Notícia: Novo método revela botnets “camufladas”

Um novo método para detecção de botnets pode ser usado, segundo pesquisadores da Universidade do Texas, para encontrar computadores infectados para formar a redes como a Conficker, a Kraken ou a Torpig. Botnets que  utilizam uma estratégia conhecida como flutuação de DNS para o comando e controle de “suas” infraestruturas.

Essas botnets caracterizam-se por serem capazes de gerar nomes de domínios aleatórios. Um bot exige uma série de nomes de domínio, mas o proprietário do domínio regista apenas um. Como exemplo, os pesquisadores envolvidos neste projeto indicam o Conficker-A, que gerou 250 domínios a cada três horas. Depois, para dificultar aos fabricantes de tecnologia de segurança pré-registá-los, a versão Conficker-C aumentou para 50 mil o número de domínios gerados aleatoriamente.

O método desenvolvido pela Universidade do Texas A & M analisa o padrão e a distribuição de caracteres do nome de domínio para determinar se ele é legítimo ou não, para identificar os nomes de domínio gerados através de algoritmos.

“O nosso sistema analisa apenas o tráfego de DNS e, portanto, pode ser facilmente expandido para grandes redes”, disse Narasimha Reddy, um dos desenvolvedores envolvidos na descoberta. “Podemos detectar botnets desconhecidas examinando uma pequena parte do tráfego da rede”, garante.

Fonte: IDGNow



Anúncios

Freak Hardware: USB Sniffing Dongle

Esse módulo funciona como uma ponte, fornecendo acesso a dados e linhas de energia para um dispositivo USB. [badwolf] construiu a fim de “farejar” a comunicação entre os periféricos e o Universal Serial Bus. O projeto ainda está em desenvolvimento sendo necessário o uso de um osciloscópio para captar os sinais emitidos pelos dispositivos conectados à porta USB.
[badwolf] O desenvolvedor do projeto conta que tem vários  planos para o seu Farejador USB. Ele quer interceptar e decifrar as comunicações que estão ocorrendo nas linhas de dados. Após o intervalo do vídeo, ele menciona a possibilidade de usar um Bus Pirate para isso. Espero ansiosamente o resultado desse projeto!

No site badwolf.hackhut.com podemos acompanhar o desenvolvimento e os equipamentos utilizados no projeto

Assista o vídeo disponibilizado no site badworlf.hackhut.com:

Freak Hardware: Arduino

Arduino,  é uma Interface baseada em hardware livre, projetada com um microcontrolador ATmega, que tem suporte a entrada/saída embutido. Sua linguagem de programação é uma implementação do Wiring, construída em Processing. O objetivo do projeto é criar ferramentas que são acessíveis, com baixo custo, flexíveis e fáceis de se usar por artistas e amadores. Principalmente para aqueles que não teriam alcance aos controladores mais sofisticados e ferramentas mais complexas.

Pode ser usado para o desenvolvimento de objetos interativos, ou ainda para ser conectado a um computador hospedeiro. Uma típica placa Arduino é composta por um controlador, algumas linhas de E/S digital e analógica, além de uma interface serial ou USB para interligar-se ao hospedeiro, essa interface é usada para programá-lo em tempo real. O Arduino originalmente não possui qualquer recurso de rede, porém é comum combinar um ou mais Arduinos usando extensões apropriadas chamadas de shield. A interface do hospedeiro é simples, podendo ser escrita em várias linguagens. A mais popular é a Processing, mas outras que podem comunicar-se com a conexão serial são: Max/MSP, Pure Data, SuperCollider, ActionScript e Java.

Fonte: Wikipédia

Por ser uma plataforma muito abrangente o Arduino não detêm um foco especifico em segurança da informação, porém nada impede que essa maravilhosa interface seja usada para fins correlatos. Como dito anteriormente o Arduino pode ser anexado a shields, que são placas de circuito impresso capazes de conferir novas funcionalidades à plataforma, entre elas a ethernet shield se destaca por conferir conexão com a internet ao Arduino, aumentando exponencialmente suas capacidades de interação. A ethernet shield se conecta a parte superior do Arduino sem nenhum tipo de solda, tornando sua instalação muito pratica graças a arquitetura modular da interface.

Apesar de não ser uma plataforma especifica para segurança da informação existem projetos destinados a esse fim circulando na internet, podemos ver um desses projetos no site Segurança Linux essa dica foi escrita pelo Analista de Segurança Luiz Vieira, trata-se de um projeto criado para monitorar ataques ARP Poisoning com Arduino.  Segue o vídeo:

 

 

Código para implementação:

Código do Arduino (Arp_Cop.pde):

int outPin = 11;
 int val;
 int arpPoison = 0;
 int red;

 void setup()
 {
 pinMode(outPin, OUTPUT); // sets the digital pin as output
 Serial.begin(9600);
 Serial.flush();
 }

 void loop()
 {
 // Read from serial port
 if (Serial.available())
 {
 val = Serial.read();
 Serial.print(val);
 if (val == 'A')
 {
 arpPoison = 1;
 for(red = 0; red <= 255; red+=5)
 {
 analogWrite(outPin, red);
 delay(30);
 }
 while (arpPoison == 1)
 {
 for(red = 255; red >= 25; red-=5)
 {
 analogWrite(outPin, red);
 delay(30);
 }
 for(red = 25; red <= 255; red+=5)
 {
 analogWrite(outPin, red);
 delay(30);
 }
 val = Serial.read();
 Serial.print(val);
 if (val == 'R')
 {
 arpPoison = 0;
 for(red = 255; red >= 0; red-=5)
 {
 analogWrite(outPin, red);
 delay(30);
 }
 }
 }
 }
 }
}

Script python:

import sys, subprocess, serial
 if len(sys.argv) != 3:
 print "syntax: " + sys.argv[0] + " <Network Interface> <Serial Interface>\n"
 exit()
 try:
 ser = serial.Serial(sys.argv[2], 9600)
 except serial.SerialException:
 print "Error: Could not setup Serial Port!"
 sys.exit()
 ettercap = subprocess.Popen("ettercap -i " + sys.argv[1] + " -TQP  arp_cop //", shell=True, stdin=subprocess.PIPE, stdout=subprocess.PIPE)
 try:
 while 1:
 inPut = ettercap.stdout.readline()
 inPut = inPut.split(' ')
 for msg in inPut:
 if msg == "(WARNING)":
 print "Arp Poisoning Detected!"
 ser.write('A')
 except:
 ser.write('R')
 print "Terminated!"
 #out = ettercap.communicate('q')[0]
 #print "Done!"

O código acima foi desenvolvido pelo site Infinity Exists, consultem o site para baixar os códigos fonte e o vídeo.

O Arduino pode ser comprado em diversas lojas de eletrônica como a Multilogica no Brasil, também pode ser encontrado a preços mais acessíveis no mercado livre e no ebay.

Maltego: Ferramenta para Pentest

O que é o Maltego?

O Maltego é uma plataforma única desenvolvida para fornecer uma imagem clara das ameaças contidas no ambiente de sua organização.O Maltego possui a vantagem de demonstrar a complexidade e gravidade dos pontos de falha, assim como as relações de confiança existentes em sua infra-estrutura.

O que o Maltego pode fazer?

O Maltego e um programa capaz de determinar os relacionamentos em links do mundo real como:

 

  • Pessoas
  • Grupos de pessoas (redes sociais)
  • Companhias
  • Organizações
  • Web Sites

Infraestruturas da internet como:

  • Domínios
  • Nomes de DNS
  • Netblocks
  • Endereços de IP

Por ter sido desenvolvido em Java o Maltego pode rodar em vários sistemas operacionais. Sua interface gráfica possibilita a visualização instantânea dos relacionamentos tornando possível descobrir conexões escondidas.

 

 

O desenvolvedor do Maltego disponibiliza um versão gratuita do software chamada de community version, estava versão pode ser baixada aqui.

 

Nmap: Ferramenta para Auditoria de Segurança

O Nmap (“Network Mapper”) é uma ferramenta de código aberto para exploração de rede e auditoria de segurança. Ela foi desenhada para escanear rapidamente redes amplas, embora também funcione muito bem contra hosts individuais. O Nmap utiliza pacotes IP em estado bruto (raw) de maneira inovadora para determinar quais hosts estão disponíveis na rede, quais serviços (nome da aplicação e versão) os hosts oferecem, quais sistemas operacionais (e versões de SO) eles estão executando, que tipos de filtro de pacotes/firewalls estão em uso, e dezenas de outras características. Embora o Nmap seja normalmente utilizado para auditorias de segurança, muitos administradores de sistemas e rede consideram-no útil para tarefas rotineiras tais como inventário de rede, gerenciamento de serviços de atualização agendados, e monitoramento de host ou disponibilidade de serviço.

A saída do Nmap é uma lista de alvos escaneados, com informações adicionais de cada um dependendo das opções utilizadas. Uma informação chave é a “tabela de portas interessantes”. Essa tabela lista o número da porta e o protocolo, o nome do serviço e o estado. O estado pode ser aberto (open), filtrado (filtered), fechado (closed), ou não-filtrado (unfilterd). Aberto (open) significa que uma aplicação na máquina-alvo está escutando as conexões/pacotes naquela porta. Filtrado (filtered) significa que o firewall, filtro ou outro obstáculo de rede está bloqueando a porta de forma que o Nmap não consegue dizer se ela está aberta (open) ou fechada (closed). Portas fechadas (closed)não possuem uma aplicação escutando nelas, embora possam abrir a qualquer instante. Portas são classificadas como não filtradas (unfiltered)quando elas respondem às sondagens do Nmap, mas o Nmap não consegue determinar se as portas estão abertas ou fechadas. O Nmap reporta as combinações aberta|filtrada (open|filtered)e fechada|filtrada (closed|filtered)quando não consegue determinar qual dos dois estados descrevem melhor a porta. A tabela de portas também pode incluir detalhes de versão de software quando a detecção de versão for solicitada. Quando um scan do protocolo IP é solicitado (-sO), o Nmap fornece informações dos protocolos IP suportados ao invés de portas que estejam abertas.

Além da tabela de portas interessantes, o Nmap pode fornecer informações adicionais sobre os alvos, incluíndo nomes de DNS reverso, possível sistema operacional, tipos de dispositivos e endereços MAC.

Um scan típico do Nmap é mostrado em Example 1, “Uma amostra de scan do Nmap”. Os únicos argumentos que o Nmap utiliza nesse exemplo são -A, para habilitar a detecção de SO e a versão, -T4 para execução mais rápida, e os hostnames de dois alvos.

A versão mais nova do Nmap pode ser obtida em http://insecure.org/nmap/. A versão mais nova da página do manual está disponível em http://insecure.org/nmap/man/. [Fonte: Nmap.org]

Freak Hardware: Keylogger Hardware

A maioria dos usuários de computadores já estão acostumados a terem que se proteger de ameaças virtuais. Uma delas o keylogger, programa desenvolvido para capturar as informações que foram digitadas através do teclado encabeça as listas de ameaças virtuais, podendo ser instalado por qualquer pessoa com acesso ao computador da vítima, Porém existem softwares apropriados para se defender deste tipo de ameaça. É sempre oportuno que um computador conectado à internet seja protegido através de um software “AntiSpyware” de um “Firewall” e de um “AntiVirus”.

Bom até esse ponto tudo bem, temos uma ameaça e sua solução, o problema começa quando dispositivos eletrônicos exógenos ao computador são conectados  as portas ps/2 ou usb de um teclado, tornando sua presença virtualmente invisível, esses são os keyloggers físicos.

 

BackTrack: Distribuição Linux Focada em Pentest

BacktrackBacktrack , distribuição com foco em testes de seguranças e testes de penetração (pen tests), muito apreciada por hackers e analistas de segurança, podendo ser iniciado diretamente pelo CD (sem necessidade de instalar em disco), mídia removível (pendrive), máquinas virtuais ou direto no disco rígido.

Foi evoluído da combinação de duas distribuições bem difundidas – Whax e Auditor Security Collection. Juntando forças e substituindo essas distribuições, BackTrack ganhou uma popularidade massiva e foi eleito em 2006 como a Distribuição Live de Segurança número 1 em sua categoria, e 32º no geral, pela Insecure.org. Profissionais de segurança, assim como novatos, estão usando BackTrack como seu kit de ferramentas favorito pelo mundo todo.

BackTrack tem uma longa história e foi baseado em várias distribuições de Linux diferentes como o  Slackware  e o Debian (versão atual). Patches e automação têm sido adicionados, aplicados e desenvolvidos para oferecer um ambiente organizado e pronto para a viagem.

Após ter chegado em um procedimento de desenvolvimento estável durante os últimos lançamentos, e consolidando feedbacks e complementos, o time focou-se em dar suporte a mais dispositivos de hardware, e novos dispositivos, bem como oferecer mais flexibilidade e modularidade por meio da reestruturação de processos de construção e manutenção. Com a atual versão, a maioria das aplicações são construídas como módulos individuais que ajudam a acelerar os lançamentos de manutenção e correções.

Por ser uma das ferramentas-chave para a maioria dos analistas, o Metasploit é estreitamente integrado no BackTrack e ambos os projetos colaboram juntos para sempre providenciar uma implementação detalhada do Metasploit dentro das imagens do CD-Rom do BackTrack ou nas futuras imagens de virtualização mantidas e distribuições da remote-exploit.org (como aplicações de imagens VMWare).

 

 

Ser superior e fácil de usar é a chave para um bom Live-CD de segurança. Pega-se coisas um passo adiante e alinha o BackTrack às metodologias de teste de penetração e frameworks de avaliação (ISSAF e OSSTMM). Isso irá ajudar nossos usuários profissionais durante seus pesadelos de relatório diário.

Atualmente BackTrack consiste de mais de 300 ferramentas diferentes e atualizadas, que são logicamente estruturadas de acordo com o fluxo de trabalho de profissionais de segurança. Essa estrutura permite até novatos encontrar as ferramentas relacionadas a uma tarefa específica para ser cumprida. Novas tecnologias e técnicas de teste são combinadas no BackTrack o mais rápido possível para mantê-lo actualizado.

Nenhuma plataforma de análise comercial ou livremente disponível oferece um nível equivalente de usabilidade com configuração automática e foco em testes de penetração.

Para baixar o Backtrack clique aqui !