiu uma correção em situação irregular para resolver o problema, é necessário que os usuários fazer o download diretamente do site oficial ASUS (asus.com), evitando usar o construída em recurso de atualização implementado na GUI roteador.

ASUS Roteadores sem fio controle gui

Pierluigi Paganini

Secur dade  Negócios  -  (Wireless ASUS RT Series Routers ,  hackear )

Sony Xperia vem de fábrica com software espião.

Especialistas em segurança descobriram que o Sony Xperia Smartphones envia secretamente dados de usuários para servidores na China devido à presença do spyware Baidu.

Sony Xperia Devices enviar dados do usuário secretamente para servidores na China, esta é a última notícia que está chocando o setor de telefonia móvel, e que foi publicado em vários fóruns . O problema diz respeito a dispositivos Sony executam o Android 4.4.2 versão 4.4.4 ou KitKat, parece que o comportamento anômalo é  observável mesmo se os usuários não tiver instalado qualquer aplicativo no smartphone.

A notícia é desconcertante e parece que algum novo Sony Xperia smarphone conter o spyware Baidu. Algumas semanas atrás, um grupo de usuários que pertencem a uma comunidade online de proprietários Sony Xperia smarphone, descobriu a presença de uma pasta com o nome " Baidu "em seus dispositivos, que foi criado sem a permissão do proprietário.

Devido à presença da pasta é muito fácil para os usuários a verificar no Baidu spyware infectou seu dispositivo.

Outro aspecto preocupante é que os usuários não estão autorizados a excluí-lo do seu Sony Xperia smarphone, uma vez que eles tentam removê-lo, ela reaparece instantaneamente. Os usuários não são capazes de eliminar a pasta Baidu, mesmo se o usuário tentar o mesmo procedimento de iniciar o telefone em modo de segurança.

"Só descompactado minha compacta Sony Z3, não instalou um único aplicativo e sua conexão com a China. Eu não estou tão preocupado com a pasta em si, mas o meu telefone agora tem uma conexão constante com um endereço IP, em Pequim, que eu não estou muito feliz. ", é o comentário de um usuário do Sony Xperia smarphone publicado em uma Reddit discussão sobre o tema .

De acordo com os relatórios que circulam on-line o novo Sony Xperia Z3 e Z3 Compact são afetados pelo problema, mas muitos outros usuários detectada a pasta em seus dispositivos, não só Sony Smartphone. Os proprietários de um HTC One M7, um HTC One X e alguns usuários que utilizam o OnePlus Um descobriram a presença do malware Baidu.

Conforme relatado pelos colegas TheHackerNews , a pasta Baidu misteriosa parece estar criado por "do Sony Xperia meu "  serviço cada vez que o aparelho estabelece uma conexão e é relatado para ser o envio de pings para a China.

China espião malwares Baidu dados Sony Xperia Smartphone

Muitos usuários relataram que descobriu que o governo chinês é capaz de controlar o spyware para ter acesso ao dispositivo do usuário exatamente da mesma forma que qualquer RAT faz, em particular, um  usuário com o apelido Elbird postou em diferentes fóruns da Sony para que o malware Baidu permite o Governo chinês a realizar as seguintes ações

Leia o status ea identidade do seu dispositivo
Faça fotos e vídeos sem o seu conhecimento
Obter a localização exata
Leia o conteúdo da memória USB
Ler ou editar contas
Altere as configurações de segurança
Gerenciar completamente o seu acesso à rede
Casal com Bluetooth dispositivos
Saiba o que os aplicativos que você está usando
Impedir que o dispositivo de entrar em modo de suspensão
Altere as configurações de áudio
Alterar as configurações do sistema
O caso Sony Xperia chega alguns dias após a notícia de que fabricante de smartphones chinesa Xiaomi se envolveu em um problema semelhante, os especialistas sustentam que a empresa está espionando dados pessoais do usuário. Há alguns meses atrás, especialistas em evidências coletadas F-Secure que Xiaomi Smartphones foram o envio de dados de usuário de volta para os servidores com base na China.

Sony ainda não comentou oficialmente o caso, apesar de ter admitido a questão de anunciar o lançamento de uma correção.

A seguir as instruções para remover o Baidu Spyware a partir do dispositivo.

Backup seus  dados e reset de fábrica do dispositivo.
Vá para Configurações -> Aplicativos -> Executar e Força parar ambos " MyXperia apps ".
Retire o B Aidu pasta usando KommanderFile app.
Vá para Configurações -> Sobre o Telefone -> Clique sete vezes sobre o número de compilação para ativar o modo de desenvolvedor.
Baixar ou instalar o SDK do Android no seu computador e, em seguida, conecte o dispositivo Sony a ele usando o cabo USB .
Execute o adb terminal de ferramenta : adb shell
Em adb shell, digite o comando: pm bloco com . sonymobile . mx . android
Sair adb shell
Reinicie o dispositivo.
Pierluigi Paganini

Rede ultra rápida quebra record de velocidade e pode levar a velocidade da Internet a patamares nunca sonhados.

Batido recorde mundial de velocidade em fibras ópticas
Redação do Site Inovação Tecnológica - 29/10/2014

Batido recorde mundial de velocidade em redes de fibras ópticas
Os múltiplos canais de dados são multiplexados de forma a usar não apenas os sete núcleos da fibra óptica, mas também dois canais perpendiculares.

Fibra multinúcleos

Uma equipe de engenheiros da Holanda e dos EUA bateu o recorde mundial de velocidade de transmissão de dados em redes de fibras ópticas.

Usando um tipo especial de fibra com múltiplos núcleos, a equipe alcançou 255 terabits por segundo, multiplicando por mais de 20 vezes a largura de banda disponível nas redes de comunicação.

O recorde anterior, anunciado por empresas de telecomunicações no início deste ano, era de menos de 12 terabits por segundo.

A diferença é que esta nova demonstração empregou uma fibra óptica com sete núcleos, em lugar do núcleo único das fibras atuais - núcleos são as vias de cristal por onde a luz trafega na fibra, como as faixas de uma rodovia.

Além dos núcleos adicionais, a equipe introduziu duas dimensões ortogonais para o transporte de dados - o que, para manter a analogia com as rodovias, poderia ser comparado a carros que podem viajar atravessados uns em cima dos outros.

"Estes resultados impressionantes definitivamente abrem a possibilidade de atingir transmissões na faixa dos petabits por segundo," disse o professor Chigo Okonkwo, da Universidade de Tecnologia de Eindhoven.

Segundo Okonkwo, como medem menos de 200 micrômetros de diâmetro, estas novas fibras não ocupariam muito mais espaço do que as fibras convencionais já em operação.

As fibras ópticas ficaram muito tempo isoladas na dianteira em termos de velocidade de transmissão, mas recentemente novas técnicas de modulação de ondas permitiram que as transmissões por rádio começassem a aparecer nos retrovisores.

Novo PHISHING , email sobre EBOLA tem conteúdo malicioso.

Hackers enviam e-mails sobre ebola para disseminar praga digital

Mensagens utilizam falha de segurança no Windows.
Código dá controle do computador aos invasores.

Altieres RohrEspecial para o G1

O US-CERT, equipe de alertas de segurança do governo norte-americano, e a empresa de segurança Websense alertaram para e-mails maliciosos se aproveitando do tema do vírus ebola para disseminar pragas digitais. As mensagens tentam se passar por informativos da Organização Mundial de Saúde (OMS) e trazem um link ou anexo que, se aberto, pode contaminar o computador da vítima.

Os e-mails estão circulando desde a metade de outubro, de acordo com o US-CERT. Na última quinta-feira (23), a Websense reforçou o alerta, acrescentando que as mensagens passaram a se aproveitar da brecha no Windows que foi usada por hackers russos na operação "Sandworm" contra o governo ucraniano. A falha, que já foi corrigida, permite a criação de arquivos maliciosos do PowerPoint.

De acordo com a Webense, os hackers ainda não estão fazendo uso da técnica que burla a atualização da Microsoft. Isso significa que quem aplicou a correção, disponibilizada no dia 14 de outubro, não está vulnerável a esses ataques. No entanto, recomenda-se que todos tenham cuidado ao interagir com essas mensagens.

E-mail traz anexo que supostamente teria informações sobre como se prevenir do ebol (Foto: Reprodução/Websense)

Os e-mails fraudulentos tentam contaminar o computador da vítima com uma praga digital chamada de Dark Komet. O código é um tipo de ferramenta de administração remota (RAT, na sigla em inglês) que dá aos hackers acesso total ao sistema infectado e permite roubo de informações.

Janelas de avião podem virar grande cinema no futuro

Janelas de aviões podem ganhar novas funções no futuro

Janelas do futuro: segundo companhia, remover janelas da aeronave irá reduzir peso

Do AdNews

São Paulo - A empresa britânica Centre for Process Innovation (CPI) pretende dar uma nova função às janelas de aviões.

Na verdade, a companhia pretende substituí-las por telas OLEDs com diferentes funções.

O exterior do avião ainda seria visto, mas por meio de câmeras acopladas do lado de fora da aeronave.

As "janelas" possibilitariam ao passageiro solicitar, por exemplo, o serviço de bordo por meio de toques, além de poder observar objetos e localidades do lado de fora com informações que indicam do que se trata (uma estação espacial, por exemplo, ganha um círculo em volta e uma espécie de resumo da Wikipedia que a descreve).

Ainda segundo a CPI, remover as janelas da aeronave irá reduzir o seu peso e, portanto, também diminuirá o custo para o passageiro e para a companhia aérea.

Ao The Guardian, o Dr. Jon Helliwell, um dos responsáveis pelo projeto, diz que muitos na indústria da aviação ressaltam que os aviões no futuro precisam perder peso.

Segundo o doutor, os aviões com as super janelas podem virar realidade em dez anos.

Phishing instala Banking Malware

Alert (TA14-300A)

Phishing Campanha vinculado com "Dyre" Banking Malware

Microsoft Windows

Visão global

Desde meados de outubro de 2014, uma campanha de phishing tem como alvo uma ampla variedade de destinatários ao empregar o malware bancário Dyre / Dyreza. Elementos desta campanha phishing variam de alvo em alvo, incluindo os remetentes, anexos, exploits, temas e carga útil (s). [1] [2] Embora esta campanha utiliza várias táticas, a intenção do ator é para atrair os destinatários a abrir anexos e download malware.

Descrição

O malware bancário Dyre visa especificamente as credenciais da conta do usuário sensíveis. O malware tem a capacidade de capturar informações de login do usuário e envia os dados capturados de atores maliciosos. [3] (link externo)e-mails de phishing utilizados nesta campanha, muitas vezes contêm um anexo de PDF como arma que tenta explorar vulnerabilidades encontradas em versões sem patch da Adobe Reader. [4] (link externo)[5] (link externo)Após a exploração bem-sucedida, o sistema de um usuário irá baixar Dyre de malware bancário. Todos os principais fornecedores de antivírus detectaram com sucesso este malware antes do lançamento do alerta.[6](link externo)

Por favor, note que a lista abaixo dos indicadores não representa todas as características e indicadores para esta campanha.

Phishing E-mail Características:

• Assunto: "Invoic não remunerado" ( erros ortográficos na linha de assunto são uma característica desta campanha )
• Anexo: Invoice621785.pdf

Sistema de Indicadores de nível (sobre exploração bem sucedida):

• Se copia em C: \ Windows \ [randomname] .exe
• Criou um serviço chamado "Google Update Service", definindo as seguintes chaves do Registro:
  • HKLM \ SYSTEM \ CurrentControlSet \ Services \ GoogleUpdate \ ImagePath: "C: \ WINDOWS \ pfdOSwYjERDHrdV.exe"
  • HKLM \ SYSTEM \ CurrentControlSet \ Services \ GoogleUpdate \ DisplayName: "Serviço de Atualização do Google"

Impacto

Um sistema infectado com malwares Dyre bancário tentará colher credenciais para serviços on-line, incluindo serviços bancários.

Solução

Os usuários e administradores são recomendados a tomar as seguintes medidas preventivas para proteger suas redes de computadores de phishing campanhas:

• Não siga links não solicitados em e-mail. Consulte a Dica de segurança Evitando engenharia social e ataques de phishing [7] para mais informações sobre ataques de engenharia social.
• Tenha cuidado ao abrir anexos de e-mail. Para informações sobre como manusear com segurança os anexos de e-mail, veja reconhecer e evitar e-mail scams . [8]
• Siga as práticas de segurança ao navegar na web. Veja bons hábitos de segurança [9] e salvaguarda dos seus dados [10] para obter detalhes adicionais.
• Manter-se-to-date software anti-vírus.
• Mantenha seu sistema operacional e software up-to-date com as últimas correções.

US-CERT recolhe mensagens de e-mail de phishing e locais site para que possamos ajudar as pessoas a evitar tornar-se vítimas de golpes de phishing.

Você pode denunciar phishing nos enviando e-mail para phishing-report@us-cert.gov (link envia e-mail).

Referências

• [1] MITRE Resumo da CVE-2013-2729, acessado 16 de outubro de 2014
• [2] MITRE Resumo da CVE-2010-0188, acessado 16 de outubro de 2014
• [3] Nova Banking Malware Dyreza, acessado 16 de outubro de 2014(link externo)
• [4] Adobe Atualizações de Segurança Dirigindo CVE-2013-2729, acessado 16 de outubro de 2014(link externo)
• [5] Adobe Atualizações de Segurança Dirigindo CVE-2010-0188, acessado 16 de outubro de 2014(link externo)
• [6] Análise VirusTotal, acessado 16 de outubro de 2014(link externo)
• [7] US-CERT Dica de segurança (ST04-014) Evitar engenharia social e ataques de phishing
• [8] US-CERT reconhecer e evitar e-mail scams
• [9] US-CERT Dica de Segurança (ST04-003) bons hábitos de segurança
• [10] US-CERT Dica de segurança (ST06-008) Salvaguardar os seus dados

Revisões

• 27 de outubro de 2014: Lançamento inicial

Mais vazamentos do ICloud no Fappening. Novas fotos de celebridades nuas vazam.

A parte 6 do arquivo Fappening está on-line, inclui imagem de Nicola Peltz, Krysten Ritter, Angie Miller, Aubrey Cleland e Tobie Perciva.

Os efeitos do o Fappening , também conhecido como o iCloud Hack, ainda são evidentes no ciberespaço. Implacáveis ​​hackers lançaram no fim de semana um novo arquivo, ele é a parte 6 do caso Fappening geral, que inclui as imagens de outras cinco celebridades de Hollywood.

De acordo com a notícia relatada na Internet, os hackers tentaram convencer o site de hospedagem de imagem Imgrobot publicar as imagens vazaram da saga Fappening, depois que os gestores do site ter removido todas as fotos temendo violação de direitos autorais ações das celebridades de Hollywood.

O arquivo Fappening 6 inclui as imagens de Nicola Peltz, Bradley Martin no A & E Bates Motel série, Tessa Yeager atriz em Transformers: Age of Extinction filme e da atriz e Krysten Ritter msician. O novo arquivo da coleção Fappening também inclui fotos de celebridades que não estão envolvidos em vazamentos anteriores, incluindo American Idol finalista Angie Miller, Aubrey Cleland e Tobie Percival.

O Fappening 6 Tessa_Yeager

Também neste caso, as imagens parecem ter a mesma origem das fotos incluídas nos arquivos liberados sob a Fappening Umbrella, todos eles vêm de iCloud contas que foram invadidos por criminosos.

Sergei Kholodovskii, um russo de 28 anos, é o proprietário do iCloud Hacks vazou imagens site que mesmo assim declarou que não está envolvido no roubo de dados, o seu papel é apenas para atuar como um facilitador para a difusão dos Arquivos Fappening.

"Todas as fotos em nosso site foram tomadas a partir de fontes abertas, a privacidade do indivíduo não foi violada", disse Sergei Kholodovskii. Kholodovskii publicou em seu site um aviso para especificar a sua posição, e explicou que vai sediar mais fotos é que eles estavam disponíveis na Internet.

Resumindo os vários episódios do caso Fappening, deixe-me lembrá-lo que a parte 5 do iCloud Hacks vazamentos  foram publicadas on-line um par de semanas atrás.

O Fappening 5 incluído as imagens de mais 7 celebridades de Hollywood, modelo Allegra Carpenter, Kaime O'Teter, a atriz britânica, Lauren O'Neil, TV estrela, Lindsay Clubine, Senhorita Virgínia EUA, 2013, Shannon McAnally, Wailana GEISEN e Nina Stavris .

Quem será o próximo?

Pierluigi Paganini

Secur dade  Negócios  -  (O Fappening ,  vazamento de dados

Verizon espiona seus usuários.

Verizon Wireless injeta cabeçalhos UIDH a solicitação da Web de cada usuário para rastrear a sua experiência na web, incluindo sites visitados e seus hábitos.

Verizon Wireless, a maior operadora dos EUA Telecom está monitorando o tráfego de internet de seus usuários móveis, adicionando um símbolo para solicitações da Web. O token é usado pela empresa para fins de publicidade, Verizon monitora os hábitos do usuário, mesmo que ele tivesse optado por sua Proprietary Information Network (CPNI) opções ao cliente.

Cliente informações da rede proprietária (CPNI) é a informação recolhida pela operadora de telecomunicações sobre as chamadas de um usuário, incluindo os dados de chamadas e qualquer informação que aparece na conta de telefone do consumidor.

Parece que a prática vem acontecendo há dois anos, quando a empresa lançou o token identificador de cabeçalho original (UIDH) sob seu  Relevante programa Mobile Advertising .

A rede Verizon está adicionando os tokens de cabeçalho X-UIDH aos pedidos que viajam através de sua rede, cada cabeçalho tem um identificador único associado a cada dispositivo móvel.

O UIDH permite Verizon para acompanhar a experiência do cliente web, incluindo sites visitados e aplicativos móveis usados. A solução implementada pela Verizon é chamado o PrecisionID e permite que a empresa aos usuários com perfil e seus interesses para adequar anúncios, de acordo com a documentação interna.

Verizon usa um valor UIDH diferente a cada semana, os dados utilizados pelos anunciantes inclui o endereço dos assinantes postal, tipos de dispositivos e preferências de idioma, gênero, idade, hobby e interesses pessoais.

"Além disso, vamos usar, um anônimo único identificador que criar quando você se cadastra em nossos websites . Isso pode permitir que um anunciante de usar informações que têm sobre suas visitas a sites on-line para entregar mensagens de marketing para dispositivos móveis em nossa rede ", explica Verizon em seu site. "Nós não compartilhamos informações que identificam você pessoalmente fora da Verizon, como parte deste programa. [Algumas dessas informações foi] obtidas de outras empresas. "

Verizon Wireless UIDH

"A Verizon está reescrevendo suas solicitações HTTP para inserir um permacookie? Terrível ", twittou  Jacob Hoffman-Andrews, um tecnólogo equipe sênior com a Electronic Frontier Foundation

As questões alarmantes é que não há nenhuma maneira para que os usuários da Verizon para ficar fora do radar da empresa, mesmo que permitir a navegação modo de privacidade, utilize um novo aparelho ou ativar as configurações de privacidade da Verizon.

"Verizon respondeu que enquanto o UIDH ainda está nas consultas, os consumidores que optaram por sair do programa deixarão de ter a informação associada com o identificador. A empresa não fez, no entanto, se comprometem a parar de atualizar o perfil do usuário. ", Relatou Robert Lemos de ArsTechnica .

A única maneira para os usuários da Verizon para evitar a atividade de monitoramento da empresa é usar a solução de criptografia completa como VPN (ie Tunnelbear ou TOR ).

Pierluigi Paganini

Vulnerabilidade zeroday em dispositivos Samsung.

O CERT-US / NIST está avisando da presença de uma falha de zero-day que afeta o serviço web Samsung FindMyMobile (CVE-2014-8346). A Samsung FindMyMobile implementa vários recursos que permitem aos usuários localizar o aparelho perdido, reproduzir um alerta em um dispositivo remoto ou para bloquear remotamente o celular.

"Os controles remotos apresentam em dispositivos móveis da Samsung não valida a origem dos dados de bloqueio de código recebido através de uma rede, o que torna mais fácil para os atacantes remotos causar uma negação de serviço (tela de bloqueio com um código arbitrário), desencadeando inesperado Find My tráfego de rede móvel. ", afirma o comunicado de segurança questões pelo NIST.

De acordo com o NIST os controles remotos recurso implementado pela Samsung FindMyMobile falha ao validar o remetente de um código de bloqueio dados recebidos através de uma rede, um invasor pode causar uma negação de serviço remotamente (tela de bloqueio com um código arbitrário), desencadeando achado inesperado Meu tráfego de rede móvel.

O NIST avaliaram a gravidade da falha no Samsung FindMyMobile tão alto, mas o do e subscore xploitability é  10,0, que é um índice de probabilidade de exploração.

Abaixo um par de CPO vídeo:

https://www.youtube.com/watch?v=YufuOYQoDOY

 https://www.youtube.com/watch?v=Q3adkpOEjyI

Mais informações estão disponíveis na  entrada da vulnerabilidade CVE padrão  para o  CVE-2014-8346  falha.

Pierluigi Paganini

Baixar arquivos de fontes não confiáveis pode abrir um Backdoor e permitir que atacantes alterem arquivos enquanto o programa é baixado sem que o usuário perceba.

Mais uma vez rede Tor está sob ataque, o pesquisador Josh Pitts do Grupo de Segurança Leviathan identificou um nó de saída Tor que foi usado para corrigir os binários baixados pelos usuários, os atores de ameaças de malware foram acrescentando aos arquivos de forma dinâmica.

O Tor é um sistema que permite  experiência anônima dos usuários on-line  , mas como explicado muitas vezes isso é possível em condições específicas, pois a manipulação de scripts rodando no site visitado ou arquivo baixado a partir de um repositório não confiável poderia revelar a identidade de  usuário Tor.

Neste caso, somos confrontados com o perigo de confiar em arquivos baixados de fontes desconhecidas, mas vamos considerar qualquer maneira que um invasor também pode usar uma técnica semelhante comprometer um site legítimo, e que comprometedora / definir um nó de saída para fazer o "trabalho sujo" é sempre possível.

Muitos binários estão hospedados sem nenhuma criptografia de segurança da camada de transporte, apenas em alguns casos, é possível encontrar arquivos assinados para impedir a modificação no-fly.

Para mitigar chupar tipo de ataques criptografados canais de download representa a melhor opção para evitar a manipulação dos binários.

"SSL / TLS é a única maneira de impedir que isso aconteça. Os usuários finais podem querer considerar a instalação de HTTPS Everywhere ou plugins semelhantes para o seu navegador para ajudar a garantir que o tráfego é sempre criptografado ", disse Pitts.

Pitts descobriu o comportamento anômalo do nó de saída Tor durante a realização de uma pesquisa em servidores de download que podem ser abusadas para corrigir os binários durante o download através de um homem-em-meio ataque.

"Depois de criar e usar um novo exitmap módulo, achei binários baixados sendo corrigido através de um nó de saída Tor na Rússia. " , disse  Pitts no post .

Durante essa conferência DerbyCon o pesquisador apresentou como executar um patch MITM de binários durante o download usando  BDFProxy . O quadro Backdoor Factory ( BDF ) projetado pelo pesquisador lhe permite corrigir os binários executáveis ​​com código shell que o invasor pode usar para executar um código arbitrário sem que o usuário perceba qualquer atividade suspeita.

Infelizmente, este ataque pode ser realizado por qualquer pessoa na Internet, e como demonstrado por Pitts, poderia ser eficaz para cortar Tor anonimato controlando um ou mais nós de saída.

Usuários de Internet, conscientemente ou não, baixe a cada dia um número impressionante de arquivos, vamos pensar, por exemplo, para upgrades de software.Se um invasor é capaz de controlar o processo de download de atualizações de segurança, ele pode infectar um grande número de máquinas simplesmente injetar malwares para o canal de atualização.

O processo de atualização é considerado o cenário mais assustar por especialistas em segurança, porque o arquivo de download, em muitos casos é considerado confiável por padrão. A cadeia de ataque também pode ser melhorada através de um mecanismo de assinatura digital que abusos de falsos certificados digitais .

Fornecedores de software legítimo usar a assinar seus binários, qualquer modificação no código irá causar erros de verificação. Este é o cenário observado pela pesquisa durante os testes, um atacante a execução de um ataque MITM enquanto o usuário está baixando um arquivo pode ativamente binários de patch com o seu próprio código.

"Eu testei BDFProxy contra uma série de binários e processos de atualização, incluindo atualizações automáticas do Microsoft Windows. A boa notícia é que, se uma entidade está ativamente consertando o Windows PE arquivos para o Windows Update, o processo de verificação de atualização detecta-lo, e você receberá o código de erro 0 × 80200053. ", afirma Pitts.

O especialista estendeu sua análise a Nodes de saida descobrindo que um nó malicioso na Rússia foi remendar ativamente quaisquer binários ele baixado com um pedaço de malware. Felizmente, no momento eu estou escrevendo o nó de saída Tor é o único a executar o ataque.

"Para ter a melhor chance de pegar binários modificados em trânsito pela Internet, eu precisava de tantos pontos de saída em tantos países quanto possível. Usar  Tor  iria me dar esse acesso e, portanto, a maior chance de encontrar alguém realizando esta atividade MITM patching malicioso ", escreveu Pitts.

"Depois de pesquisar as ferramentas disponíveis, I em  exitmap .  Exitmap é baseado em Python e permite escrever módulos para verificar os nós de saída para várias modificações de tráfego.  Exitmap é o resultado de um projeto de pesquisa chamado  Spoiled Cebolas  que foi concluído por ambas as  PriSec  grupo na  Universidade de Karlstad  e  SBA Research  , na Áustria.  Eu escrevi um módulo para exitmap , chamado  patchingCheck . py,  e tenham apresentado um pedido de puxar para o repositório oficial GitHub.Logo após a construir o meu módulo, deixei exitmap prazo. Não demorou muito tempo, cerca de uma hora, para pegar o meu primeiro nó de saída malicioso. "

Pitts baixado vários binários legítimos de fontes confiáveis, incluindo Microsoft.com, e cada um deles veio carregado com código de malware que se abre uma porta para ouvir os comandos e começa a enviar solicitações HTTP para um servidor C & C.

O pesquisador informou funcionários do Projeto Tor, que sinalizou o nó de saída Tor tão ruim.

"Temos agora definir o BadExit bandeira sobre  este relé, para que outras pessoas não vai acidentalmente executar através dele. Nós certamente não precisamos de mais pessoas a pensar mais módulos para a exitmap scanner.Em geral, parece que a corrida armamentista difícil jogar ", escreveu Roger Dingeldine, um dos desenvolvedores originais do Tor. 

O cenário de ataque descrito por Pitts é muito comum, o usuário deve ter cuidado com o repositório referenciada para download de software, certificando-se que eles estão usando canais codificados (TLS / SSL)

"O problema dos binários modificados não está limitado a Tor. Destacamos o exemplo por causa de alguns dos equívocos que as pessoas têm sobre Tor proporcionando maior segurança. Em geral, os usuários devem ser cuidadosos de onde baixar o software e garantir que eles estão usando TLS / SSL. Sites não suportam TLS / SSL deve ser persuadido a fazê-lo ", disse Pitts.

Pierluigi Paganini