Plugin de serviço do Google expõe 30 mil sites a vulnerabilidades e ataques maliciosos

Foi divulgada pela empresa de soluções de segurança RandomStorm vulnerabilidade relacionada a plugin que disponibiliza a blogs e sites o CAPTCHA, serviço de reconhecimento de acessos humanos (Teste de Turing) de adquirido pelo Google em setembro de 2009.

A vulnerabilidade Cross-Site Scripting (XSS) está presente no plugin WP-reCAPTCHA, utilizado em mais de 30 mil ocorrências de sites pesquisados pelo próprio sistema de buscas do Google.


O referido plugin, agora indisponível ante a divulgação da vulnerabilidade, poderia ser baixado nos links  http://www.google.com/recaptcha e http://wordpress.org/extend/plugins/wp-recaptcha .

A Prova de Conceito (POC) da vulnerabilidade é a seguinte:
http://localhost/comment-page-1/?rcommentid=(id number)&rerror=(XSS)

Pesquisando pela referência inurl:rcommentid= error= no Google, percebe-se que há mais de 30 mil ocorrências em sites do mundo inteiro.

fonte: http://wilfredoenrique.blogspot.com/2011/12/plugin-de-servico-do-google-expoe-30.html

Falha na encriptação WPA/WPA2 do roteador D-Link DIR-685

O US-Cert publicou uma notificação de vulnerabilidade a respeito do roteador D-Link DIR-685 Xtreme N.

Segundo a nota, foi reportado que o dispositivo, configurado com WPA/WPA2 e cifra AES com chave pré-compartilhada (PSK), falha durante uso pesado da rede. É aberta uma conexão não-criptografada e sem autenticação que fica disponível a atacantes que estejam nos perímetros físicos da rede. A conexão aberta se mantém até que o dispositivo seja reinicializado.

Ainda segundo o US-Cert, não há solução prática para o problema até agora.


Via: US-Cert Vulnerability Note

Vulnerabilidade no TCP / IP pode permitir execução remota de código

Microsoft Security Bulletin MS11-083 - Crítica
Vulnerabilidade no TCP / IP pode permitir execução remota de código (2588516)

Este mês foi lançado MS11-083 para resolver uma vulnerabilidade encontrada na pilha TCP / IP de várias edições do windows. Gostaria de dar mais informações sobre a exploração desta vulnerabilidade.

Vulnerabilidade

A vulnerabilidade se apresenta no cenário específico onde um atacante pode enviar um grande número de pacotes especialmente criados para uma porta UDP aleatória que não tem um serviço escutando. Durante o processamento desses pacotes de rede observa-se que algumas estruturas utilizadas são referenciados mas não são liberadas corretamente. Esta contagem de referência desequilibrada poderia eventualmente levar a um integer overflow do contador de referência.

Mais informações em:

http://technet.microsoft.com/en-us/security/bulletin/ms11-083

Hackers brasileiros usam o envenenamento de DNS para infectar usuários com Trojan bancário

Os servidores DNS retornaram endereços de um servidores Web que hospedam páginas falsificadas para distribuir exploits Java e Trojans bancáriosPesquisadores de segurança de fornecedores de antivírus Kaspersky Lab alertam que os criminosos invadiram os (Domain Name System) servidores DNS de vários provedores brasileiros e os usou para redirecionar os usuários para sites que distribuiu malware. 

Estes ataques ocorreram no últimos dias, mas eles não são novos para a região, de acordo com os especialistas da Kaspersky Lab. "Acreditamos que não é a última vez que isso acontece no Brasil e no futuro vamos ver mais ataques como este", disse Dmitry Bestuzhev, o chefe de pesquisa global da Kaspersky e da equipe de análise. 

"Esse tipo de ataque pode acontecer em qualquer lugar do mundo e, basicamente, ocorrem devido a vulnerabilidades por parte do ISP. A única coisa que pode ser feito neste caso do lado do ISP é ter certeza de que todos os servidores DNS são realmente protegidos ", acrescentou. 

O DNS é uma parte essencial da infra-estrutura de Internet e é utilizado para traduzir nomes de domínio em endereços IP (Internet Protocol) . Toda vez que os usuários tentam acessar um site no seu navegador, seu computador consulta um servidor DNS - geralmente fornecido pelo seu ISP - buscando o endereço IP correspondente. 

Nos últimos incidentes hackers modificaram os registros de DNS retornado por servidores ISP de sites populares, incluindo o Google Brasil, YouTube, Gmail, Hotmail e vários grandes portais de Internet brasileiros como Uol, Terra ou Globo.Em vez de responder com os IPs corretos correspondentes aos domínios, os servidores DNS retornaram o endereço de um servidor Web que hospeda páginas falsificadas que distribuiu exploits Java e Trojans bancários. 

Bestuzhev se recusou a nomear o ISPs afetados, citando razões de segurança, mas disse que os ataques provavelmente exploraram vulnerabilidades no software de DNS usados ​​pelos servidores comprometidos.DNSSEC, uma extensão de segurança que usa assinaturas digitais para verificar a autenticidade das respostas DNS é uma solução contra alguns desses ataques e deve ser adotada por todos os ISPs, o especialista em segurança Kaspersky disse.  

No entanto, ele não sabia se algum dos servidores afetados utilizado a tecnologia.Existem diferentes tipos de ataques de envenenamento de DNS, e para além de vulnerabilidades de software, administradores de servidores desonestos também são uma ameaça. Na semana passada, a Polícia Federal brasileira prendeu o funcionário de um ISP que usou o seu acesso aos servidores DNS da empresa para modificar manualmente os registros para determinados sites e direcionar usuários para páginas de phishing. 

A melhor solução para usuários que querem se proteger de tais ataques é usar os servidores DNS alternativos, como aqueles fornecidos pelo Google e outras organizações especializadas, Bestuzhev disse. 

No entanto, é melhor que os usuários usem os servidores DNS alternativos ao invés de configurarem cada um dos seus computadores individualmente. Isso porque também existem ataques que exploram vulnerabilidades em dispositivos de rede, para substituir os servidores DNS configurados com outros controlados por hackers.

fonte: 

http://www.infoworld.com/d/security/brazilian-hackers-use-dns-poisoning-infect-users-banking-trojan-178421

Grupo inicia ataque a instituições nacionais

São Paulo – O grupo de ativistas hackers iPirates Group anunciou que esta semana irá disparar diversos ataques virtuais contra instituições brasileiras.

A intenção dos hackers ativistas, que dizem ter ligação com o coletivo Anonymous, é chamar a atenção da população para empresas e instituições que de alguma forma prejudicam o desenvolvimento do país.

“Queremos que as pessoas abram os olhos para o mundo em que vivem. Um mundo dominado por um sistema que usa das mais imundas ferramentas para denegrir o nome do nosso país sem pensar nas consequências que isso poderá causar no futuro. [...] Nosso objetivo será atacar tudo e todos que tentam de alguma forma prejudicar nosso país, não teremos piedade e não teremos medo de ameaças. Esse aviso vale para todas grandes empresas e governos corruptos que mancham a imagem de nosso país e o afunda na lama”, afirma o grupo em comunicado.

O grupo divulgou em sua página no Twitter que daria início aos ataques a partir dessa segunda-feira (31/10). A primeira instituição atacada foi a página da BMF&Bovespa, a bolsa de valores de São Paulo.

Além da Bovespa, a página do banco Caixa Econômica Federal também ficou instável durante a manhã de hoje. Em testes realizados pela INFO, a página da Caixa ficou instável por alguns minutos durante o meio-dia de hoje (horário de Brasília). Já a Bovespa afirmou em seu Twitter ter sofrido “problemas técnicos” de acesso durante esta manhã.

O grupo não especificou o tipo de ataque que está realizando, mas é possível que a técnica utilizada seja a DDoS (ataques de negação de serviço), quando há acessos simultâneos massivos em uma mesma página a forçando a sair do ar.

“Estamos usando diversas técnicas de ataques, não posso revelar quais são. Vamos diversificar e iremos atacar durante a semana grandes empresas do país; esse será nosso recado a todos”, afirmou o grupo em contato com a INFO.

fonte: 

http://info.abril.com.br/noticias/seguranca/grupo-inicia-ataque-a-instituicoes-nacionais-31102011-34.shl

Recebi um phishing. O que fazer?

Phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir fotos e músicas e outros dados pessoais , ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial. Isto ocorre de várias maneiras, principalmente por email, mensagem instantânea, SMS, dentre outros.

Ao identificar o recebimento de um phising via email, é um importante fazer uma notificação no Centro de Atendimento a Incidentes de Segurança(CAIS), que pode ser acessdo por este link: http://www.rnp.br/cais/fraudes.php

A partir de 2008, todas as fraudes identificadas pelo CAIS estão sendo ordenadas de acordo com a data de distribuição e disponibilizadas para consulta, com o intuito de conscientizar a comunidade sobre os principais golpes que estão em circulação.

Adicionalmente, o CAIS envia alertas de segurança através da lista CAIS Alerta quando uma fraude mostra-se particularmente perigosa aos usuários de computadores.

Reporte fraudes:

• links maliciosos: artefatos@cais.rnp.br
• páginas falsas de instituições: phishing@cais.rnp.br

Estão abertas as inscrições para o Workshop de Segurança - Teste de Penetração II

Seguem abaixo as informações:


O Workshop de Teste de Penetração (Pen Test) tem o objetivo de apresentar as técnicas utilizadas pelos hackers e crackers em ataques reais e em Pentests. Serão apresentadas ferramentas para realização de ataques de man-in-the-middle e força bruta, criação de Trojans com o metasploit e exploração de buffer overflow com shellcode.

Carga Horária: 12h
Data prevista: 19/11/2011 e 26/11/2011
Horários: 9:00 horas ás 12:00 horas e 14:00 ás 17:00 horas 

Pré-requisitos: Conhecimentos básicos de redes, linux e windows.

Local:

Faculdade Alvorada, 516 Norte

Investimento:    até o dia 07/11 R$ 180,00
                         após o dia 07/11 R$ 250,00
                   

As incrições serão feitas pelo site:

http://www.cjr.org.br/workshop/

O objetivo deste Workshop é ser bem prático, teremos ofinicas de ataques de man-in-the-middle, metasploit, força-bruta, buffer-overflow, e exploração de falhas do windows XP usando integração do nessus com metasploit.

O Top 10 de firewalls de aplicações open source

Firewalls de aplicativos Web proporcionam segurança na camada de aplicação. Essencialmente, WAF fornece a todas as suas aplicações web uma solução segura para garantir a seguranças dos dados das aplicações.

Um firewall de aplicação web aplica um conjunto de regras nas requisições HTTP para identificar e restringir os ataques de cross site scripting, SQL injeções, e etc. Firewalls de Aplicação Web permite que você personalize as regras para a identificação e bloqueio de conteúdo malicioso. Alguns dos mais populares e amplamente utilizado open source firewalls de aplicações web para segurança de aplicações web são :

   1- ModSecurity (Trustwave SpiderLabs)

    ModSecurity é um dos firewall open source mais antigo e amplamente utilizado que consegue detectar as ameaças no nível de aplicação na internet, e garante a segurança contra uma série de questões de segurança para aplicações web. Ele pode ser integrado ao Apache. Recentemente, lançou o ModSecurity versão 2.6.0, que oferece recursos para integração API seguro de navegação, rastreamento de dados sensíveis e os recursos de modificação de dados.

    2 - AQTRONIX WebKnight

    AQTRONIX WebKnight é um firewall de aplicação de código aberto projetado especificamente para servidores web e IIS, e é licenciado através da GNU - General Public License. Ele fornece as características de buffer overflow, listagem de diretório, codificação e injeção de SQL para identificar e restringir os ataques.

    3 - ESAPI WAF

    ESAPI WAF é desenvolvido pela Segurança Aspect e é projetado para fornecer proteção na camada de aplicação, em vez de camada de rede. É um WAF baseado em Java, que fornece segurança completa de ataques online. Algumas das características únicas dessa solução incluem recursos de filtragem de saída, que reduzem o vazamento de informações. A configuração não é baseada no código, e isso facilita a instalação apenas adicionando detalhes de configuração no arquivo de texto.

    4 - WebCastellum

    WebCastellum é um aplicativo baseado em Java firewall web que podem proteger a aplicação contra cross site scripting, injeções SQL, injeções de comando, manipulação de parâmetros, e pode ser integrado facilmente a um aplicativo baseado em Java. É baseado em novas tecnologias e ele pode usar o código existente para fornecer proteção.

    5 - Binarysec

    Binarysec é um WAF para o Apache, e protege as aplicações contra HTTP ilegítimo e blocos de pedidos suspeitos também. Ele fornece proteção contra cross site scripting, as injeções de comando, buffer overflow, listagem de diretório, injeção de SQL e obstrução ataque. Não leva mais de 10 minutos para instalar o software, e sua interface com o usuário pode gerenciar os servidores Apache e muitos sites em uma máquina.

    6 - Guardian@JUMPERZ.NET

    Guardian@JUMPERZ.NET é um WAF para HTTPS / HTTP e avalia o tráfego HTTP / HTTPS para proteger a aplicação web de ataques externos. Guardian@JUMPERZ.NET desconecta imediatamente a conexão TCP quando a aplicação entra em contato com um pedido malicioso / não autorizado.

    7 - OpenWAF

    Arte de defesa é um San Francisco com que fornece segurança a aplicações, iniciou um projeto sobre OpenWAF open source em fevereiro de 2011. É também a primeira empresa a fornecer firewall de aplicação distribuído para servidores web Apache.

    8 - Ironbee

    Qualys é um WAF baseado em nuvem - Ironbee que examina o HTTP, em vez dos pacotes IP tradicionais para avaliar um conjunto de dados. Ele pode até mesmo controlar os ataques de cross site scripting. Ironbee é publicado através  da licença Apache versão 2 e não prevê qualquer cessão de direitos autorais. Ele tem uma estrutura modular e é bastante fácil de usar.

    9 - Profense

    ZION é um WAF semelhante ao ModSecurity, e é chamado Profense. O firewall de aplicação web fornecido pela Zion é essencialmente um firewall de camada 7 (que é também chamado de "firewall proxy") e inspeciona o tráfego para bloquear o conteúdo.

    10 - Paredes lisas

    Smoothwall fornece ferramentas de segurança forte na Web para gerenciar e-mails. O motor de web filtragem de Smoothwall é chamado DansGuardian. Tem regras de usuário flexível e um componente totalmente integrado para filtragem e segurança. Além do mais, ele fornece acesso autenticado à rede e bloqueio de tráfego. Smoothwall é um firewall livre que tem segurança reforçada pela Linux GNU OS também.


Proteção baseado na Internet também é fornecido por empresas que fornecem segurança na camada de rede com recursos como filtro de pacotes. Além disso, existem alguns outros tipos de firewalls que são projetados para garantir a segurança de banco de dados. Portanto, os critérios para a seleção de um WAF de código aberto deveriam ser os tipos de vulnerabilidades que o WAF pode prevenir e os requisitos exatos que sua empresa está tendo. Esta lista de open source firewalls de aplicações web seria, portanto, para ajudá-lo a determinar o WAF para a segurança de suas Webapp.

fonte:http://www.fromdev.com/2011/07/opensource-web-application-firewall-waf.html

Leandro Santos

PeePDF Ferramenta de análise de malware em PDF

Peepdf é uma ferramenta desenvolvida em Python para explorar e analisar arquivos PDF do ponto de vista de malware. O objetivo desta ferramenta é fornecer todos os componentes necessários que um pesquisador de segurança poderia precisar de uma análise de malware em PDF sem o uso de 3 ou 4 ferramentas para fazer todas as tarefas.

Com o peepdf é possível ver todos os objetos no documento mostrando os elementos suspeitos, suporta todos os filtros mais utilizados e codificações, ele pode analisar diferentes versões de um arquivo, fluxos de objeto e arquivos criptografados. Com a instalação de Spidermonkey e Libemu fornece Javascript e wrappers análise e também shellcode. Além destes, é capaz de criar novos arquivos de PDF e modificar os existentes.

Principais recursos:

• Decodings: hexadecimal, octal, name objects
  
• More used filters
  
• References in objects and where an object is referenced
  
• Strings search (including streams)
  
• Physical structure (offsets)
  
• Logical tree structure
  
• Metadata
  
• Modifications between versions (changelog)
  
• Compressed objects (object streams)
  
• Analysis and modification of Javascript (Spidermonkey): unescape, replace, join
  
• Shellcode analysis (sctest wrapper, Libemu)
  
• Variables (set command)
  
• Extraction of old versions of the document 

Para maiores detalhes e informações, visite project page of PeePDF

Leandro Santos

Sites do Exército são novamente atacados por grupo hacker

Diversos sites do Exército brasileiro saíram do ar na tarde deste domingo, depois de um novo ataque de hackers. O grupo Fatal Error Crew, o mesmo que roubou dados do Exército há poucos dias, reivindicou o ataque em sua conta do Twitter.

Os sites derrubados são aqueles com extensão .eb.mil.br. São sites de batalhões e departamentos específicos do Exército pelo país. Segundo o Twitter do grupo, são 200 os sites derrubados. Um representante do grupo Fatal Error Crew já deu entrevista ao iG.

Segundo o Centro de Comunicação Social do Exército (Cecomsex), os sites com essa extensão saíram do ar neste domingo porque foi verificado um excesso de demandas no provedor de acesso do Exército. Por questão de segurança, alguns desses sites foram retirados do ar. O Cecomsex informa que, a princípio, estão descartados roubos de dados da rede. De qualquer forma, o evento é investigado pelo Centro de Tratamento de Incidentes, ligado ao Centro Integrado de Telemática do Exército (Citex), cujo site também saiu do ar.
Por volta das 19h50 deste domingo, o Cecomsex confirmou o restabelecimento dos sites.

No Twitter, o grupo Fatal Error Crew diz que o ataque deste domingo foi feito para mostrar que o Exército ofereceria apenas uma ilusória "realidade de segurança".

Fonte: http://migre.me/57Gd9

Leandro Santos

Introdução a Shellcode

Shellcode é definido como um conjunto de instruções injetado e, em seguida, executado por um programa explorado. Shellcode é usado para manipular diretamente os registradores e funções de um programa, por isso é geralmente escrito em assembler e seus opcodes são traduzido para hexadecimal. Você não pode tipicamente injetar shellcode escrito a partir de uma linguagem de alto nível, e há nuances sutis que irá impedir que o shellcode seja executado de forma limpa. Isto é o que torna a escrita um pouco difícil, e também um pouco de uma arte negra.

O termo shellcode é derivado de seu propósito original, que era especificamente parte de um exploit usado para gerar um shell root. Este ainda é o mais comum tipo de shellcode usado, mas muitos programadores têm refinado o shellcode para fazer mais do que isso. O shellcode é colocado em uma área de entrada, e então o programa é levado a executar o shellcode fornecido. Geralmente explorando estouro de buffer e/ou de pilha.

Entender Shellcode, e eventualmente, escrever seus próprios é, por muitas razões, uma habilidade essencial. Em primeiro lugar, a fim de determinar que uma vulnerabilidade realmente existe, primeiro você deve explorá-la. Isto pode parecer senso comum, mas um grande número de pessoas lá fora estão dispostos a indicar se uma vulnerabilidade pode ser explorada ou não sem fornecer evidências sólidas. Ainda pior, às vezes um programador diz que uma vulnerabilidade não é explorável, enquanto ela realmente é (geralmente porque o descobridor original não poderia descobrir como explorá-la e assumiu que porque ele ou ela não poderia descobrir isso, ninguém mais poderia). Além disso, fornecedores de software, muitas vezes, lançam um aviso de uma vulnerabilidade, mas não fornecem um exploit. Nestes casos, você pode ter que escrever o seu próprio shellcode se você deseja criar um exploit, a fim de testar o bug em seus próprios sistemas.

Enviando emails com anexo em PHP

Para que este exemplo funcione corretamente é necessário que um servidor SMTP este configurado no arquivo php.ini

<?php

// criação do email
$to = "destino@dominio.com";
$from = "remetente@dominio.com";
$subject = "Enviado dia".date('d_m_Y');
$message = "Segue em anexo o arquivo pedido.";

// um hash randômico deve ser enviado com o conteúdo da mensagem
$separator = md5(time());

// tipo carriage return (usamos em PHP a constante de fim de linha)
$eol = PHP_EOL;

// nome do anexo que aparecerá no email
$filename = "arquivo_".date('d_m_Y').".txt";
// Abrindo o arquivo local para ser anexado
$arq = fopen("arquivo.txt","r");
//Calculando o tamanho do arquivo
fseek($arq,0,SEEK_END);
$tamanho = ftell($arq);

/*
*Coloque aqui um tratamento limitando o tamanho 
*do arquivo, pois os emails possuem um limite máximo
*para o tamanho do arquivo em anexo
*/

//Rebobiando o ponteiro do descritor do arquivo
rewind($arq);

//Carregando o arquivo para memório
$doc = fread($arq,$tamanho);
fclose($arq);

// codificando os dados (colocando o anexo no formato correto)
$attachment = chunk_split(base64_encode($doc));

// cabeçalho principal 
$headers = "From: ".$from.$eol;
$headers .= "MIME-Version: 1.0".$eol;
$headers .= "Content-Type: multipart/mixed; boundary=\"".$separator."\"".$eol.$eol;
$headers .= "Content-Transfer-Encoding: 7bit".$eol;
$headers .= "This is a MIME encoded message.".$eol.$eol;
 
// mensagem
$headers .= "--".$separator.$eol;
$headers .= "Content-Type: text/html; charset=\"iso-8859-1\"".$eol;
$headers .= "Content-Transfer-Encoding: 8bit".$eol.$eol;
$headers .= $message.$eol.$eol;

// anexo
$headers .= "--".$separator.$eol;
$headers .= "Content-Type: application/octet-stream; name=\"".$filename."\"".$eol;
$headers .= "Content-Transfer-Encoding: base64".$eol;
$headers .= "Content-Disposition: attachment".$eol.$eol;
$headers .= $attachment.$eol.$eol;
$headers .= "--".$separator."--";
 
// enviando a mensagem
if (!mail($to, $subject, "", $headers))
echo "Erro ao enviar arquivo. Favor Contate seu administrador!";
else
   echo "Email enviado com sucesso!";

?> 

Leandro Santos

Workshop de Segurança da Informação - Teste de Penetração I

Estão abertas as inscrições para o segundo Workshop de Segurança - Teste de Penetração I

Seguem abaixo as informações:

O workshop de Teste de Penetração (PenTest) tem o objetivo de apresentar as metodologias de Pentest em Aplicações Web, além disso serão feitas oficinas práticas de ataques a aplicações vulneráveis, com uso de Ferramentas disponíveis no Backtrack5.
Carga Horária: 12h
Data prevista: 09/07/2011 e 10/07/2011
Horários: 9:00 horas ás 12:00 horas e 14:00 ás 17:00 horas
Pré-requisitos: Conhecimentos básicos em PHP, Redes, Linux e SQL (não obrigatório)
Local: Campus Universitário Darcy Ribeiro, Ala Norte, Laborátorio de Informática da UnB (LINF),
Investimento: 10/06-17/06 R$ 100
                         18/06- 24/06 R$ 150
                         25/06- 01/07 R$ 200
                         02/07- 09/07 R$ 250

 Para quem participou do primeiro módulo a inscrição será de R$ 70

As incrições serão feitas pelo site:

http://www.cjr.org.br/workshop/

O objetivo deste Workshop é ser bem prático, teremos oficinas de injeção de SQL Injection, XSS, além do uso do Backtrack 5, distribuição linux mais usada em teste de penetração.

Por favor me ajude a divulgar.

Leandro Santos

Metasploit

Criado por H. D. Moore, framework Metasploit é voltado para a elaboração e execução de exploits ( porções de dados ou sequências de comandos que aproveitam de vulnerabilidades do sistema). Segundo o site do projeto, o Metasploit é "tanto um sistema para teste de invasão quanto um plataforma de desenvolvimento para criar ferramentas de segurança e exploits."

O Metasploit é uma ferramenta popular presenta na caixa de ferramentas dos especialistas em prevenção de intrusos. Ele permite que você empregue sistematicamente as mesmas técnicas de ataques à redes usadas por invasores veteranos, através de diversos módulos, que implementam um tipo de ataque específico. Assim que novos ataques são registrados, módulos correspondentes são adicionados ao framework, mantendo o sistema atualizado com os últimos exploits e técnicas de ataque. Teste de penetração com o Metasploit podem identificar incontáveis problemas de segurança que tornam sua rede vulnerável.

Segundo a equipe de desenvolvimento do programa, "a função básica do framework é atuar como um lançador de módulos, permitindo ao usuário configurar um módulo exploit e lançá-lo em um sistema alvo. Se o exploit obtiver êxito, o payload (carregamento) é executado no alvo e o usuário consegue uma linha de comando para interagir com o payload. Centenas de exploits e dúzias de opções de payloads estão disponíveis."

Fonte: Revista linux magazine, por Hans-Peter Merkel e Markus Feilner 

Leandro Santos

Vírus para IOS distribuídos através do Safari ganham força

Um hacker descobriu uma maneira de quebrar o núcleo IOS a partir  do Safari e está usando o exploit para distribuir um vírus com ele. Os links que hospedam o vírus agora são anunciados como sites que poderiam desbloquear o dispositivo. O programa o falso usa o nome "UNLOCK AGORA LIVRE"  como um disfarce. No entanto vai o link só apaga todos os dados em seu dispositivo IOS e seu cartão SIM. Após pressionar o link, dez a quinze segundos mais tarde você vai ver "DOWNLOAD NOW FREE UNLOCK 2"antes tudo é apagado.

É claro que isso poderia ser potencialmente devastador, mas o lado bom é que as suas informações pessoais não é roubada. Era só uma questão de tempo antes dos vírus IOS começaram a aparecer. Felizmente não têm sido muitas e nenhuma delas conseguiu atingir o potencial que um vírus em um smartphone é capaz de fazer.

Todos os dispositivos rodando IOS 4 são capazes de adquirir o vírus. Apple pode (não é confirmado) ter bloqueado o acesso do vírus com o IOS 4.3.2, mas uma quantidade significativa de pessoas não atualizaram estão em risco.

fonte: http://www.iphonealley.com/news/ios-virus-acquirable-through-safari-gaining-momentum


Leandro Santos

Avast encontra exploit em PDF invisível para os programas antivírus

O truque envolve esconder um exploit do Adobe Reader comum num arquivo PDF comum que aparece ao software antivírus como uma imagem inofensiva

Os criminosos começaram a usar uma imagem obscura para tornar todos os arquivos PDF maliciosos, mas invisível para muitos programas de antivírus, Avast (empresa de segurança de software), disse.
O truque envolve esconder um exploit do Adobe Reader comum um arquivo comum PDF (Portable Document Format) por codificação com o filtro JBIG2Decode, normalmente utilizada para minimizar o tamanho dos arquivos ao incorporar monocromática TIFF (Tagged Image File Format) imagens dentro de PDFs.
[Saiba como bloquear o vírus, worms e outros malwares que ameaçam seu negócio, com as mãos sobre o conselho de contribuintes InfoWorld especialista em "Malware Deep Dive" InfoWorld guia em PDF. ]
Como o conteúdo aparece para o software antivírus como uma imagem TIFF inofensivo bidimensional, o exploit passa despercebido.
"Quem teria pensado que um algoritmo puro de imagem poderia ser usado como um filtro padrão em qualquer fluxo de objeto que você quer?", Disse o analista de vírus Avast, Jiri Sejtko, em um blog. "E essa é a razão pela qual o scanner não foi bem sucedido na decodificação do conteúdo original. O qual não esperava tal comportamento"
Parte do problema foi o espaço oferecido pela especificação PDF para usar filtros, como JBIG2Decode de forma inusitada, e até mesmo para usar vários deles ao mesmo tempo em camadas, disse ele.
A vulnerabilidade TIFF sendo alvo é CVE-2010-0188 de fevereiro de 2010, o que afeta as versões do Adobe Reader 9.3 ou anteriores em execução no Windows, Mac e Unix. As versões atuais, Reader X 10.x, não são afetados, embora muitos usuários continuam usando versões mais antigas.
Além disso, os pesquisadores acreditam que a técnica Avast de filtro JBIG2Decode, está sendo usado para esconder outros malwares, inclusive, um exploit de fonte TrueType  de setembro de 2010 afetando Reader 9.3.4 sendo executado em todas as plataformas.
Traduzido de http://mcaf.ee/68rjs

Desculpem qualquer erro de tradução


Leandro Santos

OWASP Hackademic Challenges Project

O OWASP Hackademic Challenges Project é um projeto open source que ajuda você testar seus conhecimentos sobre segurança de aplicações web. Você pode usá-lo para realmente atacar aplicações web em um ambiente realista, mas também controlável e segura.

A competição começa em 21 de abril e terá a duração de quatro semanas até 15 de maio.

Cada semana uma série de desafios vão ser liberados de acordo com o cronograma abaixo:

     * Semana 1 (21 de abril)
     * Semana 2 (28 de abril)
     * Semana 3 (05 de maio)
     * Semana 4 (12 de maio)



Uma vez que a competição terminou, o vencedor (primeiro lugar no Top 10) receberão um bilhete grátis para OWASP AppSec Europa 2011





 Acesse o desafio no seguinte endereço:
http://www.hackademic.eu/index.php


Leandro Santos

Segurança na Web: Uma Janela de Oportunidades

O OWASP Brasil, em março de 2011, publicou um documento que é uma mensagem ao governo brasileiro, com intuito de que o Brasil fosse mais competitivo no mercado de segurança de softwares, e porque não dizer um pioneiro.

O OWASP (Open Web Application Security Project) é uma comunidade mundial e aberta, focada em melhorar a segurança dos sistemas de software e conta com diversos capítulos em cidades brasileiras. Este documento apresenta a visão da comunidade brasileira do OWASP sobre como o governo brasileiro pode atuar para melhorar a segurança na Internet.

Neste documento, são apresentadas sugestões e recomendações a respeito de políticas públicas, legislação e outras atividades que poderia contribuir para a melhoria do ambiente de segurança na internet brasileira.

As recomendações são divididas conforme o foco de cada órgão:

1. legisladores
2. defesa do consumidor
3. controle
4. ensino e pesquisa
5. todos os órgãos públicos

As recomendações não tem dependências entre si, mas acreditamos que a máxima eficácia ocorre com a implementação de todas as recomendações. A melhoria da segurança na Internet brasileira poderia trazer diversas vantagens competitivas para o país, como a atração de investimentos, capacitação de mão-de-obras e o desenvolvimento de uma indústria capaz de exportar produtos e serviços de alto valor agregado.

Os especialistas brasileiros participantes do OWASP estão dispostos a contribuir para que o país avance na direção certa e podem servir de corpo consultivo ou de ligação com especialistas estrangeiros, caso seja necessário. O OWASP não tem fins lucrativos e os especialistas envolvidos trabalham como voluntários.

Acesse o documento completo:

https://www.owasp.org/images/1/16/Seguranca_na_web_-_uma_janela_de_oportunidades.pdf

Criando um layout moderno

Este esquema é muito popular em aplicações modernas em que a GUI é composta de múltiplos painéis aninhados com barras de divisão e regiões recolhíveis. Aqui está um exemplo que pode ser usado como um layout para as suas aplicações como visto abaixo:

Como fazer isso:

1. Crie os panéis da aplicação:

northPanel={
	title: 'North Panel',
	region: 'north',
	height: 150,
	minSize: 75,
	maxSize: 250,
	cmargins: '0 0 5 0'
}
southPanel={
	title: 'South Panel',
	region: 'south',
	height: 150,
	minSize: 75,
	maxSize: 250,
	cmargins: '5 0 0 0'
}
westPanel={
	title: 'West Panel',
	region: 'west',
	margins: '0 0 0 0',
	cmargins: '0 5 0 0',
	width: 175,
	minSize: 100,
	maxSize: 250
}
eastPanel={
	title: 'East Panel',
	region: 'east',
	margins: '0 0 0 0',
	cmargins: '0 0 0 5',
	width: 175,
	minSize: 100,
	maxSize: 250
}
centerPanel={
	title: 'Center Panel',
	collapsible: false,
	region: 'center',
	margins: '0 0 0 0'
}

2. Agora crie o container e insira os painéis nele:

var container=new Ext.Viewport({
	layout: 'border',
	defaults: {
		collapsible: true,
		split: true,
		bodyStyle: 'padding:15px'
	},
	items: [northPanel, southPanel,
		westPanel, eastPanel, centerPanel
		]
});

Leandro Santos

Workshop de Segurança

Olá a todos

Estou divulgando meu primeiro Workshop de segurança.

Informações no seguinte endereço: http://www.cjr.org.br/workshop/

Leandro Santos

Exemplo de Uso do Accordion Layout em ExtJS

Empilhando itens com accordion layout

Muitas aplicações precisam mostrar numa mesma tela vários paineis que só precisam aparecer um por vez, uma boa solução é usar o accordion layout, como no exemplo abaixo:

Como fazer isso:

1. Crie o panel principal:

panel1=new Ext.Panel({
 title: 'Mail',
 items: [{
  xtype: 'treepanel',
  id: 'inbox-tree',
  autoScroll: true,
  animate: true,
  enableDD: true,
  containerScroll: true,
  border: false,
  dataUrl: 'mail-folders.php',
  root: {
   nodeType: 'async',
   text: 'MailBox',
   draggable: false,
   id: 'mailbox'
  }
 }]
});

Arquivo mail-folders.php

<?php 
$node = "";
if (isset($_REQUEST["node"])) {
 $node = $_REQUEST["node"];
}
if ($node == 'mailbox') {
  echo "[{id: 0,text: 'Drafts'},{id: 1,text: 'Inbox'},{id: 2,text: 'Junk E-mail'},{id: 3,text: 'Sent Items'}]";
}

?>

2. Crie o panel do Calendário:

panel2=new Ext.Panel({
 title: 'Calendar',
 bodyStyle: 'padding:10px',
 items: [{ 
  xtype: 'datepicker',
  style: 'border:0'
 }]
});

3. Crie o panel de Contatos:

panel3=new Ext.Panel({
 title: 'Contacts',
 bodyStyle: 'padding:10px',
 items: [{ xtype: 'fieldset',
  title: 'Current View',
  autoHeight: true,
  bodyStyle: 'padding:3px',
  items: [
   { xtype: 'radio', boxLabel: 'Address Cards',
   hideLabel: true, name: 'contacts-view', checked: true },
   { xtype: 'radio', boxLabel: 'Phone List',hideLabel: true, name:'contacts-view' },
   { xtype: 'radio', boxLabel: 'By Category',hideLabel: true, name: 'contacts-view' },
   { xtype: 'radio', boxLabel: 'By Location',hideLabel: true, name: 'contacts-view'}]
  }]
});

4. Agora posicione os panels num container e expanda os nós da raiz da árvore:

var container=new Ext.Panel({
 title: 'Accordion Layout',
 width: 200,
 height: 350,
 applyTo: 'accordion-panel',
// Displays one item at a time in a stacked layout.
 layout: 'accordion',
 items: [panel1, panel2, panel3]
});
// Expand the root node of the tree.
Ext.getCmp('inbox-tree').getRootNode().expand();

O truque para os painéis empilhados reside na especificação de um AccordionLayout como opção de layout para o panel (container) que contém os outros.


Leandro Santos

Como detectar browsers e plataformas usadas pelo cliente em EXTJS

Embora Ext JS seja uma biblioteca cross-browser, existem casos em que seu aplicativo precisa ter um comportamento diferente, dependendo do navegador do usuário ou plataforma. A detecção do browser e da plataforma são tarefas muito simples, com Ext JS.

Você pode detectar vários navegadores e plataformas utilizadas por seus clientes da seguinte forma:

• Você pode usar Ext.isChrome para descobrir se o navegador detectado é o Chrome :

var browser = "";
if (Ext.isChrome) {
browser = "Hi! I'm the new kid on the block";
}

• Os navegadores como o Mozilla Firefox e que usam o motor de renderização Gecko são detectados com Ext.isGecko, Ext.isGecko2 e Ext.isGecko3:

if (Ext.isGecko) {
browser = "Gecko";
}
if (Ext.isGecko2) {
browser = "Gecko2";
}
if (Ext.isGecko3) {
browser = "We like Firefox!";
}

• Internet Explorer

if (Ext.isIE) {
browser = "IE";
}
if (Ext.isIE6) {
browser = "Get a decent browser, now!";
}
if (Ext.isIE7) {
browser = "IE7";
}
if (Ext.isIE8) {
browser = "IE8";
}

• Opera

if (Ext.isOpera) {
browser = "Opera";
}

• Safari

if (Ext.isSafari) {
browser = "Safari";
}
if (Ext.isSafari2) {
browser = "Safari2";
}
if (Ext.isSafari3) {
browser = "Safari3";
}
if (Ext.isSafari4) {
browser = "Safari4";
}

• Plataforma Adobe Air

var platform = "";
if (Ext.isAir) {
platform = "Air";
}

• Linux

if (Ext.isLinux) {
platform = "Linux";
}

• Mac OS

if (Ext.isMac) {
platform = "Mac";
}

• Windows

if (Ext.isWindows) {
platform = "Windows ";
}

Leandro Santos

Introdução ao desenvolvimento para Android - Ativando Componentes

Os content providers são ativados quando se tornam alvos de uma requisição de um ContentResolver. Os outros três componentes —atividades , serviços, e broadcast receivers — são ativados por mensagens assíncronas chamadas intentos. Um intento é um objeto Intent que carrega o conteúdo da mensagem. Para atividades e serviços, ele indica a ação solicitada e especifica a URI dos dados sobre os quais atuar, dentre outras coisas. Por exemplo, ele pode transmitir um pedido para uma atividade para mostrar uma imagem ao usuário ou permitir que o usuário edite algum texto. Para broadcast receivers, o objeto Intent indica a ação anunciada. Por exemplo, ele pode anunciar às partes interessadas que o botão da câmera foi pressionado.

Existem métodos distintos para ativar cada tipo de componente:

• Uma atividade é lançada (ou recebe alguma coisa pra fazer) passando-se um objeto Intent para Context.startActivity() (inicia uma atividade da qual não se espera retorno) ou Activity.startActivityForResult()(usado quando se espera um resultado de volta da atividade que ela está iniciando). Uma atividade frequentemente inicia uma próxima. A atividade responsável pode analizar o intento inicial que a fez ser lançada chamando seu método getIntent().   O Android chama o método onNewIntent() da atividade para passar quaisquer intentos subsequentes.

O método startActivityForResult() é usado por exemplo, para iniciar uma atividade que permite ao usuário selecionar uma foto, ela deve espera que seja retornada a foto escolhida. O resultado é retornado em um objeto Intent que é passado para o método onActivityResult() da atividade requerente.

• Um serviço é iniciado (ou novas instruções são dadas para o serviço em execução) passando-se um objeto Intent para Context.startService(). O Android chama o método onStart() do serviço passando-lhe o objeto Intent.

Da mesma forma, um intento pode ser passado para Context.bindService() para estabelecer uma conexão em execução entre o componente requerente e o serviço-alvo. O serviço recebe o objeto Intent através de uma chamada a onBind(). (Se o serviço não estiver rodando, bindService() pode opcionalmente iniciá-lo.) Por exemplo, uma atividade poderia estabelecer uma conexão com o serviço de playback de música mencionado anteriormente de forma a permitir que o usuário controlasse (através de uma interface de usuário) o playback. A atividade chamaria bindService() para preparar a conexão, e então chamaria métodos definidos pelo serviço para afetar o playback.
A seção Remote procedure calls, fornece mais detalhes sobre ligação (binding) a um serviço.

• Uma aplicação pode iniciar um broadcast passando um objeto Intent para métodos como Context.sendBroadcast(), Context.sendOrderedBroadcast(), e Context.sendStickyBroadcast() em qualquer uma de suas variações. O Android entrega o intento para todos os broadcast receivers interessados chamando seus métodos onReceive().

Para saber mais sobre intent messages, veja o artigo à parte, Intents and Intent Filters.

adaptado de http://zendroid.com.br/documentacao/principios-basicos-da-aplicacao-–-parte-2-intentos/
Leandro Santos