Hora Zero

Infelizmente o que todos temiam se confirmou. A Sony confirmou que milhões de dados de usuários podem ter sido roubados.

A empresa não descarta que informações de cartões crédito, usadas para comprar games por meio de download, também tenham sido roubadas. Por meio do blog oficial do PlayStation, Patrick Seybold, diretor de comunicação da empresa, afirma que entre os dias 17 e 19 de abril foi descoberto que informações de contas de usuários ficaram comprometidas por conta de uma "intrusão não-autorizada" na rede e, por isso, a PSN e o serviço de música sob demanda, o Qriocity , foram desligados.

A Sony já confirma que o nome, endereço completo, endereço de e-mail, aniversário e até a senha e login da PSN de seus usuários foram roubados e falam que a falha ocorreu entre 17 e 19 de abril.

Aqui esta a informação oficial postada no blog da PSN.

Posto maiores informações em breve.

Incoming search terms:

• www horazero pt/blog
• aula chave pública e chave privada
• blog hora zero
• horazero blog
• horazero blogpot pt
• modelo de certificado A1
• modelo de csr certificado
• shellcode DNS reverse using
• sony roubor hack senha

A Agencia Espacial Europeia, criada em 1975, é uma organização intergovernamental, atualmente tem 18 membros, dedicada a exploração do espaço, com quarel general em Paris, tem um quadro funcional de mais de 2000 pessoas e um orçamento anual de  €3.99 bilhões foi atacada hoje e teve vazamento de várias informações, entre elas emails, senhas, acessos, logs e muito mais.

******************************************************************
(+) Authors : TinKode
(+) WebSite : TinKode27.BayWords.Com
(+) Date    : 17.04.2011
(+) Hour    : 17:17 PM
(+) Targets : www.esa.int (European Space Agency)
(+) Document: ESA.int Full Disclosure (Hacked)
(+) Method  : UnKn0Wn
******************************************************************

Maiores informações sobre o servidor que foi atacado você encontra nesse link.

Para acesso as contas do  ESA.INT (Root,  Emails, FTPs,  Admins,  Editors,  etc). veja aqui.

Alguns logs coletados.

Incoming search terms:

• agencia hora zero
• agencia zero hora

Uma falha de segurança ontem na Epsilon, a maior empresa de webmarketing do mundo expos milhões de emails de empresas que ela presta serviço, conforme dados esta é a maior falha de segurança nos Estados Unidos da história.

Uma das empresas é a TiVo e seus usuários tiveram uma surpresa desgradável essa segunda-feira, sabendo que seus nomes e emails que eles usam no registro da conta foram comprometidos.

Além da TiVo a lista de empresas afetadas esta crescendo rapidamente, pois a Epsilon tem mais de 2500 clientes, mandando 40 bilhões de emails por ano.

Aqui tem uma lista de alguns clientes que já reportaram a falha.

• Kroger
• TiVo
• US Bank
• JPMorgan Chase
• Capital One
• Citi
• McKinsey & Company
• Ritz-Carlton Rewards
• Marriott Rewards
• New York & Company
• Brookstone
• Walgreens
• The College Board
• Home Shopping Network (HSN)
• LL Bean
• Disney Destinations
• Barclays Bank of Delaware

Esses emails com certeza serão usados para envio de spam e phishig.

Este incidente ocorre três anos depois que hackers invadiram a Heartland Payment Systems, uma empresa de processamento de cartão de crédito/débito, em um dos maiores roubo de identidade da história dos Estados Unidos.

Neste caso, o hacker Alberto Gonzalez comando um grupo que roubou mais de 40 milhões de números de cartão, e foi sentenciado a 20 anos de prisão.

Abaixo, alguns emails que clientes receberam das empresas comprometidas.

Incoming search terms:

• a história do provedor de email
• historia do provedor de email
• empresa de segurança no usa

Eu ia postar isso antes mas estava sem tempo. É uma notícia importante pois muitos de vocês que leem o blog podem ter achado estranho entrar na sua conta do gmail ou yahoo e perceber que o seu navegador deu um erro de SSL.

A revelação foi feita pela Comodo, uma empresa especializada em emitir certificados digitais SSL (Secure Sockets Layer), os certificados deles são utilizados em inúmeros serviços bastante populares, de organizações como a Google, Yahoo, Skype, Mozilla e Microsoft.

A microsoft emitiu um aviso (Security Advisory) sobre o problema, dizendo que foram avisados sobre a falha no dia 16.

Os certificados afetados são das seguintes empresas e conforme a Comodo eles já foram revogados.

• login.live.com
• mail.google.com
• www.google.com
• login.yahoo.com (3 certificates)
• login.skype.com
• addons.mozilla.org
• "Global Trustee"

O maior problema é que a Comodo é uma das cadeias de certificado confiáveis nas versões do Windows e OSX. Isto significa que um atacante pode facilmente mascarar um website malicioso como um dos acima com uma autenticação HTTPS.

Conforme o comunicado oficial no blog da Comodo o ataque partiu do Irã. Dizem que o hacker obteu um login e senha de um parceiro confiável da Comodo do Sul da Europa.

O governo do Irã, assim como vários outros do Oriente médio e norte da África estão estão enfrentando movimentos oposicionisas, e estes usam a internet para organizar protestos e pressionar por uma mudança democrática.

Com estes certificados, um hacker poderia montar um servidor e se passar por uma das empresas como válido. Um governo que controla o tráfego de internet pode com esse procedimento ter acesso a emails criptografados e conversas do skype para coletar nome e senhas dos usuários, assunto discutido no blog da F-secure.

Com o ataque sofrido da RSA e agora esse da Comodo temos que nos preocupar com aqueles que nos protege. Quem quiser atualizar a lista de certificados revogados da Comodo pode acessar o link: http://crl.comodo.net/UTN-USERFirst-Hardware.crl

Quem tem o IE9 a microsoft tem uma opção por padrão que é Online Certificate Status Protocol (OCSP, assim como no Firefox – incluindo o 4). Já no IE8 tem que habilitar a opção manualmente.

Incoming search terms:

• certificado comodo
• certificados comodo
• alguem tem problemas com certificados da comodo br
• instalar certificado digital ie9
• ie9 certificado digital
• empresas que usam certifica comodo
• comodo falha de segurança certificados
• comodo certificado
• certificados na hora
• certificados digitais comodo

Hoje vou colocar um post que acho interessante a todos, pois ele explica como ocorre o ataque de hackers usando um PDF infectado, muito comum hoje em dia. Conforme um estudo da Symantec 76% de todos os ataques é feito com PDFs infectados.

Esta análise foi feita pelo Application Defense Center da Imperva, então mãos a obra e vamos ver como ele funciona.

Primeiro vamos abrir o arquivo infectado em um aplicativo de texto simples, como o notepad.

Podemos ver que o obejeto 11 tem relação ao objeto 12, que contém javascript. Vemos também que a stream esta filtrada com “ASCIIHexDecode”, outros que podemos achar são “FlateDecode”, "ASCII85Decode", etc, isto faz com que o Antivirus não identifique o código no PDF.

Aqui temos o código depois de decodificado.

Vamos abrir o código em um editor de texto.

confirmamos que é um javascript, vamos ver o que ele faz.

Usando o Malzilla vamos decodificar o javascript.

Pegamos o shellcode, vamos ver ele de perto.

Agora para saber o que faz convertemos ele para EXE.

Abrimos o EXE no IDA, um disassembler

vemos que o código começa com um Nop Sled, vamos identificar algumas strings.

Ok, achamos a URL do ataque e o nome do arquivo que ele baixa, Pdfupd.exe
Ele usa o comando URLDownloadtoFileA

Espero que tenham gostado do artigo, quando der posto mais algumas informações sobre esse tipo de ataque.

Incoming search terms:

• desmontando textos
• desmontando o texto
• codigos para hacker pdf
• desmontado texto
• desmontando texto
• desmontar pdf
• disassembler IDA download br
• hack em pdf

Uma discussão que veio agora a tona em alguns sites de segurança é que o custom firmware do ps3 pode expor dados sensíveis dos usuários na PSN.

Um exemplo bem válido é o seguinte. Quando você faz uma compra na PSN seus dados navegam até o servidor da Sony criptografados por SSL, fazendo que toda comunicação entre o seu PS3 e a Sony fiquem protegidas, o mesmo tipo de proteção que você usa no seu browser para acessar transações online (bancos, compras, etc).

A preocupação aparece quando um firmware customizado pode comprometer isso. Um firmware customizado pode incluir um certificado falso na lista válida e pode conter DNSs falsos. Eles podem lançar um firmware com um certificado para um proxy falso deles, e um DNS que redireciona as chamadas da PSN para o proxy. Esse proxy decripta os dados, pega as informações necessárias e depois encripta novamente, reenviando o chamado de volta para a PSN.

Isso tudo é transparente para o usuário, exceto pela lentidão na conexão causada pelo proxy, que acha que a sua transação foi efetuada de forma segura.

Por enquanto ainda não tem um grupo especializado em roubar cartões de crédito para a PSN, mas logo alguem pensa na possibilidade, então temos que nos adiantar a eles e tentar nao usar firmwares customizados.

Abaixo tem um exemplo de como os dados são enviados para a Sony.

creditCard.paymentMethodId=VISA&creditCard.holderName=Max&creditCard.cardNumber=45581234567812345678&creditCard.expireYear=2012&creditCard.expireMonth=2&creditCard.securityCode=214&creditCard.address.address1=example street%2024%20&creditCard.address.city=city1%20&creditCard.address.province=abc%20&creditCard.address.postalCode=12345%20

Isso tudo veio a tona depois que a Sony falou que pretende banir os PS3 com firmwares customizados. Os hackers começaram a procurar o que poderia ser enviado para a Sony para identificar o console, mais ou menos o que a Microsoft faz com o xbox 360.

A informação do console é armazenada online e dizem que é enviado updates toda vez que você liga o console, desde o cartão de crédiro, assim como modelo do seu controle e o que você tem plugado na USB. A sony ainda não se manifestou a respeito.

Incoming search terms:

• seguranças e riscos do ps3

O hacker Geohot postou um video na internet demonstrado um homebrew rodando no ps3 com firmware 3.55.

O homebrew não faz nada demais, é apenas uma tela com uma gota azul com os dizeres "sup dawg, it's geohot,", mas é o suficiente para demonstrar a possibilidade de rodar o homebrew e as possibilidades que isso dá aos desenvolvedores.

Por outro lado a Sony já se pronunciou que já tem um fix que deverá ser disponibilizado pela rede, mas não dá maiores detalhes, já que isso é um problema de segurança para eles.

Eu de fora e trabalhando com segurança da Informação gosto desse jogo de gato e rato, vamos ver quem leva o proximo round.

Incoming search terms:

• root key ps3

Parece que o ano começou complicado para a Sony. Não faz duas semanas que acharam a root key do ps3 e já tem custom firmware para ele agora é a vez do portátil da companhia, o PSP Go.

O conhecido hakcer de PSP Liquidzigong conseguiu com sucesso carregar uma ISO loader no portátil. Aparentemente alguns arquivos dele vazaram e apareceu alguns vídeos na internet, incluindo ele rodando Kingdom Hearts: Birth By Sleep. O que é notável sendo que o jogo somente foi lançado em formato UMD, sendo que é impossível jogar ele no PSP GO, já que os jogos dele são todos conseguidos através de download.

O PS3 levou 3 anos para ser hackead e agora o PSP Go levou dois. Alguns desenvolvedores não estavam gostando da quantidade de jogo pirata rodando no antigo PSP, ai a Sony lançou o Go, com a idéia que o jogo só pudesse ser conseguido através da PSN, melhorando a venda dos jogos e agradar os desenvolvedores.

A alguns dias eu postei aqui no blog que o grupo fail0verflow tinha conseguido hackear o PS3, e hoje aparece uma outra novidade, o hacker Geohot, o mesmo que ajudou a hackear o iPhone, dizponibilizou na internet as root key do PS3.

Com elas, quanquer software rodada é identificado como legítimo.

~geohot

props to fail0verflow for the asymmetric half
no donate link, just use this info wisely
i do not condone piracy

if you want your next console to be secure, get in touch with me. any of you 3.
it'd be fun to be on the other side.

Já o grupo fail0verflow esta colocando na internet algumas ferramentas de desenvolvimento para o PS3, elas podem ser conhecidas aqui.

Incoming search terms:

• erk: c0 ce fe 84 c2 27 f7 5b d0 7a 7e b8 46 50 9f 93 b2 38 e7 70 da cb 9f f4 a3 88 f8 12 48 2b e2 1b riv: 47 ee 74 54 e4 77 4c c9 b8 96 0c 7b 59 f4 c1 4d pub: c2 d4 aa f3 19 35 50 19 af 99 d4 4e 2b 58 ca 29 25 2c 89 12 3d 11 d6 21 8f 40 b1 38 ca b2 9b 71

Mais uma novidade vinda da conferencia Chaos Communication Conference 27C3 o mesmo grupo rensponsável pelo wii homebrew channel, fail0verflow, fez uma apresentação onde falam que descobrirar a chave (private key) da Sony que faz rodar somente codigos autorizados no sistema PS3. Isto faz com que não somente através do USB pode-se ter controle do aparelho.

O grupo vai explicar melhor quando site deles entrar no ar com mais atualizações da façanha, isso faz com que o PS3 não só rode jogos piratas assim como instalação do linux nos consoles.

Abaixo os vídeos da apresentação:

Incoming search terms:

• google priv8
• falha na key do xbox
• navegacao in privet raquers