Cross Site-Scripting (XSS)
por Gustavo, 18 de ago 2009, em Cross Site Scripting, Segurança
Pode-se afirmar que o XSS é uma injeção e execução de código malicioso nos navegadores Web de uma determinada pessoa. Ahhh! Tá Ok! Mas o que tem demais nisso tudo? Utilizando essa técnica, é possível obter dados sensíveis do usuário do navegador, por exemplo, o usuário está logado no gmail e acessa um site com código malicioso e CABUM, seus cookies são roubados, consequentemente outro cara terá acesso ao seu email recheado de passwords. Você deve está se perguntando…”Como isso é possível?”, Bem os navegadores Web implementam uma mesma política de acesso a direitos de scripts contido em um documento carregado a partir de um determinado domínio. Assim o script só pode acessar propriedades (incluindo cookies e DOM objetos e seus atributos) associados com o mesmo domínio a partir da qual o documento que contém o script foi carregado.
A estrutura de um ataque desse tipo segue algo parecido com a imagem abaixo:
Exemplo
O site do Corinthians possui algumas falhas e uma delas é a possibilidade de efetuar a injeção de código. Para quem assiste o Pânico na TV saberá o que quero dizer, inspirado pelo Zina usarei a frase do “Poeta de uma palavra só”.
Quem é que se habilita a comprar algo no ShopTimão?
=)
Igrejauniversal.com.br – Defacement
por Luiz Thiago, 17 de ago 2009, em Segurança
A vontade de manter um repositório com sites após um ataque de defacement está ficando cada vez maior. A bola da vez foi o site da Igreja Universal e como eu não sei por quanto tempo o site vai ficar como está vou postar também uma imagem!
UPdate: Na verdade o domínio igrejauniversal.com.br não é o domínio da igreja, o certo é igrejauniversal.org.br. A piada continua boa, mas não teve ataque nenhum :)
Site da Record (defacement)
por Luiz Thiago, 16 de ago 2009, em Segurança
Vi agora uma notícia no site da IDG Now! sobre um ataque cracker ao site da Record, no caso foi um defacement (alterar a aparência do site), e os atacantes colocaram algumas mensagens pro-GLOBO no site. Como uma imagem vale mais do que mil palavras eis um link pro resultado.
ps. To pensando seriamente em montar uma galeria com vários ataques de defacement :)
UPdate: Atualizaram o site!
Como vou saber qual distribuição devo utilizar?
por Gustavo, 16 de ago 2009, em /dev/null
Enquanto espero o almoço…
Sempre que alguém está migrando do lado negro da força (butterfly) surge a pergunta: “Qual distribuição devo utilizar?” É como os cacetas diriam: “Seus problemas acabaram” e como eu diria: “ou não!” =). O zegeniestudios é um site que trás uma proposta interessante, um sistema interativo de perguntas e respostas sobre o que você gosta e conhece sobre Linux. Simplesmente ele colhe essas informações que você vai disponibilizando e no processo final lhe informa qual a distribuição mais adequada para o seu perfil. Vale a pena dá uma olhada (Clica aqui!) Mas cuidado! Os resultados podem ser assustadores =)
Update (thiago): No DistroWatch você encontra uma lista de distribuições (quase todas conhecidas) linux, com descrições e inclusive uma lista das mais usadas. É uma boa pra quem quer saber qual a distro da moda.
I Brejo Livre e o ArchLinux
por Gustavo, 16 de ago 2009, em Palestras
Fala galera!
Ontem (15/08/2009) toda a equipe do Bode se deslocou até o Brejo livre, um evento muito legal realizado no município de Guarabira na Paraíba. Todo mundo da equipe palestrou, foi maneiro. Em particular, palestrei sobre o ArchLinux, explanando suas características,vantagens, desvantagens e por aí vai. Como já era de se esperar, poucas pessoas conheciam o Arch por aqui, mas como todo esforço tem como consequência uma reação, pude perceber uma galera interessada em conhecer o sistema, um dos palestrantes (acho que o nome dele era Rafael) até me pediu a ISO, além disso conversei com outras pessoas que ficaram empolgadas em testar o SO.
CSBC 2009
por Leandro Caetano, 29 de jul 2009, em Palestras
No dia 23/07 houve a apresentação do trabalho “Uma Análise da Implementação ZigBee pela Tecnologia Sun Spot”, desenvolvido por eu (Leandro Caetano), Gustavo Sávio e Alisson Brito , em Bento Gonçalves -RS, local do evento. Chegamos por lá na terça-feira as 3 da madrugada e fomos bem recepcionados com a “hospitalidade gaúcha” :/
Conhecemos o parque de Eventos, tomamos vinho, fizemos trip pela cidade, tomamos vinho, outra trip pelas serras, tomamos vinho, fizemos um bom network e por fim…. comemos chocolate de Gramado :D.
A apresentação foi tranquila com exceção do nervosismo (principalmente do Gustavo que explicou o artigo) e das perguntas finais (NÃO! Eles não perdoam!).
Logo acima, temos um link para o download da apresentação e aproveito para agredecer a todos que nos apoiaram e encorajaram. Valeu!
Hash x Criptografia
por Luiz Thiago, 13 de jul 2009, em Criptografia
Dia desses eu estava lendo as mensagens da lista do [Python-brasil] (eventualmente eu deixo juntar um bocado pra ler de uma vez) e numa das threads tinha um texto simplesmente maravilhoso que o Luciano Ramalho postou. A thread descambou e dava pra notar que muita gente estava confundindo as coisas e falava pro OP (Original Poster, viva o #4chan :) criar o hash da senha, e depois fazer a função reversa pra recuperar a senha, eis que o Luciano chegou e com o post colocou ordem na casa. Quando eu lí achei que seria uma ótima maneira de abrir a tag criptografia no bodecast.
Re: [python-brasil] Como guardar senhas em programas?
Vou repetir aqui uma história que eu adoro, e serve para explicar o que é um hash de forma que qualquer pessoa entenda. Se estiver com pressa, leia apenas o último parágrafo.
Em 1996 eu trabalhava no projeto Brasil Online da Abril S/A com vários amigos, entre eles Ricardo Bánffy, que hoje está no IG.
O Brasil Online foi o primeiro grande portal da Web brasileira. A gente tinha milhares de usuários com contas, entre eles centenas de VIPs que tinham sido convidados pela direção da Abril.
Um desses VIPs ligo para a Abril e conseguiu de alguma forma chegar até o Bánffy, que era um desenvolvedor, e não alguém que tinha que dar suporte para usuários. O VIP queria porque queria que o Bánffy relembrasse a senha que ele tinha esquecido. Não queria resetar a senha, queria “relembrar”.
Acontece que a gente não guardava as senhas criptografadas, guardava um hash MD5 das senhas. Mas como explicar a diferença? O cliente não entendia como a gente podia conferir a senha na autenticação e sem saber qual era a senha.
Então o Bánffy deu por telefone uma explicação mais ou menos assim:
“Senhor, a gente não armazena as senhas de uma forma recuperável. O que a gente faz é como se fosse o seguinte: quando você cria a senha na inscrição, o sistema anota a senha num pedaço de papel, queima o papel, e guarda as cinzas numa caixa de fósforos. Depois, quando você digita a senha para entrar no portal, o sistema escreve a senha num pedaço de papel, queima o papel, e compara com as cinzas que guardamos na caixa de fósforos. Então a gente sabe se você digitou a mesma senha, mas não temos como saber qual é a senha de jeito nenhum.”[ ]s
Luciano
O que é Segurança da Informação (SI)?
por Gustavo, 08 de jul 2009, em /dev/null
Um blog sobre SI, certo? Ok! O que é SI?
Para que seja possível absorver um entendimento sobre esse assunto, primeiro se faz necessário compreender o que é informação e como a mesma é gerada. Logo pergunto: O que é informação? Informação pode ser entendida como a extração ou interpretação de dados brutos, um refinamento de dados. Presentemente a forma como a informação é tratada se diferencia do seu passado. Se observarmos o hoje, podemos perceber certas mudanças referentes ao avanço na velocidade e a forma como a mesma está difundida. Outro ponto importante que vale ressaltar é a forma de armazenamento, ou seja, a informação deixou de ser trafegada apenas no mundo real e migrou para o mundo virtual.
Novo Tema
por Moisés Guimarães, 04 de jul 2009, em Avisos
Aos poucos estou pondo ordem na casa… em breve estaremos terminando o conteúdo das paginas e realizando a apresentação formal da nossa equipe, os bodecasters. Melhor não fazer muitas promessas mas acho que o bonde já está pegando velocidade ^^
fui o/
III ENSOL
por Luiz Thiago, 22 de jun 2009, em Palestras
Ontem foi a palestra “Ethical Hacking – Por onde começar” no ENSOL (Encontro de Software Livre da Paraíba), a palestra seria na sexta-feira e eu (Luiz Thiago) e Moisés quem apresentariamos, mas houve uma alteração na grade de programação e mudaram pro domingo no final da tarde e Moisés que tava com a passagem comprada pro sábado de manhã não pode ir, alem disso fiquei meio cabreiro pois a palestra seria no final da tarde do domingo durante um jogo da seleção, pensei que ninguem fosse assitir, ainda bem que me enganei e a palesta bombou :). Admito que fiquei nervoso quando vi a sala cheia, mas fui lá.
O pc travou quando coloquei o passador de slides no USB, tive que desligar a parada e quando voltou já não coloquei mais e fui passando os slides na mão mesmo. Queria agradecer ao pessoal que assistiu a palestra e ao pessoal que perguntou também e informar que clicando no icone do PDF aqui dá pra baixar um .pdf com os slides da palestra!
-
Seja bem vindo
ao bodecast, fique a vontade para comentar ou mesmo linkar artigos que encontrar aqui (lembrando de citar a fonte).
You can also subscribe by email by filling the field below:
IDG NOW!- Grupo anti-Google faz sucesso com vídeo no...YouTube
- Distribuições Linux começam a corrigir bug em programa que baixa páginas web
- Governo alemão apresenta programa antibotnets para sua população
- Agência lança projeto para detectar ameaças a dados militares dos EUA
- Um terço dos internautas considera perigoso qualquer site
- Botnet Pushdo deve se fortalecer novamente em breve, alertam especialistas
- Botnet Pushdo deve se fortalecer novamente em breve
- Grupo de pesquisa em segurança promete transformar setembro no 'mês dos bugs'
- Trend Micro traz criptografia para computação em nuvem
- Fraudes online deram prejuízo de R$ 900 milhões em 2009, diz Febraban
- LinuxSecurity.com
- Security program automatically tracks down missing patches
- Virtualize your browser to prevent drive-by malware attacks
- SuSE: 2010-038: kernel
- Debian: 2102-1: barnowl: unchecked return value
- Pardus: 2010-119: OpenSSL: Use-after-free
- Pardus: 2010-120: Flashplugin: Multiple
- Compromising Twitter's OAuth security system
- Congratulations to the VOIP Forensic Challenge winners
- Networked Scanners Offer A Window Into The Enterprise, Researcher Says
- Malware hosted on Google Code project site
- Microsoft Security
- Microsoft security updates for July 2009
- Microsoft security updates for June 2009
- Microsoft security updates for May 2009
- What is a botnet?
- What is spam?
- What are Internet filters?
- What is identity theft?
- Microsoft security updates for April 2009
- Protect yourself from the Conficker computer worm
- How to prevent a computer worm
