Shodan - O Google do "Mal" ou não!

Diariamente as pessoas utilizam o buscador da Google para milhões de pesquisas sobre os mais diversos assuntos. E para aqueles que querem praticar as artes de segurança da informação o Google é um santo auxiliador, diga-se de passagem.

Mas agora pergunto: você já se imaginou usando um buscador capaz de fazer a varreduras de equipamentos de rede pela internet? Busca essa, capaz de trazer em seus resultados, endereços IPs de roteadores, câmeras de circuito de vigilância, servidores, computadores normais, aparelhos do tipo "babá eletrônica" que use rede, entre outros equipamentos capazes de usar o protocolo TCP/IP, como os mobiles da vida? E não para por ai.

Já imaginou ser capaz que capturar endereço de servidores HTTP, FTP, SSH, TELNET, SNMP entre outros?

Pois bem, apresento-lhes o Shodan. Potencialmente o buscador mais, digamos, perigoso, da internet.

Se você, usuário comum, por acaso comprou um roteador, por exemplo, e esqueceu de alterar a senha padrão, seria interessante pensar a respeito dessa alteração.

O Shodan tem um potencial enorme, e eu não sei dizer aqui até onde legalmente ele é válido. Certo é que ele facilitou a vida de muitos hackers e crackers e que possivelmente seu criador, John Matherly, poderá enfrentar problemas na justiça...But, well, isso não é problema nosso...hehe!

O link para consulta do Shodan, está aqui!

Enjoy it!

Campus Party Brasil Sétima Edição #CPBR7

Hoje começaram as vendas da #cbpr7, e não houve nenhuma surpresa para nós que estivemos na última edição. Os valores continuam os mesmos do ano passado. O Período promocional está com valor de R$150,00 e após o período promocional os valores dobram.

Bom, o ano passado, pra que não ficou sabendo, a #cpbr6 enfrentou uma série de problemas relacionados a ataques ao seu site, o que deixou o site indisponível por mais de 20 dias. Isso aconteceu, porque eles tinham tomado a decisão de cobrarem valores abusivos muito altos, que deixou muita gente puta e uns poucos corajosos e com conhecimento suficiente para manterem o site deles fora do ar até que abaixassem os valores. Well, águas passadas. Acho que o Paco Ragageles aprendeu!!! =D

Para quem não conhece/nunca ouviu falar da Campus Party, ela é simplesmente a maior feira de inovação tecnológica do mundo (leia-se o carnaval dos nerds hehe). No ano passado contamos com um link de 30Gbps, fornecido pela Telefônica/Vivo e muita, muita diversão! Foram dias maravilhosos, onde conheci diversas pessoas, e onde pude consolidar boas amizades! Valeu totalmente a pena sair de lá como um zumbi! Foi uma semana sem dormir praticamente, e sem arrependimento algum. xD

Um conselho que eu dou é, vá pra essa porra! Garanto que não irá se arrepender! A Campus Party 6 reuniu aproximadamente 8.000 campuseiros, e passaram por lá mais de 100.000 pessoas durante os dias do evento.

É muita coisa pra fazer e muita gente gente pra pegar conhecer! Agora deixo umas fotos da gente na última edição do evento.

P.S: Para os nerds e marmanjos uma coisa que eu digo é: tem muita, mas muita mulher nesse lugar! TAQUEOPARIU! Eu confesso que me surpreendi! Acredito que tinha mais mulheres que homens! E o melhor, muitas dispostas a fazer amizade, se é que me entendem! =D

Link para uma breve consulta

Musas da #cpbr6

A gente se vê na #cpbr7

Profissionais - Quanto vale o seu ego?

Uma coisa muito foda chata que acontece e muito no meio da nossa área é, a necessidade de profissionais quererem mostrar que são os melhores nisso, naquilo bla bla bla...

Não há problema algum em ser reconhecido e querer ter reconhecimento como um bom profissional, o problema é você ser chato pra caralho querendo ser o "hackudão" do pedaço! O intocável! O top pica das galáxias, porém com um detalhe, sendo você mesmo a se denominar assim!

Se quer ser reconhecido como o melhor, faça acontecer e justifique seu salário no final do mês! Simples assim!

Uma coisa que me deixa puto da vida, são esses "profissionais" que possuem vai lá seus anos e anos de carreira, que se acham os fodões, mas que na hora do "vamo ver", não justificam seus salários!

Minha sugestão para esses é: fale menos e faça o seu trabalho! Quem é bom, não precisa falar que é bom! Quem é bom de verdade é enxergado como tal pelos que estão ao seu redor! Quem é bom de verdade, faz, não fala!

Ao invés de ficar inflando ego, vá fazer uma coisa de útil pro mundo. Eu não acredito na palavra humildade, acredito na simplicidade das pessoas e das coisas, portanto, seja simples. Faça algo grandioso, mas não perca a essência da simplicidade! Seja o melhor, mas deixe que os outros enxerguem isso sem você ter que ser chato e ficar querendo mostrar-se o "hackudão" do pedaço!

Cresça, evolua e mantenha-se simples! Resolva os problemas. Faça seu trabalho! Brinque, divirta-se com o que o que você faz.

PS: Não estou dizendo que você deve ser um zé mané também. Óbvio que você precisa se impor como um bom profissional (se esse for o seu caso hehe). Mas entre se impor e querer demonstrar ser o fodão, tem uma puta diferença! ;)

O Caso Snowden e a Espionagem Americana

Em Junho desse ano, a revelação de um esquema de monitoramento feito pelo Governo Americano, que foi delatado por um atual Ex-Analista de Inteligência da CIA (Agência Central de Inteligência Americana) agitou toda a imprensa internacional, pondo em questão a conduta americana em relação a privacidade dos cidadãos americanos e não americanos. O caso "Snowden", como ficou conhecido devido ao nome do delator, Edward Snowden, repercutiu após o jornal The Guardian (Reino Unido) e Washington Post (EUA) terem recebido e divulgado documentos secretos que revelavam o esquema de espionagem.

Bom, agora o cara é refugiado na Rússia, vive um um local tido como "secreto" porém pode circular "livremente" pela Rússia. Enfim, ele se fodeu por ter feito isso. Mas bato palmas pra ele pela coragem em expor esse esquema.

O fato é que se formos analisar como isso é possível, chegamos a uma conclusão simples: é no EUA que estão alocadas as maiores fabricantes de equipamentos de rede e de desenvolvimento de softwares do mundo. Logo, eles comercializam seus produtos para o resto da galáxia! Tá, e daí?

Agora, uma colocação minha: já tivemos conhecimento de uma série de equipamentos que vem com backdoors de fábrica e também softwares que de brinde, vem com spywares, adwares, entre outras coisas...Junto a tudo isso, temos a CIA, a NSA (Agência de Segurança Nacional Americana), que são capazes de interceptar quase tudo que quiserem, trabalhando em espionagem e contra-espionagem...tsc tsc...logo, 2+2=4. Óbvio que havia monitoramento, e o Snowden, só surgiu para confirmar que tudo o que muitos já sabiam, não se tratava apenas de uma teoria conspiratória, e sim de um fato!

A Dilma e seu Governo com certeza não foram os únicos alvos do Governo Americano. A pergunta que muitos fazem é: Qual a razão disso? E a resposta é simples: interesses políticos e comerciais.

A expressão "quem tem olho em terra de cego é rei" é válida em muitos casos. Nesse, ela é uma verdade pura. Quando se sabe o que se tem e também o que o inimigo ou até mesmo o "parceiro" político e/ou comercial tem, logo você possuí uma vantagem. E na política e no comércio isso vale muito!

Uma outra pergunta: Será que é só o Governo Americano que pratica tais atos de espionagem???

E o que vai acontecer agora? Well, tenho minha opinião, mas aguardemos as cenas dos próximos capítulos. Uma coisa é certa e deixo como recado pra Dona Dilma: Não serão os Correios que irão resolver o problema de espionagem Americana...rsrs

Talvez agora, o Governo Brasileiro decida investir um pouco mais em um centro de defesa tecnológico, não só para casos de espionagem, mas também para casos de Cyber Terrorismo e Cyber Guerra, que existem também, só que ainda não vieram a tona com o mesmo peso da questão de espionagem! ;)

E pra finalizar, deixo uma afirmação do grande articulista de guerra, Sun Tzu:

"Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas..."

Obs: Se liguem no cursos focados em segurança oferecidos aqui e em parceria com o Coruja de Ti.

Espionagem - O Assunto do Momento

Não é de hoje, que nós, profissionais da área de segurança, sabemos que o mercado (negro ou não) de venda de dados e informações sempre renderam e rendem uma boa grana para aqueles que praticam tais atos, e não é novidade também que além da comercialização, o simples fato de ter o poder de monitorar já é algo valioso.

Well, sem entrar na questão comercial da coisa, vamos falar sobre o monitoramento e vigilância que eu e você estamos sujeitos.

Quem administra data centers ou atua como security response sabe das dificuldades encontradas em manter um ambiente "seguro", apesar de todas as parametrizações possíveis, é impossível garantir 100% de segurança.

Até ai tudo bem. Mas e quando temos problemas críticos de segurança que não está em nossas mãos o poder de solucionar? Exemplo de um problema assim, os backdoors que vem de fábrica ou que são implantados posteriormente em equipamentos de rede e então comercializados para TODO o mundo.

Quem da área de segurança não se recorda do problema enfrentado no início desse ano, com a gigante Barracuda (vale lembrar que a Barracuda se não é a líder é uma das líderes de mercado de security apliances), e que abalou de certa forma o crédito para equipamentos de rede em geral? Para quem não teve conhecimento ou não se lembra desse caso, verifique esse post do amigo Gustavo Lima, do Coruja da Ti.

E não paramos por ai. O Ministério da Defesa Brasileiro, mas especificamente o Dpto. de Ciência e Tecnologia do Exército, revelou a descoberta de backdoors em equipamentos de rede e assumiu também que isso permite sim a espionagem (Tá, não é novidade pra gente essa possibilidade...), e que a contra medida a essa constatação, é a criação de um centro de certificação de equipamentos de rede, ou seja, validar todos os equipamentos antes de serem usados (tá bom que isso vai acontecer)! 

O ponto que quero chegar é o seguinte, a vulnerabilidade está ai...a falha está exposta. Como proceder para proteger-se disso, além de criptografar as conexões e todo o tráfego, sabendo que em alguns momentos isso se torna impossível devido a N fatores, como processamento e consumo de rede, e a própria insegurança de protocolos de segurança? xD

Fato é que dependemos de uma série de equipamentos e até que ponto podemos ter certeza da independência das fabricantes, ou seja, a garantia de não comprometimento da segurança de usuários desses produtos?