Menu

Tag: Segurança

Bloqueio de ICMP: camada de segurança ou uma medida ruim?

No censo da Internet conduzido pelo DefCon-Lab, nós constatamos que muitos dispositivos filtram (bloqueiam) mensagens do protocolo ICMP e, apesar de não responderem às mensagens Echo Request, estavam on-line pois respondem em portas TCP/UDP. Percebemos isso ao comparar o Censo da Internet 2018 com outros mapeamentos realizados anteriormente, como o Mapeamento Global do HTTPS

Conforme prometido naquela ocasião, hoje iremos aprofundar esse assunto. Em primeiro lugar, vamos entender do que se trata o protocolo ICMP. O comando ping é a aplicação

Continuar Lendo

Itaipu e os Bots: 2ª Temporada

Essa não é a primeira vez que o Parque Tecnológico de Itaipu (PTI) é objeto de artigo aqui no Lab. Já falamos sobre evidências de mineração de criptomoedas e de cadastro de IP do PTI em Blacklist por ser origem de tráfego malicioso, inclusive por ataque de força bruta contra servidores SSH (em Itaipu e os Bots: a odisseia continua).

Nossa experiência tem demonstrado que esse tipo de tráfego normalmente é gerado mais devido a presença de bots maliciosos dentro da rede. Eles

Continuar Lendo

Vazamento nosso de cada dia

Já abordamos aqui no Lab a prática recorrente entre usuários: o uso repetido de senhas padrão ou senhas pouco complexas. Nas postagens o uso de um ativo institucional (conta de e-mail) para fins pessoais e os perigos de uso de senhas padrão expusemos exemplos concretos dos riscos associados a esse comportamento desidioso.

Identificamos a divulgação de credenciais de acesso (usuário e senha) com frequência diária. Por isso, optamos por realizar uma análise dos resultados desses vazamentos como amostragem da prática dos

Continuar Lendo

Publicação – Rio Negro/AR – Mafia Project

Identificamos publicação (18/07) que alega ser produto de ação ofensiva seguida de vazamento pelo grupo The Mafia Project.

A publicação ocorreu no site de compartilhamento de texto Hastebin e indica dados de pessoais de usuários e senhas do governo da Província de Rio Negro, na Argentina .

O grupo The Mafia Project já tinha publicado um suposto vazamento de dados da cidade de Nova Iorque (EUA), sendo que o conteúdo do leak é idêntico a dados que

Continuar Lendo

Vazamento de Dados – ICS Medtech

Identificamos vazamento (18/07) que parece veicular dados da empresa icsmedtech.com, uma empresa norte-americana de segurança cibernética.

A publicação ocorreu no site de compartilhamento de texto Pastebin e indica nome de bases de dados, usuário e senha em texto claro.

A autoria do vazamento foi reivindicada pelo grupo Kelvin Security Team, grupo de pesquisadores de nacionalidade venezuelana com amplo histórico de ações de ofensivas.

O vazamento não teve declaração que indicasse conteúdo político-ideológico, o que é habitual por parte do grupo.

Continuar Lendo

Phishing – Tesouro Direto

Já relatamos aqui no Lab casos de phishings em diferentes entidades públicas, algumas com registros reiterados (Sorria, tem pescaria na Bahia, a saga continuafisherei, phishing 2.0, phishing BNDESphishing BNDES2, Espírito SantoVitória do Xingu e Sorocada e Jaguariaíva).

Identificamos novo caso de phishing. Dessa vez o alvo foi distinto dos demais, investidores no Tesouro Direto.

A URL maliciosa:

  • http://tesourodireto.gov.br.codiv.international/tesouro/index.php

Como é possível observar a página tem por o objetivo de obter

Continuar Lendo

Phishing – Sorocaba e Jaguariaiva

Já relatamos aqui no Lab casos de phishings em diferentes entidades públicas, algumas com registros reiterados (Sorria, tem pescaria na Bahia, a saga continuafisherei, phishing 2.0, phishing BNDESphishing BNDES2, Espírito Santo e Vitória do Xingu).

Identificamos dois novos casos de phishing contra os município de Sorocaba/SP e Jaguariaíva/PR, hospedados nas URL:

  • http://www.funservsorocaba.sp.gov.br/common/oauth2/authorize/error.php?P=_93894574342hdfjsixaoweue5_j1489738549283781331983743fncn_Product-UserID&userid
  • http://www.jaguariaiva.pr.gov.br/cache/com_plugins/ING/ING_vbv/de/index3.php

No caso da Fundação de Servidores Públicos de Sorocaba hospeda página do Office365, presumidamente com o objetivo de obter

Continuar Lendo

Transição para o HTTPS, um desastre verde e amarelo anunciado

Conforme já falamos aqui no Lab, o Google Chrome marcará todos os sites HTTP como “não seguros” a partir de julho de 2018. O objetivo dessa transição é tornar a web mais segura. Isso porque sem a camada de criptografia HTTPS, alguém com acesso ao seu roteador ou qualquer agente entre você e o site que você está acessando pode interceptar as informações trocadas (inclusive credenciais de acesso) ou injetar códigos malicioso em ataques conhecidos como

Continuar Lendo

PM/MG, moderação e disfunção erétil

Identificamos ocorrência na qual página da Polícia Militar de Minas Gerais (PM/MG) contém diversos anúncios para tratamento de disfunção erétil, emagrecimento, redução de celulite, entre outras propagandas correlatas.

Os anúncios estão em área de comentários (aparentemente não moderada) da página da Revista da Polícia Militar de Minas Gerais na seguinte URL: http://revista.policiamilitar.mg.gov.br/periodicos/index.php/psicologia/comment/view/97/0/60

É evidente que o referido conteúdo é incompatível com a natureza do site, razão pela qual ele deve ter sido inserido de forma arbitrária na página por

Continuar Lendo

Malware Bancário Emotet no Brasil – Atualização

Já havíamos detectado publicações anteriores (09/03) em site de compartilhamento de texto que indicaram que páginas brasileiras estão distribuindo o trojan bancário conhecido como Emotet.

Em novos registros coletados, verificou-se 149 URL de domínios “.br” que fazem parte da infraestrutura do Emotet. Isso representa 3,25% do total de 4.569 URL que foram identificadas.

Entre os domínios brasileiros, dois estão vinculados a entidades públicas:

  1. SAAE – Serviço Autônomo de Saneamento Básico de Itabrito (Minas Gerais) – URL: http://www.saaeita.mg.gov.br/Rechnungsanschrift-korrigiert/
Continuar Lendo