Navegador nativo do Android tem vulnerabilidade

A vulnerabilidade de segurança grave afeta o navegador padrão do sistema operacional Android inferior a 4,4, de acordo com os dados fornecidos pelo Google dashboard oficial quase a 66% dos dispositivos Android é impactado. A falha de segurança permite que um atacante para ignorar a política de mesma origem (SOP).

Android mesma falha Política de Origem

O Android política de mesma origem (SOP) vulnerabilidade ( CVE-2.014-6.041 ) foi divulgado pela primeira vez em setembro 2014 pelo especialista em segurança Rafay Baloch, que percebeu que o AOSP (Android plataforma open source) navegador instalado no Android 4.2.1 era vulnerável a política de mesma origem (SOP) vulnerabilidade que permite que um site para roubar dados de outro.

"O Navegador Android 4.2.1 aplicação no Android permite que atacantes remotos para ignorar a Política de Origem Same via um atributo trabalhada contendo um personagem \ u0000, como demonstrado por um onclick =" window.open ('\ u0000javascript:. Sequência ", afirma a descrição do  CVE-2014-6041  vulnerabilidade .

De acordo com especialistas em segurança da Trend Micro e Facebook, muitos usuários da rede social popular têm sido alvo de ataques cibernéticos que tentam explorar a Política de Origem (SOP) vulnerabilidade Same. Os atacantes usaram um Metasploit código de exploração publicamente disponível para executar o ataque de uma forma fácil e automatizado.

"Alguns meses atrás, nós discutimos a mesma vulnerabilidade Android Política de Origem (SOP), que foi mais tarde encontrado para ter um maior alcance do que se pensava. Agora, sob a colaboração da Trend Micro e Facebook, os ataques são encontrados que ativamente tentativa de explorar esta vulnerabilidade particular, cujo código acreditamos foi baseada na disposição do público código Metasploit. ", Afirma um post publicado pela TrendMicro.

Devido ao enorme impacto da Política de Origem (SOP) vulnerabilidade Same, o especialista Tod Beardsley apelidou-o " desastre de privacidade ". Beardsley é um dos desenvolvedores para  o  Metasploit equipe e forneceu um POC-vídeo para demonstrar que a falha é " suficientemente chocante . "

"Ao malforming um javascript: URL manipulador com um byte prefixado nulo, o AOSP, ou Android plataforma de código aberto (AOSP) Browser) não cumprir a Política (SOP) de controle de segurança do navegador de mesma origem ", Tod Beardsley da Rapid7 escreveu em um post . " O que isto significa é, qualquer site arbitrária (digamos, uma controlada por um spammer ou um espião) pode espreitar o conteúdo de qualquer outra página web. Imagine que você foi a uma atacantes site enquanto você teve seu webmail aberto em outra janela - o atacante poderia raspar seus dados de e-mail e ver o que o seu navegador vê. Pior, ele poderia prender uma cópia do seu cookie de sessão e seqüestrar sua sessão completamente, e ler e escrever webmail em seu nome.  Isso é um desastre de privacidade. A mesma origem política é a pedra angular da privacidade na web, e é um conjunto de componentes críticos para a segurança do navegador web. Oh, e fica pior. "

A política de mesma origem é um fundamental no modelo de segurança de aplicativos web implementados para proteger experiência de navegação dos usuários.

"Os scripts de política permite correr em páginas de originários do mesmo local - uma combinação de regime, hostname, eo número da porta -. Acessar DOM do outro, sem restrições específicas, mas impede o acesso ao DOM em locais diferentes", lê Wikipedia.

De acordo com a Trend Micro os atacantes servido um link através de uma página no Facebook em particular que redirecionar os usuários do Facebook para um site malicioso.

"Este ataque tem como alvo usuários do Facebook através de um link em uma página no Facebook em particular que leva a um site malicioso. Esta página contém ofuscado JavaScript código, que inclui uma tentativa de carregar a URL Facebook em um quadro interno. O usuário só verá uma página em branco como HTML da página foi configurado para não exibir qualquer coisa através da sua tag div, enquanto o quadro interno tem um tamanho de um pixel. ", Continua o post.

Android mesma falha Política de Origem Facebook

O código JavaScript pode ser explorada por um atacante para realizar várias atividades por conta Facebook da vítima, incluindo:

Adicionando Amigos
Como e Siga qualquer página do Facebook
Modificar Assinaturas
Autorizar aplicativos do Facebook para acessar o perfil público do usuário, lista de amigos, informações de aniversário, gosta.
Para roubar tokens de acesso da vítima e enviá-los para o seu servidor.
Coletar dados de análise (como a localização das vítimas, referenciador HTTP, etc.) usando o serviço legítimo.
Os especialistas notaram que os criminosos por trás desses ataques contar com um aplicativo BlackBerry oficial mantido pelo BlackBerry, a fim de roubar os tokens de acesso usadas para cortar as contas do Facebook.

"O malware móvel usando o SOP Android Exploit (Android Same Origin Policy Bypass Exploit) é projetado para atacar usuários do Facebook, independentemente da sua plataforma de dispositivos móveis", disse Blackberry Trend Micro em um comunicado. "No entanto, ele tenta tirar vantagem do site BlackBerry marca usando nosso aplicativo web Facebook. BlackBerry trabalha continuamente com a Trend Micro e Facebook para detectar e mitigar esse ataque. Note-se que o problema não é o resultado de um exploit para hardware, software, ou rede de Blackberry ".

Para corrigir a mesma vulnerabilidade Política Origin é necessário aplicar um patch já está disponível e emitido pela Google em setembro. Infelizmente, milhões de dispositivos Android ainda são vulneráveis ​​porque os fabricantes já não empurrar a atualização para seus clientes. A fim de proteger-se, desativar o navegador a partir de seus dispositivos Android, vá para Configurações> Aplicativos> Todos e procurando seu ícone.

Pierluigi Paganini

( Assuntos de Segurança  - política de mesma origem Vulnerabilidade, Android)

Biometria sem dedo vivo não é segura.

Um especialista em segurança na conferência do Chaos Computer Club mostrou como contornar biometria da impressão digital utilizando apenas algumas fotografias.

Biometria da impressão digital são considerados por muitos especialistas em segurança, um dos mais sofisticados sistemas de autenticação que combina segurança e facilidade de uso. Gigante de TI, como Apple e Samsung estão olhando com grande interesse para os dados biométricos de impressão digital, as duas empresas implementar a autenticação biométrica para as várias funções disponíveis no seu smartphone.

É biometria da impressão digital totalmente segura?

O pesquisador alemão Jan Krissler, aka Starbug, demonstrado pelo Chaos Computer Club da Alemanha, que também biometria da impressão digital poderia ser cortado.

O especialista afirma ter "copiado" a impressão digital da Alemanha ministro da Defesa, Ursula von der Leyen a partir de fotos padrão, ele usou uma imagem de close-up do ministro e isso combinado com outras fotografias para compor a impressão final, usando o software de biometria chamado Algoritmo.

Biometria da impressão digital 3

No passado, outros especialistas têm violado os dados biométricos de impressão digital Usando cópias obtidas a partir de uma pessoa que tocou fisicamente um objeto com uma superfície polida (ou seja, de vidro).

"Hackers membros da reivindicação Chaos Computer Club ter derrotado sensor de impressão digital da Apple TouchID para o iPhone 5S, logo após o início da sua venda ao público. O Chaos Computer Club na Alemanha anunciou na tarde de sábado ter ultrapassado com sucesso a segurança biométrica no sensor de impressão digital touch ID da Apple pelo uso de materiais que podem ser encontrados em quase todos os lares, parece que eles fizeram isso fotografando a impressão digital de um usuário do iPhone a partir de um vidro superfície e usar essa imagem capturada para verificar as credenciais de login do usuário. "Eu escrevi em um posto em setembro de 2013.

Em abril de 2014,  SRLabs  pesquisadores publicaram um vídeo Proof of Concept no YouTube para demonstrar que eles foram capazes de ignorar o mecanismo de autenticação de impressão digital implementado pela Samsung Galaxy S5 . Os pesquisadores demonstraram obter acesso não autorizado apenas usando uma impressão digital levantou com madeira-cola dedo fictício baseado.

Desta vez Krissler mostrou como estes, é possível alcançar o mesmo objetivo usando uma "câmera de fotos padrão."

" Krissler disse que usou um software disponível comercialmente chamado VeriFinger para retirar a façanha. A principal fonte era um retrato close-up de ouro von der Leyen do obtido durante uma coletiva de imprensa em outubro, junto com fotografias tiradas a partir de ângulos diferentes para obter uma imagem completa da impressão digital. ", relatou uma pós em venturebeat.com.

Starbug acredita que, após a sua apresentação "os políticos vão presumivelmente usar luvas quando se fala em público", e provavelmente ele está certo ;-)

Biometria da impressão digital é ainda considerável seguro, de qualquer maneira, é mais seguro de muitos outros métodos de autenticação.

"O site comenta:" Mesmo se reproduzindo uma impressão digital era um método viável para invadir um sistema, seja ele um smartphone ou um cofre de alta segurança, esta notícia não significa que as impressões digitais são repente inútil. Medidas de segurança perfeitas não existem, e as impressões digitais definitivamente ainda têm o seu lugar. ", Continua o VentureBeat.

Pierluigi Paganini

( Assuntos de Segurança  - Autenticação, biometria da impressão

Hackers chineses derrubam rede do Afeganistão

Hackers chineses derrubaram todos os principais sites do governo do Afeganistão por hackear uma rede CDN oficial usada no país.

Os especialistas da  Equipa de Investigação de Inteligência ThreatConnect (TCIRT ) informou recentemente a operação, batizada de Operação Helmand, dirigido por um grupo de hackers chineses que atacou toda a rede web governo afegão. Os hackers supostamente usado um cross-site scripting alvo (XSS) "drive-by" ataque sobre o conteúdo principal Delivery Network (CDN) usado no Afeganistão.

As plataformas CDN são um componente essencial para publicação na web, elas permitem a entregar dinamicamente o conteúdo da web para entidades públicas e privadas. Comprometer a CDN é possível atingir um público amplo, por esta razão, eles representam um alvo privilegiado para os atores de ameaça.

Um invasor pode explorar a plataforma CDN por exemplo, para servir de conteúdo malicioso e sistemas de compromisso visitante '.

No caso específico, os atacantes executar um cross-site scripting alvo (XSS) "drive-by" ataque que alavancou um único CDN para espalhar um applet Java malicioso através dos principais sites Afeganistão.

A campanha de hackers supostamente bater a rede gerenciada pelo afegão Ministério das Comunicações e TI (MCIT), os atacantes usaram um JavaScript para comprometida a CDN disponível no seguinte URL:  [http:] [.] // cdn.afghanistan af / scripts / GOP-script.js

"O domínio CDN .afghanistan [.] af é um site CDN legítimo utilizado pelo Ministério afegão das Comunicações e TI (MCIT) para hospedar o conteúdo da web que é exibido e usado em muitos sites oficiais gov.af. "Reportes um post publicado pelo ThreatConnect.com.

CDN Afeganistão pirataria

Os hackers derrubaram os sites dos principais órgãos do governo afegão, incluindo Educação, Finanças, Negócios Estrangeiros, Justiça e Assuntos da Mulher, e sites estrangeiros que recebem conteúdo do mesmo CDN como a embaixada australiana. Abaixo a lista de sites afetados:

[Http:] [.] // Canberra.afghanistan af / en (afegão Embaixada em Canberra, Austrália)
[Http:] [.] // Herat.gov af / fa (província de Herat Governo Regional)
[Http:] [.] // Mfa.gov af / en (Ministério dos Negócios Estrangeiros)
[Http:] [.] // Moci.gov af / en (Ministério de Comércio e Indústrias)
[Http:] [.] // Moe.gov af / en (Ministério da Educação)
[Http:] [.] // Mof.gov af / en (Ministério das Finanças)
[Http:] [.] // Moj.gov af / fa (Ministério da Justiça)
[Http:] [.] // Mowa.gov af / fa (Ministério de Assuntos da Mulher)
[Http:] [.] // Oaacoms.gov af / fa (Escritório de Assuntos Administrativos e Conselho de Ministros)
Os especialistas especulam que a Inteligência chinês adotou uma técnica de boteco, porque ele está olhando com grande interesse para o Afeganistão após os EUA ea NATO têm reduzido as suas tropas no país.

"Como os EUA ea NATO reduzir os seus níveis de tropas no Afeganistão, a China está fazendo pose para preencher a lacuna de influência que o oeste está deixando para trás. Com planos para facilitar as negociações de paz multilaterais com o Talibã e estabelecer grandes projetos de transporte que visam fortalecer a economia afegã, Pequim tem sido de olho Afeganistão, como parte de sua estratégia mais ampla do sul da Ásia. "Continua o post.

Os pesquisadores coletaram evidências de que os ataques boteco coincidiu com uma reunião sobre o desenvolvimento das infra-estruturas e da cooperação bilateral no Cazaquistão entre o primeiro-ministro da China Li Keqiang e do governo executivo-chefe do Afeganistão Abdullah Abdullah.

Os pesquisadores, analisando os metadados EXIF ​​da imagem de reunião Keqiang, descobriu que a imagem usada para servir o malware foi modificado algumas horas depois que apareceu a ser tomada na reunião.

CDN Afeganistão hackers 2

A Operação Helmand é bastante semelhante a outros ataques observados no Sudeste Asiático, os especialistas notaram também muitas semelhanças com outro ataque boteco descoberto neste verão, quando um arquivo Java malicioso foi servido no site da embaixada Grécia em Pequim durante uma reunião diplomática a Atenas.

Pierluigi Paganini

( Assuntos de Segurança  - Operação Helmand, CDN, Afeganistão)

Novo trojan ataca 150 bancos

A nova estirpe de Zeus Trojan apelidado Chthonic foi descoberto na natureza segmentação mais de 150 bancos e 20 sistemas de pagamento, principalmente na Europa.

Especialistas acreditam que eles viram tudo sobre o trojan Zeus , P2P versões, versões que infectam SaaS , agentes que exploram a rede Tor ou que mulas de dinheiro recruta ... então prontamente uma nova estirpe do malware em regiões selvagens e surpreende todos.

A nova variante Zeus é apelidado Chthonic e depende de um novo mecanismo para carregar seus módulos. A nova cepa de máquinas infectadas de malware prevalentemente no Reino Unido, Espanha, EUA, Rússia e Japão. Outras infecções também foram relatados em outros países europeus, incluindo a Bulgária, Irlanda, França, Alemanha e Itália.

Chthonic 3

Chthonic é servido às vítimas através do bot Andromeda, bem como através de um exploit para uma vulnerabilidade no Microsoft Office ( CVE-2014-1761 ) que é distribuído via e-mail.

"Uma nova ameaça de malware significativa segmentação sistemas bancários online e seus clientes tem sido detectado por analistas de segurança da Kaspersky Lab. Identificada como uma evolução do infame ZeuS Trojan, Trojan-Banker.Win32.Chthonic, ou Chthonic para breve, é conhecido por ter atingido mais de 150 bancos e 20 diferentes sistemas de pagamento em 15 países. Parece ser direcionados principalmente para as instituições financeiras no Reino Unido, a Espanha, os EUA, Rússia, Japão e Itália. ", Afirma um post publicado pela Kaspersky Lab.

O especialista descobriu que muitos componentes da Chthonic são compatíveis com sistemas de 64 bits, ele combina o esquema de criptografia de outras cepas de Zeus, bem como uma máquina virtual implementada por ZeusVM e KINS trojan .

"Chthonic compartilha algumas semelhanças com outros Trojans. Ele usa a mesma encryptor e downloader como bots Andrômeda, o mesmo esquema de criptografia AES como Zeus e Zeus Trojan V2, e uma máquina virtual semelhante ao utilizado em ZeusVM e KINS malware. ", Continua o post.

Chthonic usa um módulo principal que baixar todos os outros módulos do malware, o agente trabalha com plataformas de 32-bit e 64-bit, e entre as suas capacidades não está coletando informações do sistema, roubar senhas do sistema através Pony malwares , keyloggers, web controle de câmera, forma grilagem, injeção web e acesso remoto através de VNC componente de desktop remoto.

Chthonic 2

Os especialistas destacaram os injetores de Chthonic web que permitem que o malware para inserir seu próprio código no navegador quando vítimas visite o site dos bancos visados.

"Chthonic explora as funções do computador, incluindo a câmara web e teclado para roubar credenciais bancárias on-line, tais como senhas salvas. Os invasores também pode se conectar ao computador remotamente e comandá-lo a realizar as operações. ", Afirma o relatório.

"Principal arma do Chthonic, no entanto, é injetores web. Estes permitem o cavalo de Tróia para inserir seu próprio código e imagens nas páginas bancárias carregados pelo navegador do computador, permitindo que os atacantes para obter o número da vítima telefone, senhas de uso único e PINs, bem como quaisquer login e senha detalhes inseridos pelo usuário . "

O esquema de ataque não é diferente daquele implementado com outra estirpe de Zeus, ele conta com o man-in-the-middle técnica que permite Chthonic para i ntercept comunicação do cliente para o banco alvo e modifica a página web carregado na navegador injectar o código necessário. A injeção de código permite que atacantes para roubar informações bancárias (log-in detalhes, PIN, senha de uso único).

Pelo menos em um ataque contra um banco japonês, Chthonic foi capaz de esconder os avisos do banco, os clientes afetados, entretanto, de bancos russos foram enganados usando um iframe com uma cópia phishing do site que tem o mesmo tamanho da janela original.

"Felizmente, muitos fragmentos de código utilizados por Chthonic para realizar injeções web não pode mais ser usado, porque os bancos mudaram a estrutura de suas páginas e, em alguns casos, os domínios também."

A descoberta de Chthonic trojan é a demonstração de que o Trojan ZeuS ainda está evoluindo, graças também à disponibilidade de seu código-fonte no subterrâneo de hacking .

"" A descoberta de Chthonic confirma que o Trojan ZeuS ainda está evoluindo de forma activa. Os criadores de malware estão a fazer pleno uso das técnicas mais recentes, ajudaram consideravelmente pelo vazamento do código fonte do ZeuS. "

Uma análise detalhada do malware está disponível no website SecureList .

Pierluigi Paganini

( Assuntos de Segurança  - Chthonic, Zeus Trojan Bancário)

Perfil do submundo Hacker

O acompanhamento dos mercados de chapéu preto Blackhat uma das principais atividades de especialistas em segurança e agências de inteligência, permite a coleta de informações sobre a evolução das ameaças cibernéticas e as tendências emergentes no ecossistema criminal.

Em 2013, os especialistas da Dell unidade segura Threat Works Counter (CTU) publicou um relatório muito interessante intitulado " The Hacking Underground Economy está vivo e bem. ", que investigou o mercado online para dados roubados e serviços de hacking. O relatório detalhou os produtos vendidos nos mercados negros e custos relacionados, dando aos leitores um retrato interessante do  submundo do crime .

O submundo do crime é caracterizado por uma dinâmica rápida e uma análise cuidadosa pode permitir a aplicação da lei e agência de segurança para entender a evolução das ameaças cibernéticas e as TTPs de operadores principais. Um ano mais tarde, a mesma equipe de especialistas da Dell SecureWorks lançou uma atualização para o estudo dos mercados de chapéu preto, intitulado " Mercados Hacker Subterrâneas ", que relata uma série de tendências dignas de nota.

O pesquisador notou um crescente interesse nos dados pessoais, nomeadamente, em qualquer tipo de documentação que poderia ser usado como uma segunda forma de autenticação, incluindo passaportes, carteiras de motorista, números de segurança social e até mesmo contas de serviços públicos.

"Os mercados estão crescendo com documentos falsificados, para permitir uma fraude, incluindo novos kits de identidade, passaportes, contas de serviços públicos, segurança social cartões e carteiras de motorista. ", afirma o relatório.

Outro elemento distintivo da evolução dos mercados subterrâneos no último ano é a oferta de Hacker Tutoriais.

Tutoriais de treinamento fornecer instrução aos criminosos que querem vender cartões de crédito roubados para outras equipes, ou obter informações detalhadas sobre a execução de explorar kits, no arranjo de spam e campanhas de phishing ou como executar ataques DDoS.

"Estes cursos não só explicar o que, um kit de Tróia de acesso remoto (RAT) e explorar Crypter é, mas também como eles são usados, que são os mais populares, e que os hackers devem pagar por essas ferramentas de hackers", disse o relatório.

Outros tutoriais incluem instruções para fazer um corte ATM , como fazer transferências bancárias sem ser detectado e fazer uma retirada de dados de cartões de crédito roubados.

tutoriais hackers subterrâneas

Os dados fornecidos pela Dell confirma as conclusões de um outro relatório emitido pela TrendMicro que notei no underground brasileiro uma disponibilidade significativa de produtos e serviços similares.

Tripulações Criminal especializada em vender seu negócio de cartões de crédito prêmio, uma conseqüência direta do grande número de violações de dados ocorreram este ano e que inundou os mercados de hacking subterrâneas com milhões de dados de crédito e débito roubados.

Os pesquisadores explicaram marketplaces preto, exatamente como qualquer outro mercado, recompensar a confiabilidade e reputação dos fornecedores líderes que dedicam tanta atenção ao atendimento ao cliente.

Em particular, os criminosos cibernéticos estão se diferenciando a sua oferta com base nos níveis de serviço prestados aos compradores e garantias sobre os dados roubados.

"É evidente que os hackers subterrâneas são monetizar cada pedaço de dados que eles podem roubar ou comprar e estão constantemente adicionando serviços para outros scammers podem realizar com sucesso on-line e em pessoa fraude", é relatada no relatório.

Para aqueles criminosos que desejam adquirir uma nova identidade para atividades ilegais, os pacotes de subterrâneos de identidade de oferta de mercado que incluem passaportes, carteiras de motorista e cartões de segurança social, praticamente qualquer coisa é necessário para cometer um roubo de identidade .

No mercado subterrâneo, é possível adquirir um cartão de trabalho da segurança social, nome e endereço para US $ 250, pagar outros US $ 100 um scammer pode comprar uma conta de luz para usar em processos de verificação de identidade. Passaportes não-americanos falsificados estão disponíveis para um custo entre US $ 200 a US $ 500. Os especialistas explicaram que é muito difícil encontrar US passaportes, porque a aplicação da lei dos Estados Unidos é acreditado para infiltrar-se na comunidade de hackers, tornando arriscado sua comercialização. Carteiras de motorista falsificada US correr para US $ 100- $ 150, enquanto isso falsificar Segurança Social Cards run entre US $ 250 e US $ 400, em média, em ambos os casos, esses documentos possam ser utilizados para melhorar a eficiência dos esquemas de fraude.

Cartões premium continuam a ser mercadorias preciosas no submundo do crime, uma coleção completa de credenciais roubadas, também conhecidos com o termo hacker slang "fullz", executado por US $ 30 nos EUA, enquanto, em 2013, foi oferecido por US $ 5. O fullz inclui também informações relacionadas com o titular do cartão, como nome, endereço, número de telefone, endereços de email, datas de nascimento, números de segurança social, números de contas bancárias, números de cartões de crédito e dados bancários.

Os pesquisadores notaram que o preço de números de cartão de crédito individuais mantém-se inalterada desde o ano passado, Master Card premium e cartões Visa, incluindo tanto dados de Pista 1 e 2 estão vendendo por US $ 35 e US $ 23, respectivamente.

Outra bem precioso no underground de hackers é o malware, custo para  Trojans de acesso remoto  (ratos) é diminuída relativamente ao ano anterior, e hoje são vendidos por um preço que varia de US $ 20 a US $ 50 para RATOS notórios como  DarkComet . Vários ratos também são oferecidos gratuitamente deflação dos preços. A comunidade subterrânea também oferece populares explorar kits como Nuclear e Sweet Orange para os melhores preços com Laranja Doce em US $ 450 para um contrato de arrendamento semanalmente, para US $ 1.800 para um mês inteiro.

"Os hackers estão procurando por um rato que é facilmente disponível para compra ou para uso gratuito e que eles podem ser executados através de um Crypter (um programa que criptografa malware, tornando-FUD ou completamente indetectável a Anti-Virus e programas anti-malware), ", disse o relatório.

O relatório inclui uma série de dados interessantes relacionados a produtos e serviços oferecidos no botnet pirataria no subsolo, incluindo disponíveis para aluguel e DDoS ataque à demanda.

Em relação ao preço para bots localizados em países específicos, é maior respeito ano anterior e que depende da localização dos computadores infectados.

" Estes  bots aleatórios foram consideravelmente mais barato, por exemplo, 1.000 bots correu US $ 20; 5.000 bots correu  $ 90; 10.000 correu US $ 160; etc.  No entanto, este ano eles encontraram preços para bots localizados em países específicos, e esses bots  são consideravelmente mais caros. O preço para a compra de acesso a computadores comprometidos  que pode variar de país para país. O preço para 5.000 bots individuais localizados em os EUA  vai de US $ 600 a US $ 1.000, enquanto o mesmo número de bots baseadas no Reino Unido custa US $ 400 a US $ 500, um  decréscimo de 50 a 100 por cento no preço dos bots dos EUA ".

Não perca tempo ... dá uma olhada para relatar!

Pierluigi Paganini

( Assuntos de Segurança  - Hacking subterrâneo, o cibercrime)

Governo Sueco invadido

Os membros do grupo Anonymous alegam ter invadido várias contas de email governo sueco sobre a apreensão dos servidores do Pirate Bay.

Muitos especialistas em segurança cibernética consideram hacktivistas como uma ameaça que está fervilhando, mas é a minha opinião, é um erro grave subestimar suas capacidades e da Stratfor  caso é provavelmente a demonstração mais evidente do seu impacto.

Desta vez, a vítima do ataque é o governo sueco, o Anonymous, invadiu contas de e-mail dos representantes do governo em resposta à recente apreensão de servidores do The Pirate Bay website pelas sm autoridades suecas.

Os membros do Anonymous também alegou ter violado as contas de email de muitos outros governos, divulgando suas credenciais online, incluindo Índia, Brasil, Argentina, Brasil, Índia, Israel e México.

Na época, eu estou escrevendo, não há notícias sobre o suposto ataque ao e-mail contas de funcionários do governo. Não está claro quais são os sistemas segmentados por Anonymous e como os hackers obtiveram as suas credenciais.

O grupo Anonymous acrescentou a seguinte mensagem para a coleção de credenciais vazaram on-line:

"Aviso: Feliz Natal e um Feliz Ano Novo a todos !! Tchau: * "

A mensagem que contém a lista das credenciais foi postada no Pastebin.com, mas já foi removido, Anonymous também anunciou o corte através de um de sua conta oficial no Twitter.

Anonymous hackeado Governo sueco Pirate Bay
"QUEBRANDO: Emails do governo sueco foram cortados em retaliação a apreensão dos servidores do The Pirate Bay http://pastebin.com/cxmiUSJD", diz o tweet.

Após a apreensão do The Pirate Bay, hackers atacaram várias organizações suecas. A agência de notícias local informou que na semana passada que empresa de internet sueco, Telia, sofreu um grande ataque DDoS que afetou seus serviços on-line e conexões de usuários.

"O alto perfil que corta o ataque na internet gigante sueca Telia tem sido associada a uma batida policial no Pirate Bay, o que dizem os especialistas" sentimentos provocou "entre os hackers.", Afirma o Local. "David Jacoby, pesquisador-chefe da empresa de segurança de dados da Kaspersky Lab disse que o ataque provavelmente deriva de uma batida policial no início desta semana contra o compartilhamento de arquivos Pirate Bay, em Estocolmo. "

O Lizard Plantel equipe de hackers reivindicou a responsabilidade pelo ataque, o grupo também corre nas últimas semanas grandes ataques DDoS contra a rede on-line Xbox eo PlayStation Network causando interrupções significativas dos serviços. Jacoby explicou que o Lizard Squad é um dos muitos grupos de hackers envolvidos no movimento anônimo Pirate Bay.

"Estes ataques não vêm do nada. O ataque Pirate Bay tem provocado sentimentos nesses grupos ", Jacoby à agência de notícias TT.

Na terça-feira, o The Pirate Bay e muitos outros sites de torrent foram temporariamente inacessível devido ao assalto da polícia sueca contra a sua infra-estrutura.

The Pirate Bay foi de novo no dia seguinte, hospedado em um domínio na Costa Rica, mas os usuários notou algo de estranho no website.

"No entanto, os usuários de torrent notaram que os downloads eram nem devidamente funcionando, nem foram de cortesia, e veio com ofertas incomuns de um serviço VIP. Alguns disseram que o site da .cr poderia ter sido um velho espelho TPB gerido por um grupo diferente de pessoas, enquanto outros se refere a ela como uma farsa. " informou o site da rt.com .

Em setembro, os membros do The Pirate Bay alegou que o popular site é apoiado por  21 máquinas virtuais "à prova de RAID"  que o tornam resistente às ações operadas pela aplicação da lei.

Fique ligado para mais informações ....

Pierluigi Paganini

( Assuntos de Segurança  - The Pirate Bay,

Espionagem

http://securityaffairs.co/wordpress/31109/intelligence/stingray-used-spy-norway-politicians.html

Segurança da Internet das coisas é tema de palestra

Ontem Pierluigi Paganini apresentado na conferência ISACA Roma & OWASP Itália, o estado da arte para a Internet das Coisas paradigma.

Ontem eu apresentado na conferência ISACA Roma & OWASP Itália, o estado da arte para a Internet das Coisas paradigma. A apresentação destaca as questões de segurança e privacidade para a Internet das Coisas, uma tecnologia que está mudando a percepção do usuário da tecnologia.

internet-de-coisas-IoT

A apresentação inclui detalhes da difusão da Internet das Coisas, dispositivos previstos no seu crescimento e informações relacionadas com a economia por trás do paradigma.

Toda uma sessão explora os possíveis desvios (ou seja, DDoS , malwares , thingbot) da Internet das Coisas dispositivos analisando atores de ameaças e as técnicas de ataque implementadas em casos reais.

Apreciá-lo!

Pierluigi Paganini

( Assuntos de Segurança  - Internet das Coisas, OWASP, ISACA)

Ataque ao cassino Sands

Bloomberg revelou que hackers iranianos usaram malwares Visual Basic para acabar com dados de sistemas corporativos em Las Vegas Sands Corp.

Em fevereiro de 2014, o operador Casino Las Vegas Sands Corp sofreu um grande ataque cibernético, mas só agora a notícia foi publicamente  divulgado pela Bloomberg Businessweek .

O ataque tem muitas semelhanças com a recente violação de dados ocorreram à  Sony Pictures  e tem causado danos graves para a empresa. Também no caso do operador Casino Las Vegas Sands Corp, os atacantes têm comprometido a rede da empresa, destruindo milhares de servidores e computadores, limpando seus discos rígidos com um malwares agressivo.

Especialistas em segurança acreditam que os hackers têm operado uma retaliação em resposta ao comunicado divulgado pelo diretor executivo da Las Vegas Sands Corp., Sheldon Adelson.

Sheldon Adelson é culpado de ter feito uma declaração contra o governo iraniano em outubro de 2013, o bilionário estava no campus da Universidade de Yeshiva Manhattan quando declarou que um ataque contra o Irã era a única maneira de parar definitivamente o seu programa nuclear.

"O que eu faria", Sheldon Adelson declarou que "seria dizer:" Você vê que deserto por lá? Eu quero lhe mostrar uma coisa. " Você pega seu celular e você chamar algum lugar no Nebraska e você diz 'Ok deixá-lo ir. "... Então você diz:" Está vendo? O próximo é no meio de Teerã ".

O comunicado divulgado pela Adelson foi transposta pelo líder supremo iraniano, o aiatolá Ali Khameeni, que respondeu ao Governo dos Estados Unidos com a seguinte declaração:

"Tapa essas pessoas proferindo na boca e esmagar suas bocas."
Em dezembro do mesmo ano, os hackers atingiu a rede de Las Vegas Sands ea ofensiva continuou também em janeiro, quando os atacantes tiveram acesso a virtual gateway da rede privada da empresa no seu casino ranhuras em Bethlehem, Pennsylvania.

"Encontraram-lo: as credenciais de login de um sistemas de computador engenheiro sênior que normalmente trabalhavam na sede da empresa, mas cuja senha tinha sido usado em Belém durante uma viagem recente. Essas credenciais tem os hackers em servidores da empresa de jogos em Las Vegas. Como eles vasculharam a rede principal, os atacantes preparou uma bomba malware. ", Relatou o post publicado pela Bloomberg.
Em fevereiro, os hackers comprometido o desenvolvimento e estadiamento servidor Microsoft IIS por trás do site do casino e usou uma ferramenta aberta, apelidado  mimikatz ,  para exfiltrate credenciais dos usuários. Os hackers descobriram as credenciais de um engenheiro de sistemas sênior que visitaram o site Belém a partir de Las Vegas, em seguida, os atacantes usaram para comprometer a infra-estrutura corporativa e acabar com dados sobre máquinas internas.

Las Vegas Sands Corp 2 A malwares limpador usado pelos atacantes foi escrita em Visual Basic e foi capaz de apagar completamente os dados dos discos rígidos da empresa.
"Digitando a partir de um Sony ( SNE ) computador VAIO, que compilou um pequeno pedaço de código, apenas cerca de 150 linhas, na linguagem de programação Visual Basic. O programa revelou potente. Não só limpar os dados armazenados em computadores e servidores, mas também reinicia-los, um truque inteligente que expõe dados que é intocável, enquanto uma máquina ainda está sendo executado automaticamente. Pior ainda, o script escreve sobre os discos rígidos apagados com um padrão aleatório de zeros e uns, tornando os dados tão difícil recuperar de que é mais rentável para comprar novas máquinas e atirar os hackeados no lixo. ", Continua o post .
Os hackers comprometido a rede e vazou os dados on-line, incluindo informações pessoais, endereços de email e números roubados de segurança social dos trabalhadores no canteiro de Sands Belém.

Os atacantes também postou uma mensagem para o CEO da Las Vegas Sands Corp:

"Incentivar o uso de armas de destruição maciça, sob qualquer condição, é um crime, assinada, o WMD Equipe Anti", disse um deles. "Droga A, Não deixe que sua língua cortar sua garganta", advertiu o outro.
O porta-voz da empresa Ron Reese se recusou a comentar sobre os detalhes fornecidos no relatório publicado pela Bloomberg:
"Eu não estou indo para confirmar tudo o que foi especulado ou escrito na história Bloomberg.", Disse Reese.
Os especialistas da Dell SecureWorks que foram contratados pela Las Vegas Sands Corp para higienizar os sistemas da empresa se recusou a comentar o incidente, de qualquer forma especialistas em segurança excluir o envolvimento direto do governo iraniano e atribuiu o ataque a um grupo de hacktivistas.

Pierluigi Paganini

( Assuntos de Segurança  - Hackers iranianos, Sands Corp

Ataque a SonyPictures podem ter vindo da Corea do Norte

Especialistas em segurança na AlienVault descobriu outros elementos do malware limpador usado para o ataque à Sony Pictures que apontam para hackers norte-coreanos.

Novas evidências surgiu a partir da investigação sobre o ataque cibernético clamorosa contra os  da Sony Pictures , especialistas em Estrangeiro Vault forneceu mais elementos para ligar o ataque à  Coreia do Norte .

Na semana passada, os especialistas da TrendMicro, desde os detalhes do  limpador de malware  que infectou os sistemas no Sony Picture, os especialistas hoje no AlienVault empresa dissecado uma amostra do código identificado com as informações fornecidas pelo FBI.

Laboratórios O diretor do AlienVault Jaime Blasco analisou uma amostra de malware que foi detectado por honeypots da empresa, o malware foi compilado entre 22 de novembro e 24, poucos dias antes do grande ataque contra a Sony Pictures.

A descoberta mais interessante que os peritos feita é que o malware limpador foi compilado por um computador com as configurações de texto em idioma coreano.

Apesar dos resultados ligar o malware à Coreia do Norte, o Governo de Pyongyang nega qualquer envolvimento no ataque cibernético na Sony Pictures.

A análise realizada pela AlienVault fornece mais evidências de envolvimento de hackers da Coreia do Norte, destacando que o código fonte foi especificamente concebida para combater a Sony Pictures. A cepa de malware analisados ​​por Alien Vault usado um login simples e senha para ter acesso a rede corporativa Sony Picture, esta circunstância sugere que os hackers já têm como alvo a empresa, por exemplo roubar credenciais de rede em um  spear phishing  ataque.

AlienVault confirmou que o malware limpador uma vez infectado as vítimas excluiu todos os dados em seus discos rígidos, realizado outras atividades maliciosas e exibido o manifesto GOP.

Os peritos não excluem que o código foi reutilizado de doenças preexistentes malwares limpador, mas a sua análise revelou que foi personalizado e implementado pelo coreano falando hackers e comunidade de segurança acreditam que os especialistas desse país estão diretamente ligados ao Governo central.

Pierluigi Paganini

( Assuntos de Segurança  - Sony Pictures, a Coreia do Norte, malware limpador)

Novo Malware é descoberto pela Palo Alto

Palo Alto Networks descobre novo malware que mira em diferentes verticais

11.12.2014 07:30 por Jocelyn Auricchio 0

A equipe de inteligência de ameaças da Palo Alto Networks divulgou uma análise de tendências de um malware que está afetando milhares de organizações de diversos segmentos da indústria: Saúde, Varejo e Serviços Financeiros, ao redor do mundo.

Trata-se da família de malware Kuluoz, uma forma evoluída do Asprox que cria redes zumbis (botnets) para disparo de mensagens indesejadas (spams).

A descoberta foi publicada no relatório “Unit 42 Threat Landscape Review”, um relatório recorrente da inspeção de como as organizações de diferentes setores são afetadas por malware.

Dentre os fatores encontrados na Pesquisa, destacam-se:

• Todas as verticais viram o e-mail (SMTP) e o HTTP como os principais canais para entrega de malware, mas as porcentagens de cada Indústria variaram significativamente, indicando que esses segmentos têm diferentes perfis de ameaças. As organizações de Varejo e Atacado, por exemplo, receberam quase 28% sobre o canal web, enquanto organizações de Hotelaria receberam apenas 2% sobre o mesmo canal. As corporações precisam de visibilidade sobre os tipos de tráfego que atravessam as suas redes para que elas possam identificar e prevenir ameaças rapidamente.
• O malware foi entregue em mais de 50 aplicativos distintos, destes, 87% foram entregues por email e 11,8% por meio da navegação na web (HTTP). Enquanto estes dois canais são responsáveis ​​pela maioria dos ataques maliciosos, é importante que as organizações sejam capazes de identificar malware em qualquer aplicativo autorizado na sua rede.
• Mais de 90% de amostras únicas desse malware foram entregues em somente um ou dois ataques. A maioria destes arquivos é parte de famílias de malware abrangentes. Nesse sentido, os profissionais precisam considerar a segurança que possa identificar e parar o malware em várias fases da cadeia de ataque.
  A família de malware, conhecida como Kuluoz ou Asprox, foi responsável por cerca de 80% de todas as sessões de ataques registradas durante o mês de outubro de 2014, impactando cerca de 2 mil organizações. Este malware tem atormentado os usuários de internet há anos.

As organizações podem receber uma versão customizada da análise apresentada no documento Threat Landscape Review, requisitando o Relatório de Riscos Corporativos. Esta pesquisa pode ajudar as empresas a compreenderem como comparar suas redes com seus pares da Indústria em relação a ataques de malware.

A empresa reforça que sua Plataforma de Segurança Corporativa oferece uma abordagem preventiva única, com três componentes essenciais: firewall de última geração, proteção avançada de borda (terminais) e inteligência de ameaças em nuvem. O Objetivo é garantir ambientes de computação, de prevenção de ameaças conhecidas e desconhecidas, permitindo a segurança de um número cada vez maior de aplicativos.

Mac é vulnerável a vírus e bugs.

Mac OS X da Apple não é mais imune a malware e bugs, diz pesquisa Kaspersky Security Lab.A de 2014 revela que mais ataques de malware direcionados Mac.

Durante anos, o Mac OS X tem sido elogiado como o sistema operacional mais imune a malwares e bugs. Bem, o reinado de Mac pode acabar em 2014, com os usuários "no fim de recepção de mais de 1.499 novos programas maliciosos, que é apenas uma fração dos 3.693.936 malwares direcionados em usuários de Mac, de acordo com um boletim de segurança 2014 por um anti-russo vírus e segurança de internet empresa Kaspersky Labs.

"Ao longo dos últimos anos, nós descobrimos amostras mais e mais mal-intencionados que visam dispositivos Mac. No entanto, ainda há um equívoco comum que o Mac OS X está a salvo de malware e vírus ", disse David Emm, principal pesquisador de segurança da Kaspersky Lab.

Adware no topo da lista dos 20 programas mais maliciosos direcionados no Mac OS usuários. Adware são espalhados através de programas legítimos baixados de lojas de aplicativos em vez de comprar a partir de sites oficiais dos desenvolvedores. Uma vez instalado no computador, o adware pode adicionar extensões de publicidade para browsers, alterar o mecanismo de pesquisa padrão, entre uma série de outras atividades maliciosas diz Kaspersky.

A contagem regressiva 2014 malware não será completa sem WireLurker malwares que assustou milhões de usuários de Mac no início deste ano. O malware que se originou a partir de loja chinesa App, cavalos de Tróia mais de 467 App e infectadas mais de 300.000 usuários da Apple.

" WireLurker malware não só ameaçou OS X em si, mas também usado Macs como veículo para chegar a dispositivos iOS conectados ao Mac infectado ", observa Kaspersky

Outras ameaças de malware notáveis ​​para usuários de Mac, conforme relatado pelo Kaspersky incluem;

OSX.Callme- um programa malicioso distribuído através da palavra MS, que deu fraudadores online remoto volta porta de acesso para um sistema e, ao mesmo tempo propagar-se a todos os contatos listados na máquina comprometida.
OSX.Laoshu - programa malicioso que faz screenshots a cada minuto. O malware é assinado pelo certificado de confiança de, portanto, o desenvolvedor iludindo muitos programas anti-malware no sistema da vítima.
Spyware Trojan com uma função de controle remoto que permitiu que hackers para interceptar cursos chaves
Trojan-Spy.OSX.CoinStealer - a um dos seus programas maliciosos tipo projetado para roubar bitcoins para OS X. Ele imita diversas utilidades bitcoin construídos a partir de código-fonte aberto enquanto ele instala uma extensão do navegador malicioso e / ou uma versão corrigida do bitcoin-qt .
Geograficamente, os usuários de Mac em US sofreu as infecções mais de malware em 2014, liderando o grupo em 39,14%, seguido pela Alemanha 12,56%, Japão 5,51% UK 5,49% Rússia 4,87% e França 3,69% de todas as infecções notificadas.

trojan Mac OS X vírus

Seus termos de vulnerabilidades, ShellShock é provavelmente o bug do ano para usuários de Mac OS X. O bug é a codificação Bash erro, um software originalmente de autoria de Brian Fox na década de 70. Shellshock afetou todos os sistemas operacionais baseados em Unix, incluindo Apple Mac OS X, Linux e GNU. Permitiu um hacker mal intencionado obter o controle total de um sistema comprometido sem a senha ou chave de criptografia.

Em um ambiente tão precário, os usuários do Mac OS X já não pode dar ao luxo de ser complacente em termos de manter-se com as atualizações de segurança e fortalecendo o mecanismo de defesa.

"O mito do Mac OS X é invulnerável não significa verdade, e como os cibercriminosos continuam a evoluir seus métodos de ataque, os usuários também devem evoluir, tomando as medidas necessárias para reforçar a segurança em seus dispositivos Mac", disse Emm .

Kaspersky 2014 boletim listado o Oracle Java como o aplicativo mais vulnerável usado por fraudadores para espalhar malwares para os usuários. A Oracle Java representaram 45% dos malwares enviados para os usuários, uma queda significativa de 90% no ano passado. Outros vectores incluem Browsers, Adobe Reader , adobe flash player e Microsoft office.

Kaspersky também é alertado os usuários contra uma ameaça crescente de usuários móveis. Só em 2014, a empresa de antivírus bloqueou pelo menos 1.363.549 ataques únicos no usuário móvel em comparação com 335 mil ataques registrados no ano passado. Esta tendência deverá manter-se em 2015 com mais Trojan bancário móvel esperada para o próximo ano.

"Em 2014, o malware móvel focada em questões financeiras: o número de Trojans bancários móveis foi nove vezes maior do que no ano anterior e desenvolvimento nesta área continua a um ritmo alarmante", disse Roman Unuchek, analista de malware móvel sênior da Kaspersky Lab.

( Assuntos de Segurança  - Mac OS X, malware)

Escrito por: Ali Qamar, Fundador / Editor Chefe em SecurityGladiators.com

Falsificação de endereços na web

Os especialistas da IBM descobriram vários problemas na execução da autenticação de login social de vários provedores de identidade.

Os pesquisadores da segurança X Força da IBM descobriram uma maneira de obter acesso às contas da Web através da exploração de configuração incorreta em alguns serviços de login sociais.

O login social , também conhecido como social, single sign-in, é uma forma de  single sign-on  usando credenciais existentes a partir de um serviço de rede social como o Facebook, Twitter ou Google+ para acessar um terceiro serviço web festa. O login Sociais melhorar a experiência do usuário, simplificando logins para o processo de autenticação.

O login social é muitas vezes realizado com o  OAuth  padrão, sites que implementam a função de fornecer clássico "Faça login no Facebook / LinkedIn / etc.", que permitem que seus usuários façam login usando, por exemplo, as suas credenciais do Facebook LinkedIn.

Os especialistas da Força X da IBM descobriram que é possível ganhar o controle de contas em vários sites, incluindo Nasdaq.com, Slashdot.org, Crowdfunder.com e outros por abusar login mecanismo social LinkedIn.

Como explicado por Or Peles e Roee Hay da IBM Security Systems, explicou que o ataque que eles batizaram SpoofedMe funciona em muitos outros serviços de identidade.

"Em suma, para realizar o ataque, um cibercriminoso registra uma conta falsificado dentro de um provedor de identidade vulnerável usando o endereço de e-mail da vítima. Em seguida, sem ter de confirmar na verdade propriedade do endereço de e-mail, o atacante irá registrar -se para o site utilizando o login sociais contando com esta conta falsa. O site contando irá verificar os detalhes do usuário afirmadas do provedor de identidade e registrar o atacante para a conta da vítima com base no valor do endereço de e-mail da vítima. "estado do post de da IBM Força X

O post inclui uma PoC vídeo relacionado a um ataque que abusos LinkedIn para falsificar uma conta no provedor de identidade vulnerável. O atacante cria uma conta com o LinkedIn, usando o endereço de e-mail da vítima. LinkedIn irá enviar um e-mail de verificação para a conta da vítima para garantir o que ele tem o controle do endereço de e-mail fornecido na criação da conta.

Uma vez que o atacante criou a conta LinkedIn ele vai usá-lo para fazer o login no Slashdot através do recurso de login sociais, selecionando LinkedIn como o provedor de identidade. O problema é que os provedores de identidade não passar as credenciais do usuário para o site de terceiros, transferindo apenas informações como um endereço de e-mail.

LinkedIn, Amazon e Vasco, todos os provedores de identidade, têm todos fixos ou tomado medidas para evitar tais aquisições de contas, após a notificação da IBM, disseram os pesquisadores. Mas o problema é que ambos os provedores de identidade e sites de terceiros que utilizam esses serviços devem estar conscientes.

O ataque que os abusos LinkedIn é demonstrado em um vídeo incluído em um  post de blog . O atacante cria uma conta com o LinkedIn, usando o endereço de e-mail da vítima.

LinkedIn irá enviar um e-mail de confirmação para a vítima para garantir que a pessoa tem o controle sobre o endereço. Mas para fins do atacante, isso não importa.

Depois que a conta LinkedIn é criado, o atacante vai para Slashdot e usa o recurso de login sociais, selecionando LinkedIn como o provedor de identidade. Provedores de identidade não passam junto com as credenciais de uma pessoa para o site de terceiros, mas não transferir informações, como endereço de e-mail.

O site Slashdot.org então verifica o endereço de e-mail da vítima que foi passado a ele pelo LinkedIn para a conta existente, permitindo que o invasor controlar a conta. A conta poderia, então, ser usado para postar links maliciosos, com pessoas que acreditam um contato confiável publicou o conteúdo.

Esteja ciente, o ataque só funciona se a vítima ainda não tiver uma conta com um provedor de identidade. As falhas no processo de login social são:

Slashdot.org não deve confiar no endereço de e-mail a menos que o provedor de identidade sabe que foi verificada.
O provedor de identidade não deve passar os dados do usuário até o endereço de e-mail foi confirmado.
Entrada social falha 2

Os especialistas explicaram LinkedIn resultou vulnerável porque usou uma versão obsoleta do protocolo OAuth para login social. LinkedIn também pode usar o OAuth 2.0, que não é afectada por uma falha no processo de autenticação.

O problema é que a maioria dos sites analisados ​​pelos peritos usa a versão vulnerável do LinkedIn como um provedor de identidade.

Os pesquisadores descobriram uma questão de segurança semelhante na Amazônia implementação de login social. LinkedIn, Amazon e Vasco já resolveram o problema após a notificação da IBM.

Pierluigi Paganini