Categoria: Segurança da Informação

Falhas críticas da Cisco, PoC e explicação técnica

Artigo traduzido:
“TL; DR
Neste post, compartilho três (3) cadeias completas de exploração e várias primitivas que podem ser usadas para comprometer diferentes instalações e configurações do produto Cisco DCNM para obter a execução remota não autenticada de código como SYSTEM / root. Na terceira cadeia, eu (ab) uso a classe java.lang.InheritableThreadLocal para executar uma cópia superficial para obter acesso a uma sessão válida.”

consulte Mais informação

Explorando a vulnerabilidade do Windows CryptoAPI – PoC

Em um nível alto, essa vulnerabilidade tira proveito do fato de que o Crypt32.dll falha ao verificar corretamente se os parâmetros da curva elíptica especificados em um certificado raiz fornecido correspondem aos conhecidos pela Microsoft. Curiosamente, a vulnerabilidade não explora propriedades matemáticas exclusivas das curvas elípticas – o mesmo bug exato poderia ter se manifestado em uma biblioteca de verificação de assinatura DSA normal. Portanto, para evitar entrar no mato da criptografia de curva elíptica, primeiro vamos examinar como esse bug teria funcionado se o Crypto32.dll usasse o DSA normal.

consulte Mais informação

Sobre o Oxygen Forensic® Detective

O Oxygen Forensic® Detective é o principal produto, um pacote de software forense digital completo que extrai e analisa dados de várias fontes digitais: dispositivos móveis, seus backups, cartões SIM e de mídia, serviços em nuvem, PCs, dispositivos IoT, smartwatches e drones. Como o tempo é sempre o desafio nas configurações forenses digitais, o Oxygen Forensic® Detective permite aos usuários extrair, analisar e extrair insights de dados 50% mais rápido do que qualquer outra empresa no mercado. Dispositivo móvel, nuvem, computador e outras extrações podem ser mesclados em uma única GUI intuitiva com recursos analíticos avançados, disponíveis sem custo adicional.

consulte Mais informação

QRLJacking e o sequestro de Whatsapp

QRLJacking e o sequestro de Whatsapp

Neste vídeo além do QRLJacking, apresento as técnicas de Engenharia Social, MITM, DNS Spoofing e Session Hijacking.

“O QRLJacking ou o código de resposta rápida, é um vetor de ataque de engenharia social simples capaz de sequestrar sessões afetando todos os aplicativos que dependem do recurso “Login com código QR” como uma maneira segura de acessar contas.”

consulte Mais informação

Decisões de Adequação, BCRs e Whitelists: Entendendo Transferências de Dados Transfronteiriços na Era da GDPR

para continuar as relações comerciais com a UE no âmbito do GDPR, muitos países não pertencentes à UE buscaram acordos de adequação nos últimos meses. Os acordos de adequação minimizam consideravelmente a carga regulatória sobre as organizações que precisam transferir dados internacionalmente para realizar negócios. Para obter um acordo de adequação, esses países devem aprovar seus próprios regulamentos de privacidade que correspondam de maneira suficiente aos requisitos do GDPR. Atualmente, a Comissão Europeia reconheceu 11 países ou territórios, incluindo Argentina, Israel, Nova Zelândia e Japão , como fornecendo proteção de dados adequada.

consulte Mais informação

Perguntas e respostas sobre o GDPR

Em um webinar sobre o novo regulamento da UE GDPR (General Data Protection Regulation), regulamento que afeta todas as empresas e instituições públicas da União Europeia, bem como empresas estrangeiras que operam na EU, a empresa Safetica recebeu e respondeu diversas perguntas sobre o tema.

Dada a semelhança entre a GDPR e a LGPD Lei Geral de Proteção de Dados, podemos analisar o questionário e adequar ao cenário brasileiro.

consulte Mais informação

Usando computação forense para investigar roubo de dados por funcionários

Funcionários que saem têm um senso de propriedade sobre os dados que eles copiam. A propriedade intelectual comumente roubada inclui listas de clientes, fórmulas secretas, código-fonte, documentos estratégicos e outros segredos comerciais. As informações costumam ser usadas contra a organização quando o ex-funcionário vai trabalhar para um concorrente ou decide abrir uma nova empresa.
Quando surgem suspeitas de roubo de dados por funcionários, é importante contratar um perito em computação forense para realizar uma aquisição do material para análise, a fim de preservar os dados eletrônicos e descobrir evidências importantes.

consulte Mais informação

Pentest PCI, LGPD e GDPR – GALAXPAY

[parte do resultado de um pentest] #csrf #xss #sqlinjection
Os testes de intrusão podem descobrir vulnerabilidades ou possíveis violações antes de qualquer outra pessoa, o que acaba lhe poupando a dor da divulgação de violações.
O GDPR criará a razão perfeita para fazer testes regulares de intrusão, mas, quando se trata de testes de intrusão, é útil para qualquer equipe. A maioria dos profissionais de segurança pode se relacionar com a placa completa que os outros no setor têm. Além de apenas identificar vulnerabilidades antes da exploração no mundo real, os testes de intrusão ajudam as equipes a priorizar as correções de segurança com base na gravidade e no impacto de diferentes descobertas.
Além de quaisquer requisitos específicos, o GDPR tem severas penalidades por uma violação de segurança, com organizações que enfrentam penalidades de até 20 milhões de euros, ou 4 por cento do faturamento anual global, o que for maior. Com impactos financeiros, controles proativos pesados e completos são essenciais.
Da mesma forma a LGPD (Lei Geral de Proteção de Dados), exige certos cuidados e relatórios de conformidade. O Pentest (teste de intrusão) poderá fornecer provas antecipadas para as empresas, bem como aumentar significativamente a segurança de seu ambiente.
Uma empresa que declare que possui testes de intrusão sendo executados regularmente, certamente irá ter um grande diferencial e sair na frente, passando mais confiança aos seus clientes, colaboradores, investidores, etc…

No final de 2018, uma empresa online, chamada GALAXPAY, que trata pagamentos recorrentes e outras operações financeiras, entrou em contato para que fosse executado um Pentest, para validar a conformidade com o PCI. Sendo assim, a empresa além de estar em conformidade com o PCI também estará um passo a frente nas questões de segurança, incluindo também, os requisitos mínimos para a LGPD.

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) foi desenvolvido para incentivar e aprimorar a segurança dos dados do titular do cartão e facilitar a ampla adoção de medidas consistentes de segurança de dados globalmente. O PCI DSS fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger os dados do portador do cartão. O PCI DSS aplica-se a todas as entidades envolvidas no processamento de cartões de pagamento, incluindo comerciantes, processadores, adquirentes, emissores e provedores de serviços, bem como todas as outras entidades que armazenam, processam ou transmitem dados de titulares de cartão (CHD) e/ou dados de autenticação confidenciais (SAD).

consulte Mais informação
Carregando