Links
- LSD
- 2600
- Hack.co.za
- Packetstorm
- Neworder
- Securityfocus
- The Register
- Crypto-Gram
- Bugtraq
- Full-Disclosure
Livros
Archives
Lost thoughts about the wonderful security world...
Friday, August 06, 2004
Livro publicado recentemente pela Syngress com participacão de figurinhas carimbadas como Fyodor e Ryan Russel. Um grande mix de tecnologia e ficcão (será? será?) conta em cada capítulo estórias que se interligam e tem como grande ponto comum a seguranca das informacões.
Estou no capítulo 4 e já recomendo para todos. Preciso terminar de ler e colocar a "fila para andar".. ganhei o "Código Da Vinci" e tenho ainda o "Diário de um Farol" para ler. Fora o resto... :)
Ops, quase que esqueco: acessem www.insecure.org. Tem de lambuja um capítulo inteirinho for free.
Na última edicão da DefCon, conhecida festa/conferência/congresso dos hackers e simpatizantes, aconteceu um evento interessante: no deserto de Nevada algumas equipes tentavam fazer uma transmissão com wifi (2.4GHz, WLAN, etc), sem amplificacão, pela maior distância possível.
Os vencedores atingiram a incrível marca de cinquenta e poucas milhas. Veja a estória contada pela Wired e, principalmente, as fotos... :)
http://www.wired.com/news/culture/0,1284,64440,00.html?tw=wn_tophead_2
Thursday, January 08, 2004
Depois de receber diversas reclamacoes dos meus 17 leitores, esta de volta o que ha de mais .. de mais.. de mais... bom, esta de volta!
Seja bem-vindo! ihhh rapaz.. vcs sabiam que colocar mensagens convidativas em equipamentos de TI pode safar pessoas mal intencionadas? Voce captura, aplica 100 chibatadas e o cidadao que invadiu seu servidor, em juizo, afirma que havia uma mensagem de "bem vindo" e acabou entrando... pq era bem-vindo.
Este eh o nome do programa de uma radio de NY (off the hook) que vem sido reproduzido em mp3 e indicado constantemente pelo site 2600.org. O programa lida com questoes de TI e seguranca e nos poucos que escutei ate agora, diversos assuntos interessantes sao tratados. No programa do dia 03/12/03, ha uma entrevista com um alemao criador do CryptoPhone, solucao de seguranca ponto-a-ponto para comunicacao de voz.
O programa tem envolvimento direto de Emmanuel Goldstein.
Vale entao a indicacao... A proposito, voces sabem pq 2600? 2600 vem de 2600Hz, frequencia descoberta em um apito que vinha dentro de uma caixa de cereiais.. ao apitar, a tal frequencia interferia e permitia interacao com centrais telefonicas antigas. A facanha foi realizada por John Drapper, que ficou conhecido por Captain Crunch, nickname adotado devido ao mesmo nome atribuido a caixa de cerais onde o tal apito foi encontrado. Tive a chance de conhecer o velinho John "Capt Crunch" Drapper nos EUA.. uma verdadeira figura.
Em uma galaxia brasileira nao tao distante assim, teve-se noticia de que criminosos estavam sendo promovidos a delegados para os olhos eletronicos dos sistemas informatizados. Com ajuda de insiders, alguns traficantes e estelionatarios eram "promovidos" a delegados e investigadores. Parece que no tal sistema, para estes cargos nao ha necessidade de fotos, o que impedia a identificacao de alguns.
Na pratica, eram fornecidas cartas brancas para contraventores... que muitas vezes se safavam por ser, erroneamente, identificados como delegados.. e ainda recebiam um "Po, desculpa aih dotô" como resposta.
Nota: Apesar de alguma vontade politica e investimentos em TI, a maioria dos sistemas nao conta com mecanismos adequados de autenticacao e autorizacao. Na maioria das vezes sa credenciais simples de usuario e senha, compartilhados entre diversas pessoas. Conclusao? Rastreabilidade dificultada, acessos indevidos e casos como este acontecendo quase todo dia.
Depois de receber diversas reclamacoes dos meus 17 leitores, esta de volta o que ha de mais .. de mais.. de mais... bom, esta de volta!
Seja bem-vindo! ihhh rapaz.. vcs sabiam que colocar mensagens convidativas em equipamentos de TI pode safar pessoas mal intencionadas? Voce captura, aplica 100 chibatadas no lombo e o cidadao que invadiu seu servidor, em juizo, afirma que havia uma mensagem de "bem vindo" e acabou entrando... pq era bem-vindo.
Entao, seja bem-vindos per no mucho...
Ok, admito: depois de tanto tempo sem publicar nada esta mensagem de retorno nao ficou la estas coisas... anyway, I am back.
Saturday, October 18, 2003
Onibus Wireless
Em breve os onibus no Rio de Janeiro (pelo menos, ate onde eu soube) utilizarao Smart Cards para autenticacao e validacao de passagens. Idosos, estudantes e usuarios poderao, ou necessariamente precisarao, dos cartoes inteligentes para utilizarem transportes publicos.
Os onibus portanto terao leitores de smart cards, utilizados por cada usuario: se voce nao possuir um, a passagem eh paga e o cobrador "debita" do cartao utilizado por ele, especialmente separado para esta finalidade.
Ate aih tudo bem, ja que tinha conhecimento deste projeto, concebido ha alguns anos e pelo visto soh colocado em pratica ha poucos meses (sim, ja estao sendo realizados pilotos)
O que soube recentemente eh que todos os onibus serao dotados de um "device wireless" e as garagens possuirao access points, responsaveis pela interconexao dos onibus-hosts da rede sem fio. Ou seja, apos um dia de trabalho o onibus eh conectado a rede sem fio da empresa para transferencia das informacoes.
Minha sombrancelha subiu imediatamente apos eu ouvir a noticia de um insider. Que rede serah esta? 802.11b? Como ela foi/serah configurada? E a seguranca? Espero que alguem esteja preocupado com isto.
A proposito, todo este projeto tem um unico objetivo: money, dinero, din din, bufunfa. Dar caronas serah mais dificil, estudantes soh tem gratuidade se tiverem os cartoes magicos (e nao eh que tem gente que compra uniforme de escola para nao pagar passagem de onibus????) e os velinhos, que vao ter que se acostumar com os novos cartoes, vao ter mais mais um assunto depois do compromisso numero um: o Bingo.
- Clotilde, seu cartao eh um "java card"?
- Teresinha, voce bebeu hoje de novo?
- Menina, voce esta muito pra tras....
:-)
Saturday, September 27, 2003
PocketPC Get!
GET / HTTP/1.1
Accept: */*
UA-OS: Windows CE (Pocket PC) - Version 4.20
UA-color: color16
UA-pixels: 240x320
UA-CPU: Intel(R) PXA255
UA-Voice: FALSE
UA-Language: JavaScript
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 4.01; Windows CE; PPC; 240x320)
:-)
Vou lancar a campanha "faca um geek feliz" em breve, aguardem! Ainda falta uma maquina digital "fodola" e uma minidv. Pra comecar...
Friday, September 26, 2003
Brazil Leads Hacker Pack
Este eh o titulo da materia publicada no CyberAtlas. Brasil aparece em primeiro lugar disparado como pais que mais gerou ataques no mes de setembro de 2003, alem de estar em primeiro na contagem geral. Ainda segundo a materia "mi2g asserts that the principal motivation for Brazilian hackers is intellectual challenge and criminal syndicate activity".
Defacers e script-kidies brasileiros agora sao conhecidos por seus desafios intelectuais e formacao de quadrilha!
Acredito que a motivacao de um ataque seja o medidor de sua periculosidade e seriedade. Portanto nao acho que alguem motivado "intelectualmente", gere ataques para centenas de alvos e tenha foco suficiente para "invadir" ou roubar informacoes de alguem que tenha tomado cuidados com seguranca. A maioria dos ataques explora falhas conhecidas, geralmente nao corrigidas pelas empresas que aumentam as estatisticas. A famosa lei de Pareto (80/20).. aplicada a seguranca.
Thursday, September 25, 2003
Saca crianca quando ganha presente? Entao... e mais ou menos assim que me sinto agora, escrevendo estas linhas da recepcao de um consultorio medico lotado. Detalhe, pilotando um pocket pc HP 5550 com wireless(wlan), bluetooth e autenticacao por biometrica... conectado por GPRS atraves de bluetooth com um celular... da ate para ter mais paciencia aqui..
Tuesday, September 16, 2003
Be paranoid, be safe
Cada dia que passa fico mais assustado como informacoes sigilosas de empresas e simples mortais como nos sao facilmente obtidas pela Internet. Tenho certeza que voces ficariam assustados se eu pudesse publicar o que vejo. Entao preciso desabafar aqui.... valeu gente. :-)
A licao que se renova eh que por mais que nos preocupemos com seguranca, e adotamos diversos mecanismos de protecao, sempre tem um pe-de-porco achando que o mundo eh belo e que ainda dah pra fazer negocios na Internet sem se preocupar com seguranca. O pior eh a falsa sensacao de seguranca. O malando acha que ta seguro pq adotou a ultima caixa preta de prateleira. Lamentavel...
Eu achava que esta afirmacao era exagerada mais apos quase 3 decadas de existencia concluo que eh apropriada. Pelo menos. Lah vai: Be paranoid, be safe!
Informacao eh poder.
A história vai virar filme de Hollywood. Dois integrantes do grupo contaram tudo, mas não querem ser identificados. São alunos do Massachussets Institute of Technology, o MIT, uma das melhores escolas dos Estados Unidos.
Os estudantes agiam em conjunto e apostavam no jogo 21. Usavam uma técnica conhecida, a de memorizar as cartas que saiam no 21, mas aplicavam um modelo estatístico que aprenderam na faculdade.
Com isso, eram capazes de antecipar o melhor momento para fazer grandes apostas. Segundo o investigador de um cassino, eles chegaram a ganhar US$ 400 mil num só fim de semana.
Semyon Dukach, que admite ter participado do grupo, diz que os alunos usavam programas de computador para refinar a estratégia. Os alunos visitavam Las Vegas em viagens de fim-de-semana. Ninguém sabe exatamente quanto ganharam com a atividade extracurricular.
Os estudantes dizem que torraram todo o dinheiro em noitadas na própria cidade. Gastavam em festas, mulheres, ficavam nos melhores hotéis, em suítes que tinham até mordomo.
Os cassinos americanos têm o direito de evitar a entrada de qualquer jogador, o que acabou acontecendo com os alunos de MIT. Mas eles não foram processados, porque nada fizeram de ilegal. Apenas usaram a estatística e a matemática que aprenderam na escola para jogar 21 melhor do que qualquer crupiê de Las Vegas.
Fonte: jornalnacional.globo.com
