domingo, 14 de maio de 2017

WannaCry - O que é, Riscos, Proteção, Remendos, Testes, Informações e Notícias

"Téchne Digitus - Because information wants to be free

e não sequestrada..."


WannaCry - O que realmente você precisa saber?


O que é o WannaCry?

O WannaCry é um ramsonware, um malware que criptografa seus arquivos e pede um pagamento resgate para descriptografá-los.

O WannaCry 2.0 é uma variação do WannaCry que ganhou um novo vetor de contaminação via worm desenvolvido com um exploit criado pela NSA (National Security Agency) dos EUA e, que foram roubados e vazados pelo grupo TheShadownBrokers.

Quem está em risco?

Sistemas que utiliza a maioria das versões do Microsoft Windows. (Lista Completa de Sistemas Vulneráveis)

Como se proteger?

- Mantenha o Microsoft Windows Atualizado: Irá sanar a vulnerabilidade que permite o worm se proliferar via rede.

- Use um anti-vírus atualizado: Irá impedir a execução do malware

Como descriptografar os arquivos sequestrados?

Foi criado o WannaKey, que funciona para descriptografar arquivos na própria máquina infectada, antes de ser reiniciada. O utilitário foi 100% validado em casos com Windows XP e existem grandes chances de funcionar em outras versões do Windows.

Obtenha o utilitário e confira todas as informações sobre ele em: https://github.com/aguinet/wannakey

Remendos Emergenciais

Existem dois remendos (entendo por remendo solução paleativas rápidas) disponíveis quando não se pode instalar as atualizações ou manter um anti-vírus atualizado.

- Desabilitar o serviço SMB do Windows (impede o worm de contaminação via rede):

Disable SMB Service - Téchne Digitus
Source: https://www.facebook.com/pg/thehackernews/photos/?ref=page_internal
- Executar o NoMoreCry utilitário criado por CCN-CERT
 ( funciona como uma vacina para impedir o ataque local do ransomware)


Executar o NoMoreCry (em exe ou em bat - ou os dois), manualmente como admin ou enforçado pelo ActiveDirectory. Todas as informações necessárias estão em: https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND?path=%2F

Deve ser executado toda vez que o Windows for iniciado.

Quero testar o WannaCry, como faço?


Em um ambiente de testes isolado (se não souber criá-lo, não o faça), baixe amostras do WannaCry e teste.

Primeiro teste a infecção para conhecer o comportamento do malware.
Depois teste um ambiente com as devidas proteções antes de executar o malware.

Você encontra links para baixar amostras do ramsonware em: https://gist.github.com/pcostesi/87a04a3bbbdbc4aeb8b787f45eb21197#cc-centers

Quero testar remotamente meus servidores e estações se estão infectadas pelo backdoor "DoublePulsar" criada pela NSA e vazada pelo grupo TheShadowBrokers, como faço?

Utilize os scripts "doublepulsar-detection-script" em Python, disponíveis em https://github.com/countercept/doublepulsar-detection-script

Quero testar remotamente se meus servidores e estações estão vulneráveis, como faço?

Utilize o script "smb_ms17_010" em Python ou Ruby, disponível em https://github.com/RiskSense-Ops/MS17-010/tree/master/scanners

Quero acompanhar o status da contaminação global, como faço?


Acesse o link: https://intel.malwaretech.com/botnet/wcrypt (vide WannaCrypt)

WannaCry Map - Téchne Digitus

Fotos da Contaminação Global

WannaCry01 - TéchneDigitus

WannaCry02 - TéchneDigitus

WannaCry03 - TéchneDigitus
WannaCry04 - TéchneDigitus

WannaCry05 - TéchneDigitus

WannaCry06 - TéchneDigitus

Como estar por dentro das últimas novidades sobre o Caso WannaCry?

Recomendamos seguir no Twitter: @MalwareTechBlog@TheHackersNew

quinta-feira, 29 de dezembro de 2016

Proxy Transparente pela Tor utilizando OpenWrt

Olá a todos!

O desafio deste artigo é apresentar como se configura uma caixa OpenWrt para que possamos sair para a Internet através da rede Tor de forma transparente para quem se conectar na rede, em inglês, também chamado de Anonymizing Middlebox.

Tor TechneDigitus
Tor: Rede aberta, dentro da Internet que provê robusta, mas não perfeita, camada de anonimado para acesso a Internet.

OpenWrt TechneDigitus
OpenWrt: Firmware baseado em Linux como alternativa de sistema operacional para roteadores domésticos, transformando-os em poderosas e flexíveis ferramentas.

Pré-Requisito não abordado neste artigo: Roteador com OpenWrt instalado

Resumidamente, precisa possuir um roteador compatível com o OpenWrt. Para isso, acesse https://wiki.openwrt.org/toh/start e confira se seu roteador está na lista de roteadores suportados.
Se seu roteador não estiver listado, será necessário arrumar um. A lista de roteadores compatíveis você já tem!
Uma vez identificado que seu router é compatível, é necessário instalar o OpenWrt no mesmo. Cada router ou firmware pode ter um tutorial específico para ele no site da OpenWrt. Porém, eles disponibilizam um artigo genérico para esse procedimento: https://wiki.openwrt.org/doc/howto/generic.flashing

CLI OpenWrt


Primeiro Passo: Instalando o Tor no OpenWrt


1. Logue em seu roteador por CLI
2. Digite opkg update //Para baixar a lista de pacotes disponíveis para instalação
3. Digite opkg install tor //Para instalar o Tor propriamente dito

Passo Dois: Configurando o Tor


1. Faça um backup das configurações originais do Tor com o comando cp /etc/tor/torrc /etc/tor/torrc.bkp
2. Edite o arquivo torrc, como aqui eu já havia previamente instalado o vim (opkg install vim), utilizei o seguinte comando: vim /etc/tor/torrc
3. Apague todo o conteúdo deste arquivo e cole somente as linhas abaixo:

##Configurações Básicas da Tor
User tor
RunAsDaemon 1
PidFile /var/run/tor.pid
DataDirectory /var/lib/tor
VirtualAddrNetwork 10.192.0.0/10 #Esta rede é interna do serviço da Tor
AutomapHostsOnResolve 1              

##Configurações Importantes
TransPort 9040 #Definimos a porta que será utilizada para receber o tráfego TCP que será encaminhado para a Tor
TransListenAddress 192.168.10.1 #Definimos o IP deste router que irá receber as requisições na porta TransPort
DNSPort 9053 #Definimos a porta que será utilizada para receber as requisições DNS que serão encaminhadas para a Tor
DNSListenAddress 192.168.10.1 #Definimos o IP deste router que irá receber as requisições na porta DNSPort

Passo Três: Configurando a Rede


1. Faça um backup das configurações de rede de seu router com o comando cp /etc/config/network /etc/config/network.bkp
2. Abra o arquivo backapeado anteriormente com seu editor de textos vim /etc/config/network

Explanação:
Aqui, configuraremos uma "interface" virtual de rede para nosso roteador utilizar para a Tor. Seguiremos as configurações de rede já expostas anteriormente (192.168.10.0/24).

Basicamente, iremos inserir agora uma sessão "config interface" para a Tor, chamaremos-a de transtor.

Note que em vermelho, estará indicada a interface do roteador que utilizaremos para declarar essa rede. Para ver o nome exato das suas interfaces disponíveis para utilizar neste arquivo de configuração, basta usar o comando ifconfig.

E em amarelo, a máscara e o IP da interface, respectivamente.

3. Insira a sessão abaixo no arquivo network

config interface 'transtor'                                               
        option proto 'static'                                             
        option netmask '255.255.255.0'                                    
        option ipaddr '192.168.10.1'                                      
        option _orig_ifname 'wlan0'                                     
        option _orig_bridge 'false'                                       
        option delegate '0'                                               
        option type 'bridge'                                              
        option ifname 'wlan0'

Passo Quatro: Configurando o DHCP


1. Faça um backup das configurações de dhcp de seu router com o comando cp /etc/config/dhcp /etc/config/dhcp.bkp

2. Abra o arquivo dhcp com seu editor de textos: vim /etc/config/dhcp

Explanação:
Aqui, basicamente adicionaremos uma sessão "config dhcp" para distribuir o endereçamento pela interface transtor criada anteriormente.

3. Insira a sessão abaixo no arquivo dhcp:

config dhcp 'transtor'                     
        option interface 'transtor'              
        option 'start' '100'               
        option 'limit' '150'                     
        option 'leasetime' '12h'

Passo Cinco: Configurando o Firewall Básico


1. Faça um backup das configurações de rede de seu router com o comando cp /etc/config/firewall /etc/config/firewall.bkp

2. Abra o arquivo firewall com seu editor de texto: vim /etc/config/firewall

Explanação:
Aqui basicamente iremos criar uma zona com regras default mais três regras específicas.

3. Insira as sessões abaixo em seu arquivo firewall:

#Na Zona configuramos que toda a entrada e encaminhamento de pacotes para a interface transtor será rejeitada, somente liberando a saída de pacotes por essa interface
config zone
        option name 'transtor'
        option output 'ACCEPT'
        option syn_flood '1'
        option conntrack '1'
        option family 'ipv4'
        option network 'transtor'
        option input 'REJECT'
        option forward 'REJECT'

#Libera tráfego DHCP da Interface transtor oara a porta 67 UDP deste router
config rule
        option name 'DHCP-para-Transtor'
        option src 'transtor'
        option proto 'udp'
        option dest_port '67'
        option target 'ACCEPT'

#Libera tráfego da Interface transtor para a porta 9040 TCP (TransPort) deste router
config rule
        option name 'TransPort-Allow'
        option src 'transtor'
        option proto 'tcp'
        option dest_port '9040'
        option target 'ACCEPT'

#Libera tráfego da Interface transtor para a porta 9053 UDP (DNSPort) deste router
config rule
        option name 'DNSPort-Allow'
        option src 'transtor'
        option proto 'udp'
        option dest_port '9053'
        option target 'ACCEPT'

Passo Seis: Configurando o encaminhamento automático das conexões


Explanação:
Aqui basicamente criaremos regras de redirecionamento do tráfego que nossos computadores conectados na rede transtor enviam para o roteador. Todo tráfego TCP será enviado para a porta 9040 TCP. Todo o tráfego de DNS (Porta 53 UDP) será enviado para a porta 9053 (UDP) do router.
Quem recebe o tráfego das porta 9040 e 9053 é o serviço do Tor. É aqui que a mágica acontece! A resposta do tráfego sai pela interface de volta para seu computador automaticamente graças ao parâmetro ACCEPT na opção option output da Zona transtor que configuramos no firewall.

1. Faça um backup das configurações de rede de seu router com o comando cp /etc/firewall.user /etc/firewall.user.bkp

2. Abra o arquivo firewall com seu editor de texto: vim /etc/firewall.user

3. Insira as duas linhas a seguir neste arquivo:

iptables -t nat -A PREROUTING -i br-transtor -p udp --dport 53 -j REDIRECT --to-ports 9053

iptables -t nat -A PREROUTING -i br-transtor -p tcp --syn -j REDIRECT --to-ports 9040

Atenção - Pulo do Gato:
Como pode ter observado, em vermelho nas linhas acima, utilizamos br-transtor ao invés de wlan0.
Essa é a interface que foi criada (e após um "reboot") pode ser conferida no ifconfig.

Passo Sete: Disponibilizando a interface transtor em uma rede sem fio


1. Faça um backup das configurações de wireless de seu router com o comando cp /etc/config/wireless /etc/config/wireless.bkp

2. Abra o arquivo wireless com seu editor de texto: vim /etc/config/wireless

3. Insira a sessão "config wifi-iface" abaixo conforme a interface de rádio (em vermelho) que desejar. Lembre-se que a senha (option key) e o nome da rede sem fio (option ssid) (ambas em amarelo) devem ser configuradas conforme desejar.

Em caso de dúvidas, observe neste mesmo arquivo, outras redes que podem estar configuradas para que você possa seguir o padrão.

config wifi-iface
        option device 'radio0'
        option key 'senhasupersecreta123'
        option encryption 'psk+tkip'
        option mode 'ap'
        option ssid 'Tor Wifi'
        option network 'transtor'

Passo Oito: Reiniciar tudo e ver a coisa toda funcionando


1. Digite "reboot" na CLI de seu router.

2. Após o reboot, observaremos que a rede wifi "Tor Wifi" apareceu e que, uma vez conectados a ela, estaremos saindo pela Tor.

Por esta rede não poderemos mais acessar a gerência de nosso router. Para checar o IP que estamos recebendo para a Internet e validar se estamos mesmo saindo pela Tor acessando o site: https://check.torproject.org/.

Este deve ser o resultado esperado:

Teste Tor


Possível Passo Nove: Troubleshotting


Pode ser que não dê certo! Pode ser que alguma configuração que citei acima esteja defasada ou seja incompatível com a versão do OpenWrt ou do Tor que você instalou.
Talvez as interfaces estejam erradas...

Tenha em mente que tudo que você fez foi instalar o Tor (você pode desinstalá-lo com opkg remove tor) e algumas alterações nos arquivos torrc, network, dhcp, firewall, firewall.user e wireless e; durante o passo a passo, criamos uma cópia backup para restauração ou consultas em caso de necessidade. (Na hora do troubleshotting vale tudo).

Existem também alguns sites em inglês dos quais me utilizei para aprender a fazer essas configurações e também recomendo que você os consulte:


E se tudo mais falhar...

Nesse caso, encorajo você a me pedir ajuda por E-mail: technedigitus [at] protonmail [dot] ch ou através de comentários neste artigo!

Suas dúvidas ou pedido de ajuda serão de fundamental importância para que este artigo possa ser melhorado!

Se curtiu o artigo, não deixe de compartilhá-lo!


segunda-feira, 5 de dezembro de 2016

Download do aplicativo OpenSource Signal da Whisper Systems dispara 400%

Signal

Uso do Aplicativo Signal de Mensagens Seguras da Whisper Systems Dispara Após Resultado de Eleições do EUA

Se você possui em sua lista de contatos cidadãos norte americanos, pode ter notado que alguns apareceram na lista de contatos do aplicativo Signal da Whisper Systems.

Após 9 de novembro, dia em que Trump foi eleito, em menos de 48 horas o aplicativo teve o número de seus downloads aumentado em nada menos que 400%.

Signal Trend


No Twitter e na App Store, o Signal começou a entrar para os tops trends. Especialistas de segurança norte americanos estão recomendando que as pessoas passem a utilizar o aplicativo face ao novo cenário norte americano.

Sabe-se também, que após os escândalos com a candidatura de Hillary Clinton, sua equipe passou a utilizar Signal para a troca de mensagens segura a nível profissional.

As empresas de Trump possuem um poder de monitoramento de informações de última geração, capazes de identificar padrões de comportamento em consumidores, padrões financeiros no mercado, padrões de interesses, pensamentos e hábitos das massas. Durante sua candidatura, Trump anunciou que após vencer as eleições, irá perseguir e punir caluniadores da oposição e jornalistas.

Quanto tempo irá levar para esse movimento de downloads do Signal que ocorreu nos EUA refletir no Brasil?

A confiabilidade do aplicativo está sendo reconhecida amplamente devido a sua qualidade técnica de segurança.

Por mais que alguns conservadores ou PTistas disfarçados de liberais sejam contra a disseminação do aplicativo, continuamos a indicar que não há melhor opção de fácil acesso.

Para saber mais:

Como o Signal Supera o WhatsApp na Batalha dos Aplicativos de Mensagem Segura
Por Que Você Deveria Parar De Usar O Telegram Agora Mesmo
Signal o App de Mensagens Mais Seguro - Recente solicitação do FBI comprova a tese

segunda-feira, 28 de novembro de 2016

Como Ativar Criptografia PGP nos E-mails do Facebook

Face Seguro TD

Olá a todos!

Neste artigo ensinaremos passo a passo como configurar o Facebook para lhe enviar E-mails criptografados, de forma que todo e qualquer E-mail do Facebook para sua caixa de mensagens de E-mail seja criptografado de forma que somente você poderá ler!


Para exemplificar este artigo, usaremos o exemplo de uma conta de E-mail no ProtonMail pelo simples motivo de que a criptografia é uma diretiva básica do ProtonMail, a ponto de disponibilizarem de forma automática e integrada, um par de chaves PGP para seus usuários sem que maiores procedimentos técnicos sejam realizados.

ProtonMail


E será justamente a chave pública deste par de chaves disponibilizados pelo ProtonMail que iremos configurar em nossos Facebooks para que toda a correspondência de lá para cá sejam criptografadas a nível profissional!

Pré-Requisitos para este passo a passo:
- Possuir uma conta de E-mail no ProtonMail
- A mesma estar configurada como conta padrão em seu Facebook

Para isso, clique AQUI para criar um E-mail no ProtonMail e então nas configurações do Facebook, Geral >> Configurações gerais da conta >> Na terceira opção você poderá configurar o seu novo E-mail e configurá-lo como principal.

Agora siga o passo a passo abaixo para efetivamente configurar a encriptação dos E-mails do Facebook para sua conta:

1. Clique no botão seta para baixo no canto superior direito da tela do Facebook

Seta para Baixo

2. E clique em Configurações

3. Clique em Segurança

Segurança


4. Clique na quinta opção, onde está escrito Chave pública

Chave pública


5. Abra uma nova guia de seu navegador, acesse sua conta no ProtonMail e então clique em "SETTINGS" ou "CONFIGURAÇÕES"

Settings


6. Clique na última guia de opções, chamada "KEYS" ou "CHAVES"

Keys

7. Clique em "PUBLIC KEY" ou "CHAVE PÚBLICA" para fazer o download de sua chave pública

Download public key


8. Abra o arquivo baixado com o Notepad (Bloco de Notas) ou o Gedit e você verá algo como a imagem abaixo:

Sua chave pública


9. Copie TODO o conteúdo do arquivo, selecionando e teclando Ctrl +c

10. Volte para a tela do Facebook, no quinto item expandido (Chave pública) e cole (clique no campo e digite Ctrl + v)

Configurando PGP no Face

11. Ative ("dê um check") na caixa onde diz "Usar está chave pública para encriptar emails de notificação que o Facebook te envia?" e clique no botão "Salvar alterações".

Realizados os passos acima, o Facebook irá lhe enviar um E-mail criptografado solicitando a confirmação da nova configuração. Uma vez confirmado, todos os próximos E-mails do Facebook serão criptografados, porém seu cliente de E-mail ProtonMail irá descriptografar automaticamente, de forma que todo o processo ocorrerá de forma "invisível" ao usuário.

Confirmando a ativação da criptografia nos E-mails


12. No E-mail recebido do Facebook, clique em "Yes, encrypt notification emails sent to me from Facebook."

E pronto!

Pronto!

A partir de agora todos os E-mails enviados do Facebook para você serão criptografados!

Para saber mais: