Por que seu site estático precisa de HTTPS

As últimas atualizações do Firefox e Chrome agora apontam sites sem HTTPS como sites inseguros, já que sem um certificado digital o site não possui segurança das informações trafegadas. Pois mesmo que o site seja estático, o uso do HTTP pode trazer alguns riscos para os seus visitantes. Mesmo que o site não tenha formulários ou informações sigilosas, ter o certificado digital garante a integridade das URLs, cabeçalhos (headers), e o conteúdo de todas as páginas transmitidas são confidenciais.

Com a popularização do HTTPS, o gerenciamento de certificados pode ser mais simples hoje, graças a serviços como o CloudFlare (pago) e Let's Encrypt (grátis).

Conceitos

O HTTPS (Hyper Text Transfer Protocol Secure, ou Protocolo de Transferência de Hipertexto Seguro) é um protocolo responsável pela criação de um canal para permitir a transferência de informações entre o navegador do usuário e o servidor de forma segura.

O SSL (Secure Sockets Layer, ou Camada de Soquetes Segura) cria canal de comunicação seguro em uma conexão entre dois computadores, mantendo os dados íntegros e inacessíveis a terceiros não autorizados.

Basicamente, o HTTPS e SSL tem praticamente o mesmo conceito, já que ambos criam um canal de comunicação seguro, já o HTTP (Protocolo de Transferência de Hipertexto) é um protocolo de comunicação entre sistemas de informação que permite a transferência de dados entre redes de computadores, mas sem a segurança oferecida pelos outros dois protocolos.

Problema

O grande problema do HTTP é que as informações podem ser interceptadas e modificadas (via Wireshark ou qualquer outro programa de sniffing). Com isso, o site em questão pode sofrer ataques de injeção de códigos maliciosos, como scripts, imagens, propagandas, etc. 

Além disso, se fosse encriptado apenas o conteúdo sigiloso, ficaria óbvio para hackers quais informações devem ser alvejadas. Por isso, é necessário que todo o site possua todas as transmissões encriptadas. Ou seja, não basta apenas configurar um formulário para enviar as informações via HTTPS. Se o site não estiver todo configurado com o protocolo SSL, o atacante pode alterar o link ou form action para uma URL maliciosa, não sendo possível rastrear, já que tudo passa por HTTP. 

E um certificado digital previne tudo isso e muito mais. Com um protocolo seguro, o site tem garantido a integridade de dados e com isso pode detectar adulteração. Com o HTTPS essa interceptação pode acontecer, porém há uma resiliência muito maior contra esse tipo ataque, já que todo o tráfego está criptografado por uma chave privada e pública. Ou seja, ao entrar no site, o cliente utiliza a chave pública do servidor para criptografar os dados, e esses mesmos dados são usados para calcular a chave privada. O servidor vai conseguir gerar essa chave privada somente se conseguir descriptografar esses dados com a chave correta.

A chave tem criptografia de 256 bits, com tamanho de 2048 bits, o que torna o trabalho muito complicado e demorado na tentativa de quebrar por força bruta essa criptografia.

Vantagens e Desvantagens

A Google com intuito de incentivar o uso do protocolo SSL, ranqueia melhores os sites com HTTPS, ou seja, você tem uma melhora no SEO. Para comprovar, basta fazer alguma pesquisa no Google que os primeiros resultados são sempre de sites seguros.

Além de todas as vantagens relacionados a segurança, como prevenção de ataques de sniffing, fishing, redirecionamento, etc., o próprio navegador mostra que o site é seguro com aquele cadeado do lado do link e é melhor visualizado pelos usuários em geral.

A desvantagem é que o certificado digital tem que ser renovado depois de um período. O Let's Encrypt é de 3 em 3 meses. Já um certificado pago, a renovação obrigatória é a partir de 1 ano (certificado A1 - armazenado no computador) a 3 anos (certificado A3 - armazenado no token ou cartão).

Como adquirir um certificado digital?

Caso o site esteja pronto e hospedado, o cliente pode entrar em contato com a empresa responsável pela a hospedagem do site e solicitar um certificado SSL, podendo ser pago ou não. Outra possibilidade, seria contratar uma empresa especializada somente com esse tipo de serviço.

Na contratação da hospedagem do site, é possível escolher um certificado digital na compra ou conseguir um gratuitamente dependendo do plano de hospedagem. Nesse caso, a instalação do certificado digital é de responsabilidade da empresa de hospedagem.

Caso o cliente não deseje gastar com um certificado, é possível conseguir um gratuitamente pelo Let’s Encrypt. Na maioria das vezes a empresa responsável pela hospedagem faz a instalação do certificado, bastando enviar as informações do certificado gerado, conforme exigido por eles (se houver).

Fontes:

Troyhunt

Marketing de Conteúdo

Meu Site Precisa de HTTPS

Configr

Tudo Sobre Hospedagem de Sites

Ver mais

Como encaminhar vários e-mails para outra conta do Gmail

Por padrão o Gmail permite você encaminhar apenas um email de cada vez, mas com uma extensão chamada Multi Forward for Gmail é possível encaminhar até 100 emails por dia para quantos destinatários você precisar, podendo ser do Gmail ou não.

Por enquanto essa extensão funciona apenas no Google Chrome. Vamos ao tutorial

1º Para instalar a extensão é necessário fazer clicar no botão download e depois "Usar no Chrome"

2º Após clicar no botão "Usar no Chrome", será exibido uma janela solicitando autorização para funcionar.

3º Após autorizar a extensão, a extensão vai exibir um ícone de uma flecha no canto direito do seu navegador.

4º Ao selecionar os emails que deseja encaminhar vai aparecer uma fecha ao lado da lixeira. Selecione as mensagens que deverão ser encaminhadas e clique sobre o novo ícone de flecha. 

5º Ao clicar na flecha, vai pedir para você se logar antes de continuar. 

6º Após logar e dar as permissões de acesso, você pode inserir quais são os destinatários e por fim clicar no botão “Multi-Forward”.

7º Após clicar em Multi-Forward, seus emails serão encaminhamos para os destinatários selecionados.

Ver mais

Como desativar o login automático do Google Chrome

A atualização do Google Chrome 69 veio com a funcionalidade de login automático, porém isso pode infligir a privacidade dos usuários, já que esse recurso salva os seus dados como senhas e históricos para serem acessados em outros dispositivos.

Uma vez que você faz o login na conta do Google, as informações de acesso (login e senha) são utilizadas automaticamente pelo Chrome. Com isso, o usuário pode ficar potencialmente exposto em um ambiente inseguro com dispositivos compartilhados, pois outras pessoas que usam o seu computador ou celular podem acessar sua conta, mesmo quando você fecha ou limpa os cookies do navegador.

Empresas em geral, fazem alterações em suas plataformas e, em vez de informar explicitamente as pessoas sobre essas alterações, ocultam essas informações na documentação, tornando a privacidade e a transparência mais difíceis de serem obtidas.

Como desabilitar o login automático?

Para isso devemos acessar no navegador o seguinte endereço: chrome://flags/#account-consistency.  Em seguida, mude a função para “Disabled” e reinicie o navegador.

----------------------------
Atualização 27/09/2018

A situação envolvendo o Google Chrome trouxe uma série de questões à tona sobre a privacidade e segurança, gerando inúmeras reclamações por parte dos usuários. Com isso, a Google publicou em seu blog oficial que a versão 70 do Google Chrome vai deixar o usuário escolher ou não associar a sua conta os serviço, como mostrado na prévia da nova versão abaixo.

Além disso, a Google esclareceu que a versão atual não ativa a sincronização entre dispositivos de forma automática. Contudo, para garantir que não haja novas divergências, a interface das configurações ficará mais legível para os usuários.

Outra novidade anunciada é em relação ao gerenciamento de cookies, pois mesmo que os cookies sejam limpos, o navegador ainda continua logado e isso será alterado. Assim, o usuário terá que logar novamente no Google Chrome a cada limpeza. A versão 70 está prevista para outubro/2018.

Fonte: The Next Web.  Google

Ver mais

Como bloquear qualquer chamada indesejada no Android ou iOS

Bloquear chamadas é indispensável para a maioria das pessoas, já que ninguém quer um número indesejado entrando em contato repetidas vezes e a qualquer instante, principalmente por parte das próprias operadoras. Existem inúmeros aplicativos que podem solucionar esse problema como o Truecaller, True Contact, Call Blocker e Whoscall.

Nesse tutorial vamos usar o app whoscall (quem liga), app gratuito disponível para Android, iOS e Windows Phone. Com esse aplicativo, podemos bloquear qualquer número indesejado de forma fácil e com apenas um toque. Além disso, o próprio aplicativo já tem algumas listas definidas de bloqueio de números de vendas de operadoras, números relacionados a golpes, spam, etc. Essas listas são criadas com o feedback de usuários que são incomodados todos os dias por esses números.

Com esse app, ao receber uma ligação, você descobre na hora se é algum serviço de telemarketing ou de uma empresa que você esteja esperando, como mostrado na imagem abaixo. Com isso, você decide se vai atender ou ignorar a ligação.

1º Passo - Para instalar o app você pode baixar pelo link abaixo ou PlayStore

2º Passo - Após baixado e instalado o aplicativo, ao abrir será exibido uma tela de início do whoscall, bastando apenas clicar em "Começar". Após isso, será solicitado algumas permissões a serem liberadas para o app.

3º Passo - Na próxima tela, você pode criar sua conta ou clicar em mais tarde. Após sair dessa, você será redirecionado para uma tela onde é solicitado qual o DDD que você usa e qual a operadora.

4º Passo - Ao abrir o aplicativo, você verá uma identificação em praticamente todas as suas chamadas recebida. Nessa tela, podemos perceber que estamos na opção "Histórico". Tem outras 3 opções "Teclado", "Função Herói" e "Bloquear", e essa última opção que utilizamos para acabar com as ligações indesejadas.

5º Passo - Na opção bloquear, podemos bloquear ligações de operadoras, bancos, números fora da sua lista de contato, outros DDDs, números privados, etc.

Após marcar algumas dessas opções, como ligações de operadoras e bancos, você não será incomodado mais.

Ver mais

Análise de Malware: Tipos de Malware Explicados

Neste post, veremos os diferentes tipos de malware e o que eles fazem. Ao realizar uma análise de malware estática ou dinâmica, é essencial ter uma boa compreensão dos diferentes tipos de malware disponíveis para que você possa reconhecê-los e concentrar sua investigação. Durante a análise estática de malware, as DLLs e as funções importadas geralmente nos dizem muito sobre as intenções e o comportamento do malware. Por exemplo, quando o malware importa funções de rede junto com funções para editar as funções de registro do Windows, podemos estar lidando com spyware, trojan ou outro malware na inicialização. No caso mais simples de DLLs importadas estaticamente, você pode usar um aplicativo como o Dependency Walker para descobrir quais funções são usadas no malware. Uma inspeção mais detalhada das funções, cabeçalhos e recursos da DLL deve restringir muito os possíveis tipos de malware. Vamos analisar os diferentes tipos de malware disponíveis e o que exatamente eles fazem.  

Adware

Adware como malware é um software malicioso que apresenta publicidade indesejada ao usuário. Esse tipo de malware geralmente usa janelas pop-up que não podem ser fechadas pelo usuário. Adware é frequentemente incluso em softwares grátis e nas barras de ferramentas do navegador (famosas toolbar). O malware também pode coletar dados de usuários, suas atividades e outras informações, entrando um pouco no tipo spyware.

Backdoor

Um backdoor é um código malicioso que permite que um invasor se conecte ao alvo infectado e assuma o controle do computador sem sua autorização. Na maioria dos casos, não é necessária autenticação para efetuar login na máquina remota. Além disso, esse tipo de malware é frequentemente gerado por um Trojan que passa despercebido se o host não tiver mecanismos de detecção eficazes, como firewalls e antivírus. Os backdoors podem usar muitos métodos para se comunicarem, mas usa principalmente a porta 80 já que essa porta está aberta na maioria das máquinas conectadas à Internet. Referente a esse malware, existem dois principais tipos: o shell reverso e o Acesso Remoto / Ferramenta de Administração (RAT).

Shell reverso

Um shell reverso é uma conexão iniciada a partir do host infectado e fornece ao hacker acesso ao host pelo shell. O shell reverso é geralmente criado por um cavalo de Troia, funcionando praticamente como um backdoor. Depois que o shell reverso for configurado, o invasor tem a possibilidade de executar comandos como se fossem executados localmente. 

Os métodos comumente usados ​​para shells reversos são o Netcat e o Windows CMD compactados dentro do malware. Um método simples usado por malware usando o Windows é criar um soquete para estabelecer uma conexão com o invasor e vinculá-lo aos fluxos padrão (entrada, saída e erro padrão) para o CMD. Assim o CMD é executado com a janela oculta da vítima e assim os comandos são executados sem a percepção do usuário que está sendo atacado.

RAT - Trojan de acesso remoto

Um RAT (Remote Access Trojan), ou às vezes chamado de Remote Administration Tool ou Remote Access Tool, é uma ferramenta que permite um invasor assumir o controle total do computador infectado. Essa é uma das ferramentas com o caráter mais malicioso, sendo comumente incluídos em cracks baixados na internet ou aqueles phising enviados por e-mail com um link de download do server malicioso.

Botnet 

Uma botnet é uma rede de computadores com backdoors que estão sendo controlados por um servidor de comando e controle. Todos os hosts infectados na rede são controlados como um grupo e recebem as mesmas instruções do servidor que é controlado pelo invasor. As botnets são frequentemente usadas para enviar spam, executar ataques distribuídos de negação de serviço (DDoS) ou distribuição de malware.

Browser Hijacker

Um sequestrador de navegador é um código desenvolvido para controlar as configurações do seu navegador, como a página inicial, por exemplo, ou o provedor de pesquisa padrão. Os sequestradores de navegador geralmente são incluídos em programas gratuitos. Uma vez instalado, as barras de ferramentas dos navegadores podem ficar poluídas visualmente e no final das contas ainda ter um adware ou spyware escondido. Alguns sequestradores de navegador também alteram as configurações de proxy do seu navegador, o que compromete sua privacidade e segurança on-line. 

Downloader Malware

O malware do download é um software malicioso que baixa outros softwares maliciosos. O malware do download infecta a máquina de destino silenciosamente através de instaladores não oficiais. Por exemplo, você está procurando o programa qualquer, como o Ccleaner, e então você baixa o programa de um site não oficial. Ao executar o programa, o mesmo afirma que será baixado o Ccleaner online, mas juntamente com o programa desejado é baixado um malware oculto.

Malware de Roubo de Informações

O malware de roubo de informações é uma coleção de tipos de malware desenvolvidos para roubar informações como números de cartão de crédito, detalhes de contas bancárias, detalhes de contas e outras informações pessoais. As informações coletadas geralmente são enviadas ao invasor que geralmente as usa para obter acesso à sua conta pessoal ou colocá-las à venda na dark web / deep web. O malware geralmente vem na forma de keyloggers, senhas (hash) e sniffers. As informações roubadas geralmente são enviadas para um servidor de comando ou controle para processamento adicional. 

Keyloggers

O keylogger é um software (ou hardware) malicioso que registra as teclas digitadas para roubar senhas, conversas e outros detalhes pessoais. Um keylogger é uma maneira muito eficaz de os invasores roubarem senhas, porque não há necessidade de quebrar hashes, descriptografar informações ou farejar conexões seguras para senhas, pois todas as teclas digitadas são enviadas para o atacante. 

Malware Lançador

Um lançador é um código malicioso usado para iniciar outro malware. Esta parte do software malicioso é frequentemente combinada com o malware do download. O malware lançador geralmente usa métodos furtivos e não convencionais para iniciar outro código malicioso e assim evitar a detecção. 

Ransomware

Tecnicamente falando, todo malware que impede o usuário de acessar o computador ou arquivos e exigir dinheiro em troca de acesso é chamado de ransomware. O ransomware geralmente criptografa seu disco rígido ou arquivos e exige dinheiro em troca da chave de descriptografia. Esse tipo de ransomware também é chamado de crypto locker. Após a infecção, o ransomware apresenta ao usuário alguns métodos de pagamento que podem ser usados ​​para desbloquear o computador ou descriptografar os arquivos. Se o ransomware ou o crypto locker realmente desbloquearem seu disco rígido ou arquivos, as chaves de descriptografia e o pagamento geralmente serão controlados por um servidor de comando e controle.

O ransomware se tornou cada vez mais popular, pois é altamente lucrativo para desenvolvedores de malware. Especialmente em combinação com métodos de pagamentos anônimos como monero ou bitcoin (menos seguro, já que é rastreável), minimizando os riscos de serem pegos. 

Rootkit

Um rootkit é um software malicioso projetado para ocultar a existência de outro malware. O malware oculto é geralmente um backdoor para fornecer acesso total ao invasor. Os rootkits podem ser difíceis de detectar e remover com base em onde reside dentro do sistema operacional. Os rootkits no nível do firmware, por exemplo, podem requerer substituição de hardware e os rootkits no nível do kernel podem exigir uma nova instalação do sistema operacional. 

Bootkit

Outro perigoso e quase impossível de detectar é o bootkit. O bootkit é um rootkit escondido no setor de inicialização que infecta o Master Boot Record (MBR). Esse tipo de rootkit é capaz de ignorar a criptografia da unidade, já que funciona através de um código que é executado antes do sistema operacional.

Scareware

Scareware é um software malicioso que obriga a vítima a comprar algo assustando-o, pois geralmente inclui vírus ou arquivos embaraçosos. Um dos scarewares mais comum são aqueles que "parecem" um antivírus, dizendo que detectou alguns vírus no seu computador e só poderão ser removidos após comprar o suposto antivírus. Por causa dessas táticas, muitas vítimas pagam pelo software para que o vírus ou outros materiais embaraçosos sejam removidos silenciosamente. Um malware de "proteção" ou chantagem funciona mais ou menos como um ransomware, além de ser muito lucrativo para esses desenvolvedores.

Spam
 
O Malware de Spam é um software mal-intencionado que usa a máquina ou contas (facebook, whatsapp, por exemplo) infectadas para enviar spam. O malware de envio de spam pode fazer parte de uma botnet controlada por um servidor de comando ou controle funcionando como uma rede distribuída de envio de spam. Por causa da abordagem distribuída, não há um único ponto de falha, se ¼ das máquinas infectadas forem limpas, outros ¾ continuará enviando e-mails de spam. Grandes botnets podem enviar bilhões de mensagens de spam por semana e, com muita frequência, novos malwares são espalhados junto com as mensagens de spam. 

O envio de malwares por spam pode causar problemas, pois a conexão com a Internet do ISP pode ser cortada ou o endereço de e-mail pode estar na lista negra, por isso, remova esse tipo de malware o mais rápido possível. Esse tipo de malware é lucrativo para desenvolvedores de malware porque eles podem vender os serviços de envio de spam.

Trojan

Um Trojan ou um cavalo de Troia é uns dos malwares mais perigosos, pois funcionam como um backdoor, com o intuito de roubar informações, disseminar outros malwares ou usar os recursos da máquina infectada em um botnet. Literalmente, tudo é possível quando infectado por um Trojan que foi instalado ou executado com privilégios de administrador. Trojans na computação existem há muito tempo, alguns cavalos de Troia antigos e populares são: Netbus, SubSeven ou Sub7 e Back Orifice ou BO

Vírus

Um vírus é um programa malicioso que se replica em outros aplicativos, arquivos ou até mesmo no setor de inicialização. Um vírus pode fazer qualquer coisa que seja programado, podendo roubar informações, registrar teclas digitadas ou até mesmo inutilizar um computador. A característica definidora de um vírus está na autorreplicação e inserção de código malicioso em outros programas sem o consentimento do usuário. Assim como a maioria dos outros malwares, um vírus é projetado para obter lucro.

Worm

Um worm é um malware que se replica para espalhar e infectar outros sistemas. Os worms de computador usam a rede, links, redes P2P, e-mail e exploram vulnerabilidades para se espalharem. Muitas vezes, mais de um malware é usado para espalhar o worm. A diferença com um vírus é que um vírus insere código em outros programas, já o worm se replica sozinho.

Fonte: Traduzido e adaptado de Hacking Tutorials

Ver mais

Ferramentas Dinâmicas de Análise de Malware

Nesse post será abordado as Ferramentas de Análise de Malware Dinâmico, que são usadas para analisar a atividade de um malware após a sua execução. Com isso, serão apresentadas as ferramentas como Procmon, Process Explorer, Regshot, ApateDNS, Netcat, Wireshark e INetSim para analisar o malware. Juntamente com a apresentação, será disponibilizado o link para download.

A análise dinâmica é normalmente executada após a análise de malware estática ter chegado ao fim. Você terá que partir para o segundo assim que perceber que malware estiver compactado ou ofuscado, por exemplo. Além disso, esse tipo de análise é uma ótima maneira de identificar rapidamente o tipo de malware; se você estiver enfrentando o Ransomware, observará os arquivos criptografados e métodos de pagamento forçados rapidamente após a execução do malware.

Riscos da Análise Dinâmica de Malware

Esteja ciente do fato de que a análise de malware  pode colocar seu sistema e sua rede em risco, pois você estará executando um malware real para analisar seu comportamento. É aconselhado executar um malware apenas em máquinas virtuais ou em sistemas dedicados com redes isoladas e que não estejam conectadas à Internet. Não precisamos de uma conexão com a Internet para fazer a análise de malware, pois existem ferramentas de servidor disponíveis para simular uma conexão com a Internet. Nós estaremos cobrindo algumas dessas ferramentas neste post. Embora estejamos executando o malware em máquinas virtuais, não é garantido que o host ou sua rede estejam perfeitamente seguros, pois os desenvolvedores de malware sempre encontram novas maneiras de nos surpreender e dificultam a realização dessas análises.

Process Monitor

O Procmon, ou Process Monitor, é uma ferramenta gratuita desenvolvida pelo Windows SysInternals e é usada para monitorar o sistema de arquivos, registros e atividade em tempo real. A ferramenta é uma combinação de duas ferramentas antigas: FileMon e RegMon, e tem excelentes recursos, como a filtragem não destrutiva de dados e o registro de dados do boottime. Filtragem não destrutiva significa que todos os dados são capturados, mas apenas os dados filtrados são exibidos para o usuário. 

A versão mais recente do Process Monitor é a versão 3.5, que pode ser baixada aqui diretamente do site da Microsoft.

Process Explorer

O Process Explorer é uma ferramenta gratuita disponibilizada também pela Microsoft, que é recomendadíssima durante a Análise de Malware. O Process Explorer é usado para monitorar os processos em execução e mostra quais identificadores e DLLs estão sendo executados e carregados para cada processo.

A versão mais recente do Process Explorer pode ser baixada aqui.

Regshot

Regshot é uma ótima ferramenta open source para monitorar as alterações no registro do windows, tirando snapshot atual para ser comprado depois. Isso permite que você veja as alterações feitas no seu registro após o malware ter sido executado em seu sistema.

A última versão do Regshot está disponível para download aqui.

ApateDNS

Outra ótima ferramenta para realizar a análise é o ApateDNS, que é uma ferramenta para controlar as respostas do DNS e atua como um servidor DNS no seu sistema local. Com essa ferramenta você poderá falsificar as respostas de DNS requisitas pelo malware para um endereço IP especificado na porta UDP 53. O endereço IP ou o nome do host geralmente é conseguido do malware por meio da análise estática, examinando as seções ou usando uma sandbox. O ApateDNS também é capaz de recuperar vários domínios usando o parâmetro nxdomain, já que o malware geralmente tenta conectar vários hosts.

O ApateDNS está disponível na FireEye e pode ser baixado usando o seguinte link: ApateDNS.

Netcat

O Netcat é uma ferramenta usada para analisar conexões de rede TCP e UDP. Além dessa análise, essa ferramenta possui outras inúmeras funções, como escaneamento de porta, encaminhamento de porta, encapsulamento, proxy, etc. O Netcat é uma ótima ferramenta para executar a Análise Dinâmica de Malware, pois pode fazer praticamente qualquer conexão de rede, seja tanto entrada, quanto de saída, usando qualquer porta. Além disso, pode ser usado no modo de cliente para conexão e no modo de servidor para escuta.

Muitos malwares se comunicam pela porta 80 (HTTP) e 443 (HTTPS) porque na maioria dos sistemas essas portas não são bloqueadas por um firewall. Ao executar a análise, poderíamos usar o ApateDNS para redirecionar uma solicitação de DNS feita pelo malware para um host que esteja executando o Netcat no modo de servidor, atendendo ao endereço IP especificado na porta especificada. Dessa forma, podemos monitorar e redirecionar as solicitações feitas por malware usando o ApateDNS. Nos próximos posts abordaremos com mais detalhes o uso do ApateDNS e do Netcat.O Netcat pode ser baixado do site do Nmap aqui e também está incluído no Kali Linux.

Download: Página Oficial 
Download: Link Direto

Wireshark

O Wireshark é uma das melhores ferramentas para análise de protocolo de rede disponível atualmente. Essa ferramenta é usada para analisar uma rede com o máximo de detalhes possíveis, para assim entender o que está acontecendo no tráfego de pacotes entre sua rede e a Internet. O Wireshark pode ser usado para captura e inspeção de pacotes, inspeção profunda de centenas de protocolos, navegação e filtragem de pacotes

O Wireshark está incluído no Kali Linux, mas também está disponível para Windows e Mac. O Wireshark pode ser baixado aqui.

INetSim

O INetSim é uma ferramenta baseada em Linux para simular os serviços de Internet mais comuns, como http, https, DNS, FTP e muito mais. Ao executar a análise em uma máquina Windows, você pode usar uma máquina virtual na mesma rede que sua máquina de análise  para executar o INetSim. Assim o INetSim falsifica os serviços mais comuns de Internet e responde às solicitações feitas pelo malware. Por exemplo, quando um malware solicita um arquivo, o INetSim retornará o arquivo. Quando o malware scaneia um servidor da Web, o INetSim retorna um servidor da Web do Microsoft IIS para manter o malware em execução. 

Ele também registra todas as conexões de entrada para que você possa analisar quais serviços o malware está usando e quais solicitações ele faz. O programa também é altamente configurável, quando um malware usa uma porta não padrão para um serviço, você pode alterar a porta do ouvinte em um serviço específico.O INetSim 1.2.8 é a versão atual incluída no Kali Linux 2.0 e pode ser baixada aqui.

OllyDbg

OllyDbg é um dos programas depuradores mais conhecidos na análise de malware. Outro depurador a altura é Windbg. Um depurador é um programa que é usado para testar ou examinar a execução de outro programa. Depurador de baixo nível rastreia registros, reconhece procedimentos, chamadas de API, switches, tabelas, constantes e cadeias de caracteres, além de localizar rotinas de arquivos e bibliotecas de objetos. Ele também fornece a função para pausar a execução do programa em teste e verificar seu estado.

Site Oficial: clique aqui
Download Direto V2.00:  clique aqui
Download Direto V1.10: clique aqui

Outras Ferramentas

Nem precisamos dizer que cobrimos apenas uma ínfima quantidade de ferramentas disponíveis para análise de malware. Apenas foi apresentado as principais ferramentas. No próximo tutorial vamos usar algumas delas e ver como é o funcionamento na prática.

Ver mais

Ferramentas Básicas de Análise de Malware

Neste tutorial, veremos ferramentas simples para realizar análises básicas em malwares estáticos como: PEiD para detectar empacotadores, Dependency Walker para visualizar funções vinculadas dinamicamente, Resource Hacker para visualizar os recursos do malware e PEview e FileAlyzer para examinar os cabeçalhos e as seções dos arquivos . Essas ferramentas são usadas para análises básicas de malware para tentar determinar o tipo de malware e sua função sem executar o malware.

Ferramentas Básicas de Análise de Malware

Para sua conveniência, forneceremos um link de download para as ferramentas, para que você possa preparar sua caixa de ferramentas de análise de malware para os próximos tutoriais. Os programas aqui apresentados serão: PEiD, Dependency Walker, Resource Hacker, PEview e FileAlyzer.

PEiD

PEiD é um programa usado para detectar empacotadores, cryptors e compiladores comuns. Os criadores de malware geralmente tentam ofuscar seu malware para dificultar a detecção e a análise. A versão atual do PEiD pode detectar mais de 470 assinaturas diferentes em arquivos PE que são carregados de um arquivo txt chamado userdb. O site oficial do PEiD não está mais ativo, mas você pode fazer o download do PEiD usando o seguinte link: PEiD-0.95

Caso você precise substituir o arquivo userdb.txt para adicionar as assinaturas, basta fazer o download aqui.

Dependency Walker

 
Outra ótima ferramenta básica de análise de malware é o Dependency Walker, sendo distribuída gratuitamente. A ferramenta é utilizada para digitalizar módulos do Windows de 32 e 64 bits (.exe, .dll, .ocx, etc.) e é usada para listar todas as funções importadas e exportadas de um módulo. O Dependency Walker também exibe as dependências do arquivo, o que resultará em um conjunto mínimo de arquivos necessários. O Dependency Walker também exibe informações detalhadas sobre esses arquivos, incluindo o caminho de arquivo, o número da versão, o tipo de máquina, as informações de depuração etc.

Download Dependency Walker 32 bits
Download Dependency Walker 64 bits
Site Oficial

Resource Hacker
 

O Resource Hacker é um aplicativo gratuito usado para extrair recursos de programas do Windows. O Resource Hacker pode extrair, adicionar e modificar a maioria dos recursos como strings, imagens, menus, diálogos, informação de versões, recursos de manifesto, etc. A versão mais recente do Resource Hacker, que é a versão 4.2.4, foi lançada em julho de 2015.

O Resource Hacker pode ser baixado usando o seguinte link: Resource Hacker

PEview

PEview é um aplicativo gratuito e fácil de usar para navegar pelas informações armazenadas nos cabeçalhos de arquivo do Portable Executable (PE) e as diferentes seções do arquivo. Nos tutoriais a seguir, aprenderemos a ler esses cabeçalhos quando estivermos examinando um malware real.

PEview pode ser baixado usando o seguinte link: PEview.

FileAlyzer

 
O FileAlyzer também é uma ferramenta gratuita para ler informações armazenadas em cabeçalhos e seções de arquivos PE, mas oferece um pouco mais de recursos e funcionalidades que o PEview. Os ótimos recursos são a guia VirusTotal, que pode ser usada para enviar malware ao VirusTotal para análise e a funcionalidade para descompactar arquivos empacotados do UPX e do PECompact.


FileAlyzer: Download Direto
Site Oficial: FileAlyzer.

Mais ferramentas básicas de análise de malware

É desnecessário dizer que cobrimos apenas uma pequena parte das ferramentas básicas de análise de malware disponíveis. Nos próximos dias, adicionaremos mais ferramentas para você baixar e explorar, portanto, visite este blog para se manter informado sobre as atualizações. Se você tiver alguma dúvida sobre as ferramentas, deixe nos comentários. Informe-nos também quando tiver sugestões para outras ferramentas.

Ver mais

Buffer Overflow - Conceitos Básicos

Uma das vulnerabilidades de segurança mais comuns e mais antigas no software são as vulnerabilidades de buffer overflow (ou estouro de memória). As vulnerabilidades de buffer overflow ocorrem em todos os tipos de programas, desde sistemas operacionais, aplicativos cliente/servidor e programas desktops. Isso geralmente acontece devido à programação incorreta e à falta ou má validação de um programa. Neste post, será explicado o que é exatamente um buffer overflow, como eles funcionam e como podem se tornar vulnerabilidades graves. Também veremos o que acontece quando ocorre um buffer overflow e técnicas para minimizar seus efeitos prejudiciais.

O que é um estouro de buffer?

Um buffer overflow é quando um programa em execução tenta gravar dados fora do buffer da memória, ou seja, num local que não é destinado a armazenar esses dados. Quando isso acontece, estamos falando de um buffer overflow ou buffer overrun. O buffer overflow é uma área na memória do computador (memória RAM) destinada a armazenamento temporário de dados. Esse tipo de buffers pode ser encontrado em todos os programas e usado para armazenar dados de entrada, saída e processamento.

Um exemplo de dados armazenados em buffers são as credenciais de login ou o nome do host de um servidor FTP. Também outros dados armazenados temporariamente antes do processamento podem ser armazenados em buffers. Isso literalmente pode ser qualquer coisa, desde campos de entrada do usuário, como campos de nome de usuário e senha, até arquivos de entrada usados para importar determinados arquivos de configuração. Quando a quantidade de dados gravados no buffer excede a quantidade esperada de dados, o buffer de memória é estourado. Isso acontece, por exemplo, quando um nome de usuário com no máximo 8 bytes é esperado e um nome de usuário de 10 bytes é fornecido e gravado no buffer. Nesse caso, o buffer é excedido em 2 bytes e ocorrerá um estouro quando isso não for impedido. Isso geralmente acontece devido à má programação e à falta de validação na entrada.

O que acontece quando ocorre um buffer overflow?

Quando ocorre um buffer overflow na memória e os dados são gravados fora do buffer, o programa em execução pode se tornar instável, travar ou retornar informações corrompidas. As partes sobrescritas da memória podem conter outros dados importantes para o aplicativo em execução, que agora são sobrescritos e não estão mais disponíveis no programa. Os buffer overflows podem até executar outros programas ou comandos (maliciosos) e resultar na execução arbitrária de códigos.

Execução de código arbitrário e escalonamento de privilégios

A execução de código arbitrário é um processo onde é feita a injeção e execução de algum código no buffer. Quando uma vulnerabilidade de buffer overflow é usada para gravar dados mal-intencionados na memória e o invasor é capaz de assumir o controle do fluxo da execução de um programa, estamos lidando com sérios problemas de segurança. Essas vulnerabilidades de segurança podem ser explorados por hackers para obter controle (remoto) de um host, realizar o escalonamento de privilégios ou algo ainda pior com o resultado da execução arbitrária de código.

A escalação de privilégios é realizada através da exploração de uma vulnerabilidade no buffer overflow para executar algum código arbitrário em um programa que está sendo executado com privilégios de administrador. O código executado pode ser o Shellcode, que fornece ao atacante um shell do SO com privilégios administrativos. Com isso o atacante pode por exemplo adicionar um novo usuário no sistema. Também com buffer overflows o código executado acontece no contexto do aplicativo em execução. Isso significa que quando o aplicativo explorado é executado com privilégios administrativos, o código mal-intencionado também será executado com privilégios administrativos.

Negação de Serviço (DoS)

Nem todas as vulnerabilidades de buffer overflow podem ser exploradas para obter execução de código arbitrário. Além disso, ataques (remotos) de negação de serviço podem ser executados quando eles apenas travam o programa em execução. Como o buffer estoura, as vulnerabilidades podem aparecer em qualquer software, e com isso os ataques DoS não se limitam apenas a serviços e computadores, mas também roteadores, firewalls, dispositivos IoT e qualquer outra coisa que execute um sistema operacional. Um exemplo dessa situação é o recente recente estouro de buffer do Cisco ASA IKEv1 e IKEv2 Buffer Overflow. Algumas dessas explorações remotas apenas travam e forçam a reinicialização do firewall, resultando em inatividade por alguns minutos.

Como evitar que os buffer overflows aconteçam?

Os estouros de buffer no software podem ser evitados ou solucionado de várias maneiras. A mitigação é uma dessas soluções, onde o processo de minimizar o impacto de uma ameaça acontece antes ou depois da ocorrência da ameaça. Eles podem ser impedidos de acontecer antes de ocorrerem (proativos). Mas, como os estouro de buffer continuam ocorrendo, apesar das ações tomadas proativamente para evitá-los, também precisamos de mecanismos para minimizar o impacto quando eles ocorrem (contramedidas reativas). Vamos dar uma olhada em como funciona a prevenção e a atenuação do buffer overflow.

Prevenção de buffer overflows

A melhor e mais eficaz solução é impedir que ocorram condições de buffer overflow no código. Por exemplo, quando temos uma entrada de dados com no máximo 8 bytes então devemos limitar os dados gravados no buffer, para que não ultrapasse 8 bytes. Além disso, os programadores devem usar as funções de depuração para testar o código e corrigir os erros antes da finalização do programa. Métodos proativos para prevenção de estouro de buffer como esses devem ser usados sempre que possível para limitar vulnerabilidades de buffer overflow.

Mitigação de buffer overflows

Outra maneira de evitar os buffer overflows é detectá-los à medida que ocorrem e mitigar a situação. Esta é uma abordagem reativa e se concentra em minimizar o impacto prejudicial. Um exemplo de mitigação eficaz é um sistema operacional moderno que protege certas áreas de memória de serem gravadas ou executadas. Isso poderia impedir que um invasor grave um código arbitrário na memória quando ocorrer o buffer overflow. Implementações de proteção de espaço e ponteiro executável tentam minimizar o impacto negativo de um estouro de buffer. Isso não impede que ocorra o buffer overflow, mas minimiza o impacto.

Outra maneira de detecção do buffer overflow é usar sistemas de detecção de intrusão (IDS) para analisar o tráfego de rede. Um IDS é capaz de detectar assinaturas no tráfego de rede que são conhecidas por explorar vulnerabilidades de buffer overflow. O IDS pode, então, mitigar o ataque e impedir que a carga útil seja executada no sistema operacional.

Como funciona um buffer overflow no código?

Vamos dar uma olhada em como um buffer overflow realmente funciona, observando o código do programa. Nós explicamos este processo usando uma função muito conhecida e vulnerável ao buffer overflow: a função strcpy() na linguagem C. Essa função usa 2 ponteiros como parâmetros, a fonte que aponta para a matriz de origem para copiar e o ponteiro de destino para a matriz de caracteres para gravar. Quando a função é executada, a matriz de origem dos caracteres será copiada para a matriz de destino e não terá uma verificação dos limites quando isso ocorrer. Quando o buffer de origem é maior que o buffer de destino, acontecerá um buffer overflow.

Estouro de buffer com strcpy

A imagem a seguir é um exemplo da função strcpy() fazendo cópia de um valor que está ultrapassando o buffer de destino. 

Abaixo está o código com vulnerabilidade:

 

Neste exemplo, o buffer está sendo estourado com 2 bytes contendo um inofensivo 1 e 2. Como a função strcpy não realiza uma verificação de limites, podemos escrever qualquer coisa fora do espaço do buffer. Isso também pode se aplicar a um código malicioso, como o shellcode. Futuramente mostrarei mais detalhadamente como fazer o buffer overflow com shellcode. Também aprenderemos como controlar o fluxo de execução de um programa e executar o código de shell malicioso fora do buffer.

Conclusão

Aprendemos que um buffer overflow é causado por determinadas condições em que um programa em execução está gravando dados fora do buffer de memória. Ao injetar código (shell) e redirecionar o fluxo de execução de um programa em execução para esse código, um invasor pode executar esse código facilmente. Isso é chamado de execução de código arbitrário. Com a execução de código arbitrário, um invasor pode obter controle (remoto) de um alvo específico, elevar privilégios ou causar uma negação de serviço no alvo.

Os estouros de buffers podem ser preventivamente evitados e mitigados com várias técnicas. Os programadores devem depurar seus código e testá-lo a fim de evitar os buffer overflows.  Quando esse tipo de vulnerabilidade não é impedida, ela ainda pode ser mitigada com métodos reativos, como a proteção da memória contra gravação.

Fonte: Hacking Tutorial

Ver mais

6 razões pelas quais seu computador pode estar lento

O seu computador está muito lento? Aqui estão 6 possíveis razões que podem explicar o mau desempenho do seu computador.

# 1. Pouca memória RAM 

RAM (memória de acesso aleatório) é uma parte crucial de um computador. Se o seu computador não tem o suficiente, então ele começa a travar. À medida que os aplicativos e programas estão se tornando tecnologicamente mais avançados, seu computador exige mais memória RAM do que antes. Para ver quanto de memória RAM você tem no Windows, aperte Ctrl + Shitf + Esc, e ainda vai abrir o gerenciador de tarefas. Clique em desempenho e você verá o quanto de memória você tem e o quanto está sendo consumido. No meu caso, tenho 8 GB, mas está consumindo 6,1GB.

O que fazer? 
Aumente a RAM e veja se isso ajuda.

 

# 2. Programas desnecessários e muito lixo temporário
Veja, um programa para baixar vídeos do Youtube. Preciso baixar isso. A instalação de programas desnecessários fazem com que eles tenham um desempenho ruim.

O que fazer? 
Simples, desinstale os programas que você raramente usa.

OBS.: Pode baixar também o Ccleaner para fazer uma limpeza em seu computador. Caso queira mais detalhes de como deixar seu computador, entre nesse outro link aqui

# 3. Muitos aplicativos de inicialização 
Existem vários aplicativos que iniciam automaticamente quando seu o computador inicia. Estes são chamados de aplicativos de inicialização e usam muitos recursos do seu computador. Embora a maioria desses aplicativos possa ser necessária, eles devem ser usados ​​somente quando necessário. 
 
O que fazer? 
Pressione Win + R. Digite msconfig. Desmarque os programas que não precisam ser executados durante a inicialização.

# 4. Falta de desfragmentação  
Um computador lento, na maioria dos casos, é um computador fragmentado. A fragmentação ocorre toda vez que um arquivo é salvo, modificado ou excluído. Agora, todas essas mudanças são salvas em pequenos pedaços no disco rígido. Agora, essas informações não são colocados em uma ordem lógica. Portanto, quando você deseja acessar um arquivo modificado, o computador executa uma pesquisa em locais aleatórios e isso afeta seu desempenho. 

O que fazer?
    Vá para Iniciar → Painel de Controle → Sistema e Segurança. A janela Ferramentas Administrativas é exibida.

    Clique em Desfragmentar o seu disco rígido. A caixa de diálogo Desfragmentador de disco é exibida.
    Clique no botão Analisar disco.
    Quando a análise estiver concluída, clique no botão Desfragmentar disco ou Otimizar.
    Clique em Fechar.

# 5. Criptojacking 
Uma criptomoeda é uma forma de dinheiro virtual ou digital que usa criptografia para segurança. Para gerar (minha) essa moeda, o poder de processamento de um computador é necessário. Cryptojacking (ou sequestro de criptomoedas ou malware de mineração de criptomoedas) é o segredo para usar o poder de CPU do seu computador para gerar criptomoeda sem o seu consentimento ou conhecimento. 

Se o seu computador estiver sendo usado para crypjacking, ele começará a mostrar sinais de baixo desempenho e atraso na execução. Sua conexão com a Internet pode ficar mais lenta e a ventoinha da sua CPU pode ficar mais rápida do que o normal ou fazer um zumbido incomum. 

O que fazer? 
Instale um software antivírus que possa bloquear o acesso a sites comprometidos com scripts de criptografia. 

# 6. Malware 
Trojans, worms, spyware, adware, rootkits, etc. Não apenas esses programas maliciosos representam um risco enorme para seus dados pessoais, mas também afetam o desempenho do seu computador. Eles realizam operações indesejadas no computador infectado, tornando-o incrivelmente lento e, às vezes, não funcional. 

O que fazer? 
Mais uma vez, instale um software antivírus construído com defesa de múltiplas camadas (kaspersky, Avast, Malware Bytes, etc). Isso deve ser capaz de bloquear todos os tipos de malware, sites infectados e maliciosos.

Fonte: Quickheal

Ver mais