Facebook: Torrent, Web Crawler e ataque de Cross-Site scripting
29 de Julho de 2010, 0:00 - sem comentários ainda
É pessoal!! Acho que a equipe de segurança do Facebook chutou algum ebó ( macumba ) por esses dias porque nos últimos dias os blogs e sites especializados em segurança lançaram alguns Full-Disclosures sobre este que é uns dos maiores sites de redes sociais. Segundo o site Alexa o Facebook só perde para o Google ficando acima do Youtube em acessos diários.
Na semana passada um tweet da @FSLabsAdvisor divulgou um Directory do Facebook contendo a lista de todos os seus usuários, ai começa a semana de cão dos caras. Para facilitar a vida um script foi criado para o Nmap facilitando o download da lista contida no diretório.
Para acabar de estragar a semana dos caras resolveram disponibilizar a lista via torrent. Nela você encontrará fotos, informações pessoais, URL, amigos exceto se o usuário habilitou o item de privacidade então somente aparecerão seu nome e foto.
Acredito que neste momento você deve estar clicando para sair deste post. Eu não recomendo porque o melhor vem agora….
Ron Bowes autor do blog Skull Security criou um web crawler em Ruby que baixa a lista completa apresentando resultados realmente interessantes. Usando o script ele conseguiu nada menos do que 171 milhões de contas gerando uma lista das contas top do site.
Junto com o esse vacilo foi divulgado pela Acunetix um artigo técnico e o video abaixo apresentando um ataque de XSS no site do Facebook.
As vulnerabilidades encontradas não são novas em sites de redes sociais, recentemente a mesma falha de XSS permitiu que milhares de usuários do Orkut caissem no conto das Moedas Verde gratuitas para o jogo Colheita Feliz.
Um javascript era executado permitindo que o atacante enviasse scraps usando seu perfil, alterando todas sua informações além de fazer um cache poisoning redirecionando a tela do login para um site fake para sequestrar ( hijacking ) seu perfil.
Facebook, Twitter, Noosfero entre outros sites de redes sociais sempre serão vitimas destes e de outros tipos de ataques pois nele estão contidos muitas informações sobre seus usuários.
Para os usuários destas redes fica a dica para evitar cadastrar informações importantes, fotos pessoais e sempre utilizar ferramentas que alertam possiveis falhas como as apresentadas acima.
Fontes:
See:
H2HC – Chamada de Trabalhos ( Call for Papers )
25 de Julho de 2010, 0:00 - sem comentários ainda
Iniciada a chamada de tabalhos da 7a. edição da H2HC ( Hackers to Hackers ), tradicional evento brasileiro que ocorre desde 2004 ficando melhor e mais profissional a cada ano.
Hackers To Hackers Conference (H2HC) é uma conferência organizada por pessoas que trabalham ou que estão diretamente envolvidas com pesquisas e desenvolvimento na área de segurança da informação, cujo principal objetivo é permitir a disseminação, discussão e a troca de conhecimento sobre segurança da informação entre os participantes e também entre as empresas envolvidas no evento. Com treinamentos e palestras apresentadas por membros respeitados do mundo corporativo, grupos de pesquisas e comunidade underground, neste ano a conferência promete demonstrar técnicas que nunca foram vistas ou discutidas com o público anteriormente.
Contando com patrocinadores, um apoio de peso, excelentes palestras e trainamentos o evento ocorrerá dias 27 e 28 de novembro no Hotel Novotel Morumbi em São Paulo.
Informações
Prazos e submissões
Prazo máximo para submissao de propostas: 25 de Setembro de 2010
Prazo máximo para submissao de slides: 05 de Outubro de 2010
Notificação de aceitação ou reijeição: não antes de 10 de Outubro de 2010* E-mail para submissões de propostas: rodrigo *noSPAM* kernelhacking *dot* com *
Junto com a submissão do artigo devem ser fornecidos os seguintes detalhes:
– Nome do palestrante, endereço, e-mail, número de telefone e informações gerais para contato
– Uma breve, porém informativa descrição sobre sua palestra
– Uma mini biografia do palestrante, incluindo organização, empresa e afiliações
– Tempo estimado de duração da palestra
– Tópico geral da palestra (ex.: segurança de rede, programação segura, forense computacional, etc.)
– Qualquer outro requerimento técnico para sua apresentação
– A necessidade de visto para entrada no Brasil
Maiores informações:
H2HC Conference – http://www.h2hc.org.br
See:
Owasp – Chamada de trabalhos AppSec Brasil 2010
24 de Julho de 2010, 0:00 - sem comentários ainda
O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.
Buscamos pessoas e organizações que queiram ministrar palestras sobre segurança de aplicações. Em particular destacamos os seguintes tópicos de interesse:
Modelagem de ameaças em aplicações (Application Threat Modeling)
Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
Aplicações de Revisões de Código (Hands-on Source Code Review)
Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)
Práticas de Programação Segura (Secure Coding Practices)
Programas de Segurança para todo o Ciclo de Vida de aplicações
(Secure Development Lifecycle Programs)
Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)
Controles de Segurança para aplicações Web (Web Application Security countermeasures)
Testes de Segurança de aplicações Web (Web Application Security Testing)
Segurança de Web Services ou XML (Web Services, XML and Application Security)
A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.
Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/6/68/OWASP_AppSec_Brasil_2010_CFP%28pt-br%29.rtf.zip, que deve ser enviado através da página da conferência no site Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
Cada apresentação terá 45 minutos de duração, seguidos de 10 minutos para perguntas da platéia. Todas as apresentações deverão estar em conformidade com as regras definidas pelo OWASP em seu “Speaker Agreement”.
Datas importantes:
A data limite para apresentação de propostas é 17 de agosto de 2010 às 23:59, horário de Brasília.
A notificação de aceitação ocorrerá até o dia 8 de setembro de 2010.
A versão final das apresentações deverá ser enviada até o dia 30 de setembro de 2010.
A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org
Para mais informações, favor consultar as seguintes páginas:
Página da conferência: http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)
OWASP Speaker Agreement (em inglês): http://www.owasp.org/index.php/Speaker_Agreement
Página do OWASP: http://www.owasp.org
Página da conferência no Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
Formulário para apresentação de propostas: http://www.owasp.org/images/f/f7/OWASP_AppSec_Brasil_2010_CFP.rtf.zip
ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário
Fonte:
Wagner Elias – Think Security First
See:
Black Hat – Palestrante apresentará roteadores xDSL vulneráveis a ataque de DNS rebinding
13 de Julho de 2010, 0:00 - sem comentários ainda
O pesquisador de segurança da Informação Craig Heffner da Seismic apresentará a palestra “How to Hack Millions of Routers.” na próxima edição da Black Hat que ocorrerá de 24 a 29 de julho em Las Vegas.
Nesta palestra será apresentado um ataque capaz de invadir roteadores ADSL de vários fabricantes como Dell, Linksys, Verizon Fios entre outros. Ele está desenvolvendo um software capaz de invadir estes roteadores usando a variante de uma antiga técnica conhecida como “DNS rebinding”.
A vulnerabilidade que permite este ataque já foi “corrigida” a anos, porém Heffner afirma que a correção não foi bem aplicada permitindo que usuários conectados tenham suas sessões captudas ( hijacking ) e suas informações roubadas.
A falha é explorada através do DNS ( Domain Name System ), segundo Heffner será criado um site “isca” que ao ser acessado executará um script. Este script fará a captura da sessão permitindo que o atacante acesse a rede da vitima.
A dúvida que paira no ar é como este ataque será apresentado no evento, pois os navegadores possuem ferramentas de detecção quando um site está infectado com um possível malware. O pesquisador afirma que as correções implementadas no OpenDNS e no plugin NoScript do Firefox não bloqueiam o ataque.
Veja a lista dos equipamentos onde a invasão foi bem sucedida:
Mas nada é fácil como parece. Para o ataque ser bem sucedido o roteador da vitima deverá possuir alguma vulnerabilidade explorável ou simplesmente estar configurado com a senha padrão do usuário admin. O que não será muito difícil de encontrar já que são pouquissimos usuários que se preocupam em alterar a senha padrão do seu roteador ou mantem o firmware do equipamento atualizado.
Então segue a dica de ouro:
“Mantenham o firmware dos seus routers atualizados e alterem a senha padrão do usuário admin”
E como o próprio Heffner diz:
“Eu não sou o primeiro a falar na Black Hat sobre DNS rebinding, nem serei o último…”
Fonte:
“Millions” Of Home Routers Vulnerable To Web Hack
Referências:
DNS rebinding
Protecting Browsers from DNS Rebinding Attacks
[Video] DNS Rebinding with Robert RSnake Hansen
See:
