Vírus no programa nuclear do Irã toca música do AC/DC

Um vírus peculiar atacou computadores de usinas nucleares do Irã. De acordo com cientistas do país, ao entrar no sistema, o vírus começa a tocar a música “Thunderstruck” da banda australiana AC/DC.

Essa não é a primeira vez que o programa nuclear iraniano é atingido por vírus.

O Irã acusa os Estados Unidos e Israel de serem responsáveis pelo ataque cibernético.

Fonte: http://g1.globo.com/tecnologia/noticia/2012/07/virus-no-programa-nuclear-do-ira-toca-musica-do-acdc.html

Estatísticas do CERT.br: Incidentes -- 2o trimestre de 2012

Estão disponíveis em http://www.cert.br/stats/incidentes/ as estatísticas dos incidentes reportados ao CERT.br no segundo trimestre de 2012.
O número total de notificações de incidentes no segundo trimestre de 2012 foi um pouco maior que 114 mil, o que corresponde a um aumento de 30% em relação ao trimestre anterior e a uma queda de 10% em relação ao mesmo trimestre de 2011.
Abaixo segue uma análise de alguns fatos de interesse observados neste período, agrupados em categorias distintas.
Tentativas de Fraude

• As notificações relacionadas a tentativas de fraudes apresentaram crescimento de 65% em relação ao trimestre anterior e de 127% em relação ao mesmo período de 2011;
• Em relação ao primeiro trimestre de 2012, houve um aumento de 89% no número de notificações de páginas falsas de instituições financeiras e sites de comércio eletrônico (phishing clássico). Já em relação ao mesmo período de 2011, o crescimento foi de 184%. O phishing clássico continua representando mais da metade das notificações desta categoria;
• As notificações sobre cavalos de Troia, utilizados para furtar informações e credenciais, que representam 31% das notificações de tentativas de fraudes, cresceram 43% em relação ao primeiro trimestre de 2012 e 49% em relação ao segundo trimestre de 2011;
• Neste segundo trimestre, observamos um crescimento de quase 4% no número de notificações de páginas falsas não relacionadas a serviços financeiros ou comércio eletrônico em relação ao primeiro trimestre de 2012, entretanto, o número de notificações recebidas foi pouco mais de 5 vezes maior que o número de notificações recebidas no segundo trimestre de 2011.

Ataques a servidores Web

• As notificações sobre ataques a servidores Web cresceram 11% em relação ao trimestre anterior e 176% em relação ao mesmo período de 2011;
• Os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, cavalos de Troia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam.

Computadores comprometidos

• No segundo trimestre de 2012 recebemos mais de 1.000 notificações de máquinas comprometidas. Este total foi quase 30% menor do que o número de notificações recebidas no primeiro trimestre de 2012 e quase 60 vezes maior que o número de notificações recebidas no segundo trimestre de 2011.
• A grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).

Varreduras e propagação de códigos maliciosos

• As notificações referentes a varreduras cresceram 43% em relação ao trimestre anterior e aumentaram 81% em relação ao segundo trimestre de 2011;
• As notificações de varreduras SMTP (25/TCP) continuam em destaque, atingindo quase 40% do total, no trimestre anterior elas atingiram quase 26% do total. A maior parte das reclamações foram referentes a computadores brasileiros, conectados via banda larga, que tentaram identificar relays abertos fora do Brasil, com o intuito de posteriormente enviar spam;
• Notificações relacionadas a servidores proxy, 8080/TCP e 1080/TCP também estão sendo visadas, correspondendo a cerca de 2% das notificações cada uma. Estes serviços também podem ser explorados para o envio de spam;
• O serviço de RDP (3389/TCP) tem sido visado desde o terceiro trimestre de 2011. Neste trimestre ele corresponde a 15% das notificações, ultrapassando o SSH (22/TCP) com 12% das notificações de incidentes de varredura. Os serviços TELNET (23/TCP) e FTP (21/TCP) ainda têm sido visados e correspondem a, respectivamente, quase 3% e menos de 1% das notificações de varreduras do segundo trimestre de 2012;
• As notificações de atividades relacionadas com propagação de worms e bots (categoria worm) totalizaram 9.115 incidentes neste trimestre, representando uma queda de 33% em relação ao primeiro trimestre de 2012. No segundo trimestre de 2012 as notificações quase triplicaram em relação ao segundo trimestre de 2011.

Outros incidentes reportados

• No segundo trimestre de 2012 recebemos um pouco mais de 33 mil notificações que se enquadraram na categoria "outros", correspondendo a um acréscimo de 44% em relação ao trimestre anterior e a uma queda de 62% em relação ao mesmo período de 2011;
• As notificações desta categoria são em sua maioria relacionadas a 2 tipos de incidentes: máquinas brasileiras tentando acessar arquivos de configuração de códigos maliciosos e servidores Web hospedando páginas maliciosas que infectam máquinas dos usuários através do método "drive-by-download".

CERT.br divulga estatísticas de incidentes reportados no segundo trimestre de 2012

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) divulgou essa semana as estatísticas dos incidentes reportados no segundo trimestre de 2012. A quantidade de notificações de incidentes – aproximadamente 114 mil – foi 30% maior do que o primeiro trimestre deste ano, porém representa uma queda de 10% em relação ao segundo trimestre de 2011.

O tipo de ataque que mais cresceu foi o das tentativas de fraude: foram notificadas mais 65% em relação ao trimestre anterior, um aumento de 127% em relação ao mesmo período de 2011. Um tipo específico de ataque, o de phishing (uso de páginas falsas imitando sites, com o objetivo de capturar senhas ou dados bancários) aumentou respectivamente 89% e 184%, para sites de instituições financeiras e de comércio eletrônico, e foi mais de 5 vezes maior do que no ano passado para sites que não os de bancos e lojas online, como páginas que permitem roubo de senhas de serviços como Gmail e Facebook.

Outro dado que chama a atenção: o CERT.br registrou mais de 1000 notificações de máquinas comprometidas (em sua maioria, servidores que tiveram páginas desfiguradas, o defacement), que foi 30% menor que o primeiro trimestre de 2012 porém 60 vezes maior que o número de notificações recebidas no segundo trimestre de 2011.

Veja os dados em detalhes, incluindo estatísticas de envio de spams e serviços como RDP, SSH, TELNET eFTP em CERT.br/stats/incidentes.

Fonte:http://www.seginfo.com.br/cert-br-divulga-estatisticas-de-incidentes-reportados-no-segundo-trimestre-de-2012/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+seginfo+%28Blog+SegInfo+-+Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o+-+Tecnologia+-+Not%C3%ADcias%2C+Artigos+e+Novidades%29

Hash Kracker

Kracker Hash é a ferramenta livre  tudo-em-um para recuperar a senha de hash para vários tipos de hash. Você pode usar esta ferramenta para recuperar uma senha para tipos populares de hash como MD5, SHA1, SHA256, SHA384, SHA512.

Ela utiliza um método baseado em dicionário que torna a operação de cracking simples e fácil. Você pode encontrar boa coleção de senhas (também chamado de lista de palavras) aqui e aqui

Embora ela suporte apenas o método crack Dictinary, você pode facilmente usar uma ferramenta como o Crunch, Cupp para gerar um arquivo de lista personalizada senhas e usá-lo com o 'Hash Kracker".


Hash Kracker é uma ferramenta totalmente portátil e também vem com o instalador para apoiar a instalação local e desinstalação.

Ela funciona em uma ampla gama de plataformas a partir do Windows XP até o Windows 8.

Screenshot:



Fonte: http://securityxploded.com/hash-kracker.php

Android Forums é hackeado

O Android Forums, uma comunidade online para usuários do sistema móvel da Google, foram vítimas de um ataque hacker que possivelmente comprometeu informações e senhas dos internautas, disse um administrador do Phandroid.com, na quinta-feira (12/7).

Desde terça-feira, logo após a descoberta de que o servidor que hospeda a página estava comprometido e o banco de dados do site fora invadido, membros da comunidade Android foram aconselhados a mudarem suas senhas do fórum e de outros sites que possam utilizar as mesmas informações de acesso. 

"O banco de dados dos usuários foi, no mínimo, acessado", disse um administrador da comunidade, conhecido como Phases, em um post no site. Segundo ele  é perfeitamente possível que todos os dados tenham sido baixados, e o fórum está tomando providências partindo do princípio de que isso, de fato, aconteceu.

De acordo com o post, o banco de dados continha informações sobre IDs, nomes, e-mails, senhas criptografadas e endereços de IP.

Depois do incidente, as senhas foram modificadas em sequências aleatórias, começando com cerca de 100 elementos. Todos os códigos dentro do banco de dados e o sistema de arquivos também foi revisado em busca de edições maliciosas e uploads. Outros sites da rede não foram acessados.

A invasão foi, provavelmente, uma tentativa de coleta de e-mails, segundo declarações do administrador da comunidade. "Um spammer poderia, teoricamente, tentar roubar e-mails de todos os usuários com o banco de dados. Parece que violações de segurança são, infelizmente, apenas um sinal de nossos tempos", disse Phandroid, se referindo às invasões que também aconteceram ao Yahoo e ao Formspring durante a semana. Ele também disse que está procurando por um teste de penetração que possa ajudá-lo.

Na quinta-feira (12/7),  um grupo de hackers publicou na internet uma lista de 450 mil credenciais de acesso que foram supostamente roubadas de um banco de dados associado a um serviço do Yahoo.

A rede social Formspring, afirmou na terça-feira (10/7) que também teve sua segurança violada e, possivelmente, senhas de 420 mil usuários foram roubadas e postadas em um fórum. A companhia desabilitou todos as senhas e solicitou a 28 milhões de usuários que as modificassem no próximo acesso.

Fonte: http://bit.ly/N5M97g

Servidores do Yahoo! são atacados; hackers obtêm 450.000 senhas de usuários

Cerca de 450.000 senhas e outros dados de usuários do "Yahoo Voices" foram subtraídos por um grupo hacker autodenominado D33DS Company, hoje.

Conforme informações da CNET, o grupo usou uma técnica conhecida como "SQL Injection", que  tira vantagem de falhas de segurança em bancos de dados, inserindo instruções em linguagem SQL na base.

Em comunicado divulgado na Internet, o grupo hacker esclareceu que não possui qualquer intenção de utilizar as informações vazadas. Sua intenção, de acordo com o texto, é alertar a comunidade de usuários e os administradores do Yahoo das profundas falhas de segurança que os serviços da empresa escondem há tempos.

Fonte: Fonte: http://www.superdownloads.com.br/materias/servidores-do-yahoo-atacados-hackers-obtem-450-00-senhas-de-usuarios.html#ixzz20Uf7TJgv

Malware é capaz de infectar Windows, Mac OS X e Linux

Um novo malware foi detectado e utiliza arquivos JAR auto-assinados como parte de um ataque de engenharia social para instalar uma backdoor no sistema. O arquivo JAR, que parece ter sido gerado com o Social Engineer Toolkit da TrustedSec, é capaz de instalar o malware no Windows, Mac OS X e Linux; quando um usuário permite sua execução, ele realiza o download do Shell de backdoor apropriado para a plataforma. O malware foi encontradopela F-Secure em um site do "setor de transporte colombiano".

Cada uma das diferentes versões do shell se comporta da mesma maneira, conectando-se a uma porta (8080 para Mac OS X, 8081 para Linux e 8082 para Windows) no endereço IP 186.87.69.249 (que parece ser um IP dinamicamente alocado pertencendo a uma companhia de Internet a cabo na Colômbia) para baixar o arquivo de ataque. A F-Secure afirmou inicialmente que nenhum comando ou código foi enviado através das Shells, mas eles parecem ter retirado essa afirmação. O Shell do Mac OS X parece ser um binário para Power PC e requer que o usuário instale o aplicativo de tradução Rosetta PowerPC da Apple para executá-lo.

Malwares que podem afetar o Linux normalmente são especificamente focados para ele. Mas nesse caso, os criminosos parecem ter considerado importante que sua engenharia social e os malwares de Windows e Mac OS X também funcionassem em máquinas Linux. A F-Secure afirmou que já reportou o site infectado originalmente para a verificação e retirada do conteúdo.

Fonte: http://www.linuxnewmedia.com.br/lm/noticia/malware_e_capaz_de_infectar_windows_mac_os_x_e_linux?utm_source=twitterfeed&utm_medium=twitter

Weevly - PHP Backdoor

Weevely é um backdoor PHP discreto que simula uma conexão telnet. É uma ferramenta essencial para ser injetada após a exploração de uma vulnerabilidade de uma aplicação web. Com uma permissão básica para fazer upload de arquivos PHP, você só precisa gerar e fazer o upload do código do "servidor" PHP no alvo, e executado localmente o Weevely transmiti comandos de shell.

Weevely é um programa python que lhe permitirá gerar um código  de "servidor" PHP, a fim de infectar um servidor Web e tomar o controle dele. Depois de uma exploração  bem sucedida a uma aplicação Web, através de exemplos, RFI, LFI ou MySQL LOAD DATA INFILE, você só precisa fazer o upload do código  do "servidor" PHP no alvo, e seu script python local Weevely irá transmitir ordens.


Todos os comandos são enviados através de dados escondidas no HTTP e esses comandos estão usando um  dynamic probe  de funções do sistema para contornar restrições de segurança do PHP. Weevely tentar contornar as configurações do PHP que desabilitam as funções sensíveis que executam programas externos, desativas no php.ini.


Weevely está incluído no Backtrack e Backbox e outras distribuições Linux para teste de penetração.


Mais informações acessem:
http://eromang.zataz.com/2011/10/11/weevely-stealth-tiny-php-backdoor-analysis/
http://epinna.github.com/Weevely/
http://www.pentestit.com/update-weevely-07/

Valeu galera divirtam-se testando.


Leandro.

Introdução ao Stepic: Esteganografia em imagens

Esteganografia (do grego "escrita escondida") é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de outra. Em outras palavras, esteganografia é o ramo particular da criptologia que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido.

Stepic, ferramenta usada para fazer estaganografia, e agora possui homepage com documentação e downloads.

Stepic podem ser recuperadas usando Bazaar, e instalado de maneira padrão do python. Dependendo da configuração, pode ser algo como isto:

bzr get http://domnit.org/stepic/
cd stepic
sudo ./setup.py install --prefix=/usr/local

Depende, além de Python, do Python Imaging Library (PIL). 

Veja mais em http://domnit.org/blog/2007/02/stepic.html

 

Twitter divulga relatório de pedidos de remoção de conteúdo com dados do primeiro semestre de 2012

O Twitter divulgou nesta segunda um relatório com os pedidos de de informações de usuários e remoção de conteúdo com dados relativos ao primeiro semestre de 2012. Os dados se dividem em três categorias – pedidos legais de informação, quando os governos ou agências governamenais pedem informações sobre um determinado usuário; pedidos governamentais de remoção de contas, geralmente por motivos de incitação ao ódio, violência, preconceito etc., e finalmente os pedidos de “Copyright Takedown”, quando as empresas que detém direitos reservados sobre materiais solicitam remoção de mensagens que direcionem usuários a cópias não autorizadas de filmes, músicas ou programas.
Houveram no primeiro semestre 849 pedidos de informações sobre usuários, abrangendo 1181 contas do Twitter; dessas, A grande maioria (679 pedidos, 948 contas) foram originados dos Estados Unidos. O Brasil figura na lista com “menos de 10 usuários afetados”. Já os pedidos de remoção de contas somaram apenas 6, sendo 2 da Grécia, e 1 da França, Paquistão, Turquia e Reino Unido. Finalmente, houveram 3378 pedidos de remoção de mensagens com infração de direitos reservados.
Veja mais detalhes em Twitterr Blog: Twitter Transparency Report.

Fonte: http://www.seginfo.com.br/twitter-divulga-relatorio-de-pedidos-de-remocao-de-conteudo-com-dados-do-primeiro-semestre-de-2012/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+seginfo+%28Blog+SegInfo+-+Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o+-+Tecnologia+-+Not%C3%ADcias%2C+Artigos+e+Novidades%29&utm_content=Google+Reader

Duzentos e cinquenta mil infectados com o vírus DNSChanger podem ficar sem internet nesta segunda-feira – verifique se você está infectado

Nesta segunda-feira (09/07/2012), aproximadamente duzentos e cinquenta mil máquinas infectadas pelo vírus DNSChanger podem ficar sem acesso à Internet. O vírus altera os servidores de DNS (Domain Name Server), o que faz com que usuários maliciosos possam alterar os sites que o usuário visita. Por exemplo, se o usuário estiver infectado e acessar um site qualquer (por exemplo, google.com.br) o DNS alterado pode exibir um site bastante parecido com o Google (visualmente idêntico) mas que captura as senhas do usuário. De qualquer forma, o FBI conseguiu localizar os servidores DNS utilizados pelo vírus DNSChanger, e irão desligá-los – o problema é que esses 250.000 usuários podem ficar sem acesso a internet, uma vez que não tem outro servidor DNS configurado.
Para descobrir se você está infectado por este vírus, visite o site dns-ok.us. Se você ver um fundo verde, está tudo certo, porém se ver um fundo vermelho, está infectado. Altere suas configurações DNS ou procure um profissional que possa lhe auxiliar.

Fonte: http://www.seginfo.com.br/duzentos-e-cinquenta-mil-infectados-com-o-virus-dnschanger-podem-ficar-sem-internet-nesta-segunda-feira-verifique-se-voce-esta-infectado/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+seginfo+%28Blog+SegInfo+-+Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o+-+Tecnologia+-+Not%C3%ADcias%2C+Artigos+e+Novidades%29&utm_content=Google+Reader