Stuxnet e como matar uma centrifugadora

novidades interessantes sobre o Stuxnet:

Stuxnet's Earlier Version Much More Powerful And Dangerous, New Analysis FindsDarkReading

The later-discovered earlier iteration of Stuxnet was a far more aggressive, stealthy, and sophisticated attack that could have ultimately caused catastrophic physical damage in Iran's Natanz facility. So says the expert who deciphered how Stuxnet targeted the Siemens PLCs, after recently reverse-engineering the code and further studying the attacks.

Ralph Langner, head of The Langner Group and a renowned ICS/SCADA expert, today published an analysis of Stuxnet that shines new light on the game-changing cyberweapon. Langner concludes, among other things, that the attackers moved from a more destructive and stealthy payload to a weaker and more easily detected one, and conventional wisdom that it would take a nation-state to use Stuxnet as a blueprint for attacks against U.S. and its allies' critical infrastructure is incorrect.

One big takeaway from Langner's new analysis is how the Stuxnet attackers so dramatically shifted gears from a dangerous, aggressive, and hidden attack strategy that wasn't discovered for at least five years to a louder, more noticeable, and detectable one that burnt multiple zero-day vulnerabilities and used stolen digital certificates. "What you see today in that analysis is that the first attack was more complex, stealthy, and more aggressive than the second. That is counterintuitive," Langer told Dark Reading. "So why did the attackers go from the ultimate in stealth and aggression to something that's much more simple and comes with a much higher risk of detection?"

(...)

Langner's full and detailed report, "To Kill A Centrifuge," which includes analysis of photos from inside the Natanz plant floor, is available here (PDF) for download.

Microsoft deixa SHA-1 em 2016

Microsoft is recommending that customers and CA’s stop using SHA-1 for cryptographic applications, including use in SSL/TLS and code signing. Microsoft Security Advisory 2880823 has been released along with the policy announcement that Microsoft will stop recognizing the validity of SHA-1 based certificates after 2016.

Background

Secure Hashing Algorithm 1 (SHA-1) is a message digest algorithm published in 1995 as part of NIST’s Secure Hash Standard. A hashing algorithm is considered secure only if it produces unique output for any given input and that output cannot be reversed (the function only works one-way).

Since 2005 there have been known collision attacks (where multiple inputs can produce the same output), meaning that SHA-1 no longer meets the security standards for a producing a cryptographically secure message digest.

For attacks against hashing algorithms, we have seen a pattern of attacks leading up to major real-world impacts:

Short history of MD5 Attacks
Source: Marc Stevens, Cryptanalysis of MD5 and SHA-1
  • 1992: MD5 published
  • 1993: Pseudo-collision attack
  • 2004: Identical-prefix collision found in 2^40 calls
  • 2006: chosen-prefix collision found in 2^49 calls
  • 2009: identical-prefix and chosen prefix optimized to 2^16 and 2^39 calls respectively, Rouge CA practical attacks implemented

It appears that SHA-1 is on a similar trajectory:
  • 1995: SHA-1 published
  • 2005: SHA-1 collision attack published in 2^69 calls
  • 2005: NIST recommendation for movement away from SHA-1
  • 2012: Identical-prefix collision 2^61 calls presented
  • 2012: Chosen-prefix collision 2^77.1 calls presented
(...)


texto completo: Security Advisory 2880823: Recommendation to discontinue use of SHA-1

Sites com desafios de hacking

7 Sites With Hacking Challenges! 

fonte: EFYtimes.com


1. OverTheWire: The wargames offered by the OverTheWire community can help you to learn and practice security concepts in the form of fun-filled games. They have lots hacking challenges which include analyze the code, simple tcp communication application, crypto cracking etc.

2. We Chall: Similar to Over The Wire, We Chall also carries lots of challenges together with a large list of other sites with similar challenges.

3. Smash The Stack: The SmashtheStack Wargaming Network hosts several Wargames. The goal is to get from the first level to the last level. Along the way you should pickup or refine any techniques that were required to defeat the level. The levels for each game are structured progressively. You start at the first level. Once you have completed the first level you will have the credentials to view the password for the next level.

4. Wixxerd: Wixxerd is a cool website with some really cool hacking challenges and games on cryptography, programming, math puzzles, enumeration, steganography, forensics and what not.

5. Hellbound Hackers: It offers challenges that teach you how computer based exploits work.

6. Badstore: Badstore.net is dedicated to help you understand how hackers prey on Web application vulnerabilities, and to show you how to reduce your exposure. The software is designed to show you common hacking techniques.

7. exploit-exercises: exploit-exercises.com provides a variety of virtual machines, documentation and challenges that can be used to learn about a variety of computer security issues such as privilege escalation, vulnerability analysis, exploit development, debugging, reverse engineering, and general cyber security issues.

Atithya Amaresh, EFYTIMES News Network

DDoS com browsers

Um artigo interessante sobre ataques DDoS usando bots que correm em browsers no site da Incapsula. Refere um ataque do género que durou 150 horas e foi realizado por mais de 180 mil endereços IP espalhados por todo o mundo, como se pode ver no mapa abaixo:


Português segunda língua mais usada em malware

Não é bonito mas é uma oportunidade para quem quiser investigar malware:

Português é a segunda língua mais usada em malware
Exame Informática

O fundador da Kaspersky Labs deu uma conferência na Austrália, onde revelou algumas curiosidades relacionadas com segurança informática e partilhou algumas estatísticas.


Ataque com pens usb

giro:

Como a Rússia usou pens USB para distribuir malware pelos delegados do G20
fonte: Exame Informática

É um clássico de qualquer evento ou conferência: o anfitrião entrega uma pasta com documentos, agendas, lembranças e até pens USB que ajudam a trabalhar toda a informação no computador. No caso da reunião do G20, que teve lugar em São Petersburgo, o anfitrião russo juntou ainda mais um brinde para distribuir pelos delegados: três carregadores de telemóveis.

Poderia ser apenas uma típica pasta de trabalho de mais uma grande cimeira, mas o Corriere Della Sera garante que uma parte importante dos brindes disponibilizados pelo governo russo só viria a ser conhecida depois do evento terminar: as pens USB e os três carregadores de telemóveis estavam “artilhados” com códigos maliciosos, que aparentemente, teriam por principal objetivo infetar os computadores dos representantes das 19 maiores economias do mundo e da UE.

notícia completa no site da Exame Informática

ferros de engomar e chaleiras espiões

notícia nas Hacker News: "a China está a colocar microchips espiões em ferros eléctricos e chaleiras capazes de procurar redes wi-fi abertas e introduzir malware"

Building Security In Maturity Model

"Cigital is proud to announce BSIMM-V, the fifth major release of the Building Security In Maturity Model (BSIMM). It is the industry's first and only software security measurement tool built on real-world data, and helps organizations understand, measure, and plan their software security initiatives.

Unlike software security methodologies based unproven theories and hunches, BSIMM-V is built on data directly observed in the field. BSIMM-V encompasses 18 times the measurement data of the original study and reports on 1 new activity, bringing the total activity count to 112."

Zeus ataca mascarado de Dropbox

A new campaign just started up involving some fake dropbox password reset emails. The emails come in with a sad computer face claiming the recipient has requested a password reset and their old password is now "dangerous".

notícia completa no blog da AppRiver

Muscular: NSA espia Google e Yahoo

do Público online hoje:

Espionagem em larga escala no Google pode ser um tiro no pé da NSA
ALEXANDRE MARTINS E JOÃO PEDRO PEREIRA 01/11/2013 - 00:00


A revelação de que a Agência de Segurança Nacional (NSA) norte-americana recolhe dados de utilizadores do Google e do Yahoo sem o conhecimento das empresas está a enfurecer o sector tecnológico do país e a causar estupefacção em alguns sectores dos serviços secretos.

"Não permitimos a nenhum governo, incluindo ao dos EUA, o acesso aos nossos sistemas. Estamos indignados com os limites a que o Governo [dos EUA] parece ter chegado para interceptar dados das nossas redes privadas, e isso reforça a urgência de se proceder a uma reforma", declarou o responsável pelo departamento legal do Google. David Drummond reagia a uma notícia do jornal The Washington Post, feita a partir dos documentos obtidos pelo analista informático Edward Snowden, segundo a qual a NSA se apodera dos dados dos utilizadores do Google e do Yahoo no momento em que estão descodificados.

De acordo com um documento datado de 9 Janeiro de 2013, nos 30 dias anteriores foram recolhidos e enviados para a sede da NSA, no estado do Maryland, mais de 180 mil milhões de novos dados relativos a comunicações de utilizadores comuns.

Esta recolha de dados é uma actividade separada do programa Prism, revelado no início de Junho, que implicava a colaboração das empresas de tecnologia envolvidas - neste caso, gigantes como o Google, Yahoo, Microsoft, Facebook ou Apple forneciam à NSA os dados que a agência requisitava, mediante autorizações judiciais do tribunal que supervisiona a actividade dos serviços norte-americanos, o Foreign Intelligence Surveillance Court.

Este projecto separado, revelado agora pelo The Washington Post, tem o nome de código Muscular e é mantido juntamente com o Government Communications Headquarters, o equivalente britânico à NSA norte-americana. As duas agências interceptam a informação quando esta circula nos cabos de fibra óptica que ligam os vários centros de dados de ambas as empresas, onde é armazenado todo o tipo de informação dos utilizadores.

A intrusão foi feita fora dos EUA, já que dentro daquele país a acção da NSA seria considerada ilegal, devido às restrições impostas à recolha de informações privadas de cidadãos norte-americanos.

Para além da escala da recolha de dados, que é ainda maior do que se pensava, através do projecto Muscular a NSA regista não apenas metadados (identificação dos remetentes e destinatários, datas da troca de e-mails ou duração de uma chamada telefónica), mas também o conteúdo, como texto, áudio e vídeos.

A informação publicada pelo jornal mostra um slide com um desenho simplificado (ver foto mais pequena nesta página), que ilustra a articulação entre os serviços que o Google disponibiliza aos utilizadores e a "nuvem" de servidores onde a informação é armazenada e na qual, de acordo com o desenho, os dados circulam de forma não codificada. É aqui que a NSA se apodera de toda a informação possível. Neste momento do processo de transmissão de dados entre servidores, o objectivo é garantir que a informação partilhada pelos utilizadores nunca se perde e que o acesso aos serviços do Google e do Yahoo é sempre rápido.

"Uma situação impossível"

O acesso quase em tempo real aos dados dos milhões de utilizadores de dois gigantes tecnológicos pode estar a criar "uma situação impossível" para o sector, disse ontem o membro da Câmara dos Representantes Adam Schiff, do Partido Democrata. Citado pela revista Foreign Policy, Schiff - também membro da Comissão de Serviços Secretos - afirma que a violação de privacidade em larga escala pela NSA "vai sem dúvida prejudicar o negócio" de empresas como o Google e o Yahoo.

Do ponto de vista comercial, a principal preocupação é a fuga de utilizadores para empresas que tenham os seus servidores localizados fora do território dos EUA, embora o mundo há muito tenha deixado de poder ser dividido entre o que é nacional ou estrangeiro, quando se fala em troca de comunicações através da Internet.

Apesar de tudo, o problema para as empresas é bem real: de acordo com um relatório publicado em Agosto pelo think tank sem fins lucrativos Information Technology and Innovation Foundation, o escândalo de espionagem da NSA pode custar ao sector 35 mil milhões de dólares (mais de 25 mil milhões de euros) até 2016.

A violação de privacidade de cidadãos em larga escala preocupa também ex-responsáveis dos serviços secretos norte-americanos, que temem perder a colaboração das empresas. "Por que raio queremos queimar uma relação com o Google ao entrar sem autorização num centro de dados", questiona-se um antigo analista citado pela Foreign Policy.

Numa primeira reacção à notícia do The Washington Post, o director da NSA, o general Keith Alexander, disse apenas que não tinha conhecimento da existência dos documentos. Questionado sobre se a NSA tinha acesso directo aos centros de dados do Google e do Yahoo, a resposta foi cuidadosa: "Que eu tenha conhecimento, isso nunca aconteceu."

O The Washington Post especulava ontem sobre uma das razões que terá levado a NSA a recolher dados sem o conhecimento das empresas: se as empresas não souberem, as preocupações com a privacidade dos utilizadores deixam de ser um problema. A mesma ideia foi verbalizada pelo presidente da Comissão de Serviços Secretos da Câmara dos Representantes, Mike Rogers, do Partido Republicano. Na audição sobre as actividades da NSA, na terça-feira, o também responsável pela supervisão dos serviços secretos dos EUA, deixou escapar uma frase polémica, numa troca de palavras com o professor de Direito Stephen Vladeck, da American University de Washington: "Não se pode violar a privacidade de alguém, se essa pessoa não souber que a sua privacidade está a ser violada."