Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Leandro Fróes
      Alguma vez você precisou fazer uma alteração em um arquivo PE? Seja para brincar e/ou estudar sobre alguma técnica de hooking ou algo assim? Provavelmente você precisou procurar por bytes nulos dentro do arquivo e adivinha só, criaram uma ferramenta pra fazer isto para você sem muito esforço.
      O Inline Empty Byte Finder é uma ferramenta que analisa arquivos executáveis no formato PE e procura por sequências de zeros dentro do arquivo de acordo com as flags de seção que você especificar (execução, escrita, leitura) e no tamanho que quiser:

      A ferramenta está disponível para download e infelizmente não tem código aberto, mas isso não impede você de criar uma igual ou melhor e ainda por cima disponibilizar para todos!!! ?
    • A Agência Nacional de Pesquisa Francesa publicou uma plataforma para análise de binários que chamou de BINSEC. Ainda em fase de testes, a plataforma promete ser útil para análise de binários desconhecidos, contando com recursos como análise semântica, geração de linguagem intermediária e execução simbólica, dentre outros.
      O projeto é livre e licenciado sob a LGPLv2.1. Por hora, só há suporte para análise de binários ELF de 32-bits, mas os desenvolvedores dizem estar trabalhando na extensão da plataforma, o que pode ser acompanhado pelo repositório do projeto no Github.
      A documentação, no entanto, é praticamente inexistente, desde o processo de instalação. Fiquei horas para conseguir compilar e convido o leitor a testar e compartilhar seus resultados!
      Os seguintes pacotes foram necessários num ambiente Debian:
      libmenhir-ocaml-dev menhir libocamlgraph-ocaml-dev libzmq3-dev Depois foi necessário instalar o LLVM em sua versão 6.0, seguindo os passos aqui:
      llvm-6.0 cmake Por fim, o opam precisou ser utilizado para instalar as seguintes pacotes (com opam install):
      piqilib ocamlgraph zarith zmq llvm conf-make ocaml-protoc Ufa! Quem será o primeiro a postar um caso de uso do BINSEC? ?
    • Não é de agora que o mundo inteiro está conectado, as redes Wi-Fi estão presentes em incontáveis locais e a grande maioria utiliza (pelo menos deveria) WPA2. Devido a isto sabemos que a responsabilidade de quem implementa este tipo de tecnologia é enorme, tendo em vista a quantidade de usuários e o impacto negativo que uma simples falha pode causar.
      Como nem tudo é perfeito o avanço da tecnologia também permite que os ataques fiquem mais complexos, ataques estes que permitem a quebra do WPA2. Com isto em mente, a Wi-Fi Alliance anunciou no começo deste ano o WPA3 e com ele foram anunciadas 4 novas funcionalidades.
      As novas funcionalidades dificultam ataques de Brute Force, pois para cada tentativa de senha o atacante deverá interagir com a rede. Proteção de senhas mesmo que fracas, uma chave de 192 bits, uma interface e configuração amigável (mesmo para dispositivos sem ambiente gráfico) e por aí vai.
      A tecnologia terá as versões Pessoal e Empresarial, mas a Wi-Fi Alliance deixa claro que o nível de segurança de ambas é o mesmo. O objetivo é atingir todos os tipos de dispositivos: IoT, notebooks, celulares, etc, visando uma segurança para um mundo em constante mudança e com a chegada de novos paradigmas.
      Nos dias de hoje o WPA2 é o mandatório e o WPA3 opcional, mas a previsão, segundo Kevin Robinson (vice-presidente de Marketing) é que no fim de 2019 o mandatório seja o WPA3.
       
       
    • Neste mês a Mozilla Foundation fez um anúncio da correção de uma falha crítica de segurança em seus navegadores. A falha afeta não só a versão legacy (ESR 52.8.1), mas também o Firefox e Firefox Extended Support Release (ESR) na versão 60.0.2.
      Descoberta pelo pesquisador Ivan Fratric (integrante do time Project Zero da Google) a falha está na biblioteca Skia, utilizada pela maioria dos mantenedores do Firefox e acontece quando um arquivo malicioso no formato SVG utiliza a função de rasterizing com o anti-aliasing desabilitado, permitindo assim que a aplicação quebre com um heap overflow.
      A Mozilla foi rápida e já disponibilizou a atualização, mas é sempre bom verificar se sua versão está atualizada.
    • Recentemente, no canal Papo Binário, falamos sobre o VPNFilter, um malware extremamente avançado e modular (que possui várias funcionalidades) que visa atacar roteadores.
      O número de roteadores afetados já passa da casa dos 500 mil, tornando assim a análise de quais marcas de roteadores foram afetados difícil de ser listada, mas para a felicidade de alguns e infelicidade de outros, esta lista foi aumentada para mais 56, tais quais incluem: D-Link, ASUS, Huawei, Ubiquiti, UPVEL e ZTE. Segundo o laboratório da Talos (grupo de inteligência de ameaças da Cisco) também foi descoberto um terceiro estágio do malware que possui a capacidade de espalhar exploits pela rede utilizando a técnica de  Man-In-The-Middle.
      A dica passada anteriormente era para reiniciar os roteadores, mas aparentemente isto não é mais o suficiente, devido ao módulo de persistência do malware. Cabe a nós ficarmos sempre atentos às novas atualizações dos times de pesquisa (e até mesmo contribuir, por que não?!) para melhorar a forma com que lidamos com ameaças deste nível ?
    • Todos nós ouvimos falar recentemente do lançamento do novo servidor DNS público, o 1.1.1.1, provido pela Cloudflare com a promessa de ser mais rápido e seguro. O servidor atende de fato ao que é prometido e tem agradado a maioria de seus usuários, mas mesmo com toda essa tecnologia não há como escapar do maior inimigo da máquina: o ser humano. ?
      Com o intuito de saber quais IPs são confiáveis ou não, a empresa possui uma lista hard-coded de IPs que pertencem a ela e queria eliminar isto, criando então uma API que faria este trabalho e chamando-a de Provision API. Junto a isto há também uma grande funcionalidade de segurança presente neste servidor chamada de Gatebot, que se resume a uma série de técnicas de mitigação de ataques.
      Alguns disseram que foi um ataque de DDoS, mas a Cloudflare publicou em seu blog no dia 31 de maio que foi um erro cometido por eles, e não por algo externo. O erro de certa forma é simples, mas de grande impacto para todos os usuários do servidor DNS. A questão é que, quando o Gatebot foi implementado junto da API esta não sabia que os intervalos de IP 1.1.1.0/24 e 1.0.0.0/24 eram especiais (da própria Cloudflare), com isto, já podemos imaginar no que deu, não é mesmo? Sim... um falso positivo.
      Esta falta de atenção por assim dizer causou impacto em todos os usuários do servidor por 17 minutos (os deixando sem resolução de nomes) pelo fato do Gatebot pensar que este range de IP era malicioso, levantando várias dúvidas sobre o funcionamento do serviço entregue pela Cloudflare.
      Mesmo com tudo isto a empresa não se abalou e, além de resolver o problema rapidamente também pediu desculpas aos seus usuários e listou as lições aprendidas com o incidente. ?
       
    • Você já utilizou algum programa que precisasse de argumentos em linha de comando para executar alguma ação em específico? Algum programa como: ping, wget, curl, valgrind, etc? Estes são só alguns dos milhares de programas que exigem no mínimo um argumento para serem executados (sem falar de suas opções adicionais). Com isto em mente, o programador Zack Akil criou em seu blog um tutorial simples e muito rico sobre como criar um programa de linha de comando em Python, utilizando um módulo nativo chamado argparse. A intenção de ensinar como programas de linha de comando funcionam através da criação de um. ?
      A ideia do argparse é simples: parsear argumentos passados via linha de comando para um script e executar uma ação de acordo.
      Mesmo sendo uma tarefa aparentemente simples, ler a documentação ou entender como de fato fazer isto de forma correta pode ser difícil para iniciantes. Até mesmo para quem já programa pode ser uma tarefa difícil, tendo em vista que nem todos utilizam a linha de comando no seu dia a dia. Neste ponto, o tutorial do Zack ajuda muito!
      O módulo pode ser utilizado tanto no Python 2 quanto no 3, basta incluí-lo em seu script. O tutorial dá uma introdução extremamente interessante, mas as possibilidades de uso são enormes, não se limite à ele!!! ?
×
×
  • Criar Novo...