Muito simples -
Ando eu aqui de ferias numa ilha magnifíca e sem nada para fazer a esta hora decidi dar um pouco de mais vida aqui ao blog :)
=> Telnet - É um protocolo para conectares-te remotamente a sistemas.
telnet www.cmpontadelgada.com 80
Trying 200.189.171.181…
Connected to www.cmpontadelgada.com
Escape character is ‘^]’.
GET / HTTP/1.1
Host: www.cmpontadelgada.com
=> John the ripper - É um programa usado para desencriptar senhas unix, dos, winNT win95 e também MD5, DES baseado na função CRYPT.
=> Hping3 - Ferramenta capaz de enviar pacotes TCP, UDP E ICMP personalizados e receber respostas como consegue em icmp. com ele podemos fazer um ataque DoS.
=> Netcat - Programa para consultoria de redes muito=> Phishing - Phishing é um tipo de fraude projectada para
roubar a identidade de alguém. Num phishing scam,
uma pessoa mal-intencionada tenta obter
informações como números de cartões de
crédito, senhas, dados de contas ou outras
informações pessoais convencendo a vitima a
fornecê-la sob pretextos enganosos.=> jp(hide an seek) - O jphide e o jpseek são programas utilizados para esconder mensagens em arquivos JPEG.
<—————–Técnicas CONTRA-INVASÃO——————->
Firewall
(NHWK)IDS
HoneyPots
Antispam
=> Firewall - Port Knock, uma solução leve e fácil de
configurar, permite que portas específicas só
sejam abertas no momento desejado através
de tentativas de conexão em portas
específicas.
=>(NHWK)IDS –
NIDS – Network Intrusion Detection System
HIDS – Host-based Intrusion Detection System
WIDS – Wireless Intrusion Detection System
KIDS – Kernel Intrusion Detection System
=> HoneyPots - Útil para vigilância e alerta aos tipos de
ataques mais utilizados porem deve ser
utilizado com cuidado para que o invasor não
tenha acesso á rede real. Pessoal na minha opinião um bom HoneyPot pode levar o Hacker a pensar que está dentro do nosso sistema mas ele está apenas num ambiente virtual :)
=> Antispam - Indispensável para qualquer MX, útil para evitar
email e domínios não confiáveis,
pode ser incrementado com opções de RBL e
CAPTCHA (“Completely Automated Public
Turing test to tell Computers and Humans
Apart”).
Depois dos trojans e outros códigos maliciosos, a tendência do momento é o clickjacking. Ainda não há correcções definitivas para este problema.
O responsável tecnológico da Whitehat Security, Jeremiah Grossman, explicou à Cnet o funcionamento do clickjacking. O utilizador nem se apercebe, mas todos os seus cliques na Internet podem estar a ser monitorizados por um atacante.
Numa demonstração, Grossman explicou como é simples a um atacante espiar todos os movimentos de um utilizador, recorrendo ao Flash para ligar a sua webcam, sem que este se aperceba.
O atacante cria uma iFrame que coloca no site que pretende atacar. Esse código não é perceptível ao utilizador e é inserido numa parte do site. O utilizador pode estar a clicar em “comprar”, em vez de “cancelar”, se for isso que o atacante tiver escrito no código (o hacker programa os códigos precisamente com o objectivo de ludibriar os utilizadores).
Até agora, há pouco a fazer para evitar este tipo de ataques. As páginas que estiverem optimizadas para Internet Explorer 8 podem não correr estes códigos, mas Grossman adverte que os utilizadores ddo browser da Microsoft devem ter o JavaScript desactivado. No caso do Firefox, basta instalar o add on NoScript, para que se bloqueie o código iFrame.
Fonte exame informatica
Recebi hoje (4/4/2010) através do Hotmail (ver imagem a cima) , um e-mail curioso " DENUNCIA (A PSP e a Portugal Telecom precisa entrar em conctato consigo urgente.) " e que me chamou à atenção para mais uma obra de algum, não sei bem o que lhe chamar, porque HACKER não é de certeza, chamo mais uns filhos da put... que já deveria ter sido apagado do mapa em vez de andarem a difamar o que pode chamar de HACKER.
|
// Verifica se $_POST não está vazio
if (!empty($_POST)) {
$segundos = 10; // Tempo mínimo entre dois submits (em segundos)
$agora = time(); // "Agora" em UNIXTIMESTAMP
// Verifica se a variável da sessão existe E verifica a diferença de tempo
if (isset($_SESSION['ultimoSubmit']) AND ($_SESSION['ultimoSubmit'] > ($agora - $segundos))) {
// O submit será bloqueado
}
}
?>
// Verifica se $_POST não está vazio
if (!empty($_POST)) {
$segundos = 10; // Tempo mínimo entre dois submits (em segundos)
$agora = time(); // "Agora" em UNIXTIMESTAMP
// Verifica se a variável da sessão existe E verifica a diferença de tempo
if (isset($_SESSION['ultimoSubmit']) AND ($_SESSION['ultimoSubmit'] > ($agora - $segundos))) {
// O submit será bloqueado
echo "Aguarde mais de {$segundos} segundos para enviar o formulário!";
exit;
}
// Salva a hora do último submit
$_SESSION['ultimoSubmit'] = $agora;
}
?> // Verifica se a variável da sessão existe E verifica a diferença de tempo
if (isset($_SESSION['ultimoSubmit']) AND ($_SESSION['ultimoSubmit'] > ($agora - $segundos))) {
// O submit será bloqueado
$_SESSION['ultimoSubmit'] = $agora;
echo "Aguarde mais de {$segundos} segundos para enviar o formulário!";
exit;
}
Atenção: Esse script não vos protege totalmente contra ataques brute-force ou DDoS, apenas AJUDA a
Todo programa é vulnerável a alguma falha!
Vou citar aqui algumas das falhas mais comuns de hoje em dia…
Buffer overflow: gets (), a função scanf (), sprintf (), strcat (), strcpy ()
Formato string vulnerabilidades: printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), o syslog ()
Race conditions: acesso (), chown (), chgrp (), chmod (), o mktemp (), tempnam (), tmpfile (), tmpnam ()
Número aleatório vulnerabilidades aquisição: rand (), random ()
Estas são somente algumas das falhas mais famosas que programadores na hora que estão criando seus programas, cometem, Porem não podemos culpar os programadores até porque todos nós somos humanos, ninguém é perfeito...
vou diser aqui alguns programas de "scan" de vulnerabilidades.
Alguns programas não fazem"scan" a vulnerabilidades de programas feitos por si mesmo ou por outras pessoas, porem tens que encontrar uma vulnerabilidade de tua autoria.. Código Fonte a vulnerabilidades de segurança irá variar entre linguagens e plataformas.
Itens para procurar em C código incluem:
Shell metacharacter vulnerabilidades: exec (), popen (), system ()
ALGUNS DOS PROGRAMAS MAIS UTILIZADOS QUE AJUDAM A DESCOBRIR FALHAS…
Este é um programa que analisa o código fonte e relatórios possíveis a deficiências de segurança(falha), ordenadas por nível de risco. É muito útil para encontrar e remover rapidamente, pelo menos, alguns potenciais problemas de segurança antes de um programa amplamente divulgado ao publico.(para Linux)
RATAS da Secure Software Solutions
faz "scan" C, C + +, Perl, PHP e Python o código fonte para potenciais vulnerabilidades de segurança.
ITS4 de Cigital:
faz um scan ao código fonte procurando potencialmente vulneráveis função chamadas e pré código fonte análise para determinar o nível de risco.
PScan: Um pequeno problema scanner para arquivos de origem C. Peak quantification using Statistical Comparative ANalysis
BOON: Buffer Overrun detecção. BOON é uma ferramenta para a saturação do buffer, e automaticamente encontra vulnerabilidades em código fonte C. Saturações de buffer são um dos tipos mais comuns de falhas de segurança.
MOPS: Programas de Segurança MOdelchecking propriedades. MOPS é uma ferramenta para encontrar bugs de segurança e de programas em C para verificar a conformidade com as regras de programação defensiva.
Cqual: Uma ferramenta para a inclusão de tipo qualificativas para C. cqual digitado é baseado em uma ferramenta de análise para encontrar bugs em programas C.
MC: Meta-Nível Compilação
SLAM: Microsoft
ESC/Java2: Extensão Static. Verificado para Java
Splint: Programação Segura Lint. Splint é uma ferramenta para verificar estaticamente programas C de vulnerabilidades de segurança e codificação erros.
Ciclomotor: Um Modelo-Verificador de Pushdown Sistemas
JCAVE: JavaCard applet Verificação Ambiente
Toolkit Boop: Utiliza captação e requinte para determinar a acessibilidade de pontos no programa um programa C . É uma ferramenta baseada no modelo verificando os algoritmos do SLAM toolkit para um subconjunto da linguagem de programação Externas C .
Blast: Berkeley Software Lazy Abstraction Verificação Ferramenta
Uno: Simples ferramenta para análise de código fonte
PMD: Scans ao Java de código fonte e olha para os potenciais problemas
C + + Teste: Unidade de ensaio e ferramenta de análise estática
Cumprimentos,
Pirata Da Faja
Back | Track é o TOP das distribuições GNU / Linux live / com sua instalação e compilação focada na área de segurança da informação, como avaliação e testes de penetração em sistemas. Distribuição com foco em testes de seguranças e pen tests (testes de penetração), muito apreciada por hackers e criada pelos mesmos, pode ser iniciada diretamente pelo CD ou midia removivel sem necessidade de instalar em disco. É altamente indicada, para Pentesters, Testers, Analistas em Segurança, Administradores de Redes, Auditores e outros profissionais que se preocupam, valorizam e protegem a Segurança das Empresas. Em poucos segundos, você vai ter um sistema completo pronto para o seu trabalho.
Foi evoluído da combinação de duas distribuições bem difundidas - Whax e Auditor Security Collection. Juntando forças e substituindo essas distribuições, BackTrack ganhou uma popularidade massiva e foi eleito em 2006 como a Distribuição Live de Segurança número 1 em sua categoria, e 32º no geral, pela Insecure.org. Profissionais de segurança, assim como novatos, estão usando BackTrack como seu kit de ferramentas favorito pelo mundo todo.
BackTrack tem uma longa história e foi baseado em várias distribuições de Linux diferentes até agora ser baseado em uma distribuição Linux Slackware e os scripts do live CD correspondentes por Tomas M. (www.slax.org). Cada pacote, configuração de kernel e script é otimizado para ser utilizado pelos testadores de penetração de segurança. Patches e automação têm sido adicionados, aplicados e desenvolvidos para oferecer um ambiente organizado e pronto para a viagem.
Após ter chegado em um procedimento de desenvolvimento estável durante os últimos lançamentos, e consolidando feedbacks e complementos, o time focou-se em dar suporte a mais dispositivos de hardware, e novos dispositivos, bem como oferecer mais flexibilidade e modularidade por meio da reestruturação de processos de construção e manutenção. Com a atual versão, a maioria das aplicações são construídas como módulos individuais que ajudam a acelerar os lançamentos de manutenção e correções.
Por Metasploit ser uma das ferramentas-chave para a maioria dos analistas, ele é estreitamente integrado no BackTrack e ambos os projetos colaboram juntos para sempre providenciar uma implementação detalhada do Metasploit dentro das imagens do CD-Rom do BackTrack ou nas futuras imagens de virtualização mantidas e distribuições da remote-exploit.org (como aplicações de imagens VMWare).
Ser superior e fácil de usar é a chave para um bom Live-CD de segurança. Pega-se coisas um passo adiante e alinha o BackTrack às metodologias de teste de penetração e frameworks de avaliação (ISSAF e OSSTMM). Isso irá ajudar nossos usuários profissionais durante seus pesadelos de relatório diário.
Atualmente BackTrack consiste de mais de 300 ferramentas prontas, diferentes e atualizadas, que são logicamente estruturadas de acordo com o fluxo de trabalho de profissionais de segurança. Essa estrutura permite até novatos encontrar as ferramentas relacionadas a uma tarefa específica para ser cumprida. Novas tecnologias e técnicas de teste são combinadas no BackTrack o mais rápido possível para mantê-lo atualizado.
Nenhuma plataforma de análise comercial ou livremente disponível oferece um nível equivalente de usabilidade com configuração automática e foco em testes de penetração.
Nascido a partir da fusão entre históricos e Auditor e Whax inicialmente baseada Slax, a libertação número 4 codinome pwnsauce a distribuição adota um sistema baseado no Debian e Ubuntu (8.10 i386 32 bits) com o seu próprio repositório, oferecendo uma vasta gama software gerenciável através do Gestor de pacotes APT"SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (também conhecido como Denial of Service – DoS) em sistemas computadorizados, na qual o atacante envia uma seqüência de requisições SYN para um sistema-alvo.
Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam um série de mensagens, que normalmente são assim:
Isto é o chamado aperto de mão em três etapas (Three-Way Handshake).
Um cliente malicioso pode não mandar esta última mensagem ACK. O servidor irá esperar por isso por um tempo, já que um simples congestionamento de rede pode ser a causa do ACK faltante, Ou seja. O servidor ficará esperando varias respostas deixando de responder as outras requisições que são feitas por outros clientes.
Esta chamada conexão semi-aberta pode ocupar recursos no servidor ou causar prejuízos para empresas usando softwares licenciados por conexão. Pode ser possível ocupar todos os recursos da máquina, com pacotes SYN. Uma vez que todos os recursos estejam ocupados, nenhuma nova conexão (legítima ou não) pode ser feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se ficarem sem recursos desta maneira.
Algumas contra-medidas para este ataque são os SYN cookies. Apenas máquinas Sun e Linux usam SYN cookies.
Ao contrário do que muitos pensam, não se resolve negação de serviço por Syn flood limitando conexões por minuto (como usar o módulo limit ou recent do iptables), pois as conexões excedentes seriam descartadas pelo firewall, sendo que desta forma o próprio firewall tiraria o serviço do ar. Se eu, por exemplo, limito as conecões SYN a 10/seg, um atacante precisa apenas manter uma taxa de SYNs superior a 10/s para que conexões legítimas sejam descartadas pelo firewall. O firewall tornou a tarefa do atacante ainda mais fácil. Em “Iptables protege contra SYN Flood?” tem uma boa descrição dos motivos pelos quais uma configuração de firewall não resolve.
Um ataque de Syn Flood é feito com os ips forjados (spoof), para que o atacante não receba os ACKs de suas falsas solicitações.
Cumprimentos,
Miguel Melo Pereira "Pirata da Fajã"
Os hackers lançaram um programa que, dizendo eles, pode sabotar a suíte de utilitários forenses que a Microsoft fornece gratuitamente para autoridades no mundo todo.
Conhecida como Decaf, a ferramenta lançada pelos hackers monitora sistemas com o Windows visando detectar a presença do COFEE, uma suíte com 150 utilitários usados pela polícia para a coleta de evidências digitais.
Quando um pendrive com a ferramenta da Microsoft é inserido em um computador com o Decaf, o programa dos hackers executa uma série de medidas contra ela.
A Microsoft fornece o COFEE gratuitamente para as autoridades desde 2007. O COFEE (abreviatura de Computer Online Forensic Evidence Extractor) permite a coleta de histórico de navegação, arquivos temporários e outros dados presentes nos computadores baseados em Windows. A ferramenta da Microsoft é distribuída através da Interpol.
Quando o COFEE vazou na internet em novembro de 2009, a Microsoft minimizou a possibilidade de que os hackers poderiam criar contra-medidas contra sua ferramenta.
O Decaf pode remover os logs do COFEE, desativar os drives USB e até mesmo contaminar ou simular uma grande variedade de endereços MAC (identificadores únicos de placas de rede). Futuras versões permitirão que os usuários travem remotamente os sistemas protegidos.
O Decaf pode ser encontrado em quase todos lugares da internet hoje, a partir do BitTorent.
___________________________________________________________
O que é Prática Forense?
Prática forense é a aplicação de técnicas científicas dentro de um processo legal. Essas práticas envolvem pesquisadores altamente especializados – ou criminalistas – que localizam vestígios. Mas esses vestígios só podem proporcionar provas conclusivas quando são testados em laboratório.
Como os criminosos desenvolveram vias cada vez mais criativas de driblar a lei, nossa força policial foi obrigada a descobrir maneiras mais eficientes de levar esses delinqüentes a julgamento. Mesmo que aparentemente eles não deixem pistas, os detetives(Especialistas) descobriram há algum tempo que isto não é verdade.
Fontes: discoverybrasil, baboo
