Ataque

Bombas de insulina da J&J estão vulneráveis a ataques remotos

Brechas encontradas por pesquisador expõe a necessidade de reforçar a segurança de dispositivos médicos.

A fabricante de dispositivos médicos Animas, subsidiária da Johnson & Johnson, está alertando pacientes diabéticos que usam a bomba de insulina OneTouch  sobre questões de segurança que poderiam permitir hackers entregar doses de insulina não autorizadas.

As vulnerabilidades foram descobertas pelo analista de segurança da Rapid7, Jay Radcliffe, que é diabético Tipo 1 e usa o aparelho em questão. As brechas resultam principalmente de uma falha de criptografia na comunicação entre duas partes do dispositivo: a própria bomba de insulina e o medidor que monitora os níveis de açúcar no sangue e que remotamente diz a bomba o quanto de insulina deve ser administrada.

A bomba e o medidor usam um protocolo de gerenciamento sem fio através de comunicações de rádio frequência que não são criptografadas. Isso expõe o sistema a uma série de ataques. (mais…)

SQL Injection (SQLi): Identificando o BD e extraindo dados com UNION

A maioria das técnicas demonstradas na primeira postagem sobre SQLi são efetivas contra todas as plataformas de banco de dados comuns e qualquer divergência podem ser ajustadas facilmente de acordo com a sintaxe. Entretanto, quando começamos a ver técnicas mais avançadas de exploração, as diferenças entre as plataformas começam a ser mais significante e você precisará ampliar seu conhecimento sobre o tipo de banco de dados que está sendo manipulado.

Você já viu como extrair a string de versão da maioria dos tipos de BD. Mesmo que você não consiga por algum motivo, normalmente é possível obter por outros métodos. Um dos mais viáveis é a forma que o BD concatena strings. Em uma consulta onde você controla a string de dados, você pode fornecer um valor particular em uma consulta e então testar diferentes métodos de concatenação para produzir uma string. Quando o mesmo resultado é obtido, você provavelmente identificou o tipo de BD que está sendo usado. Os próximos exemplos mostra como string pode ser construída para a maioria dos tipos de BD: (mais…)

Introdução ao Burp Suite

“Burp Suite é uma plataforma integrada para a realização de testes de segurança em aplicações web. Suas diversas ferramentas funcionam perfeitamente em conjunto para apoiar todo o processo de testes, de mapeamento e análise de superfície de ataque de uma requisição inicial até encontrar e explorar vulnerabilidades de segurança.”
(Fonte: https://portswigger.net/burp/)

Em testes de segurança em aplicações web, podemos usar um proxy para capturar pedidos e respostas entre o nosso navegador e a aplicação web para que possamos ver exatamente quais dados estão sendo transmitidos. Kali Linux vem com a versão gratuita do Burp Suite, uma plataforma de testes para aplicações web que inclui um recurso de proxy. Burp inclui outros componentes úteis, tais como Burp Spider, que pode rastrear através da aplicação o conteúdo web e suas funcionalidades, e o Burp Repeater, que permite que você manipule e reenvie pedidos para o servidor. Por enquanto, vamos nos concentrar na Burp Proxy.

Para iniciar o Burp Suite no Kali Linux, vá para Aplicativos no canto superior esquerdo e clique em Aplicativos > Web Application Analysis > burpsuite. (mais…)

Introdução ao Wireshark: Detecção e captura de tráfego em redes

A captura de tráfego em redes pode trazer informações úteis de outras máquinas conectadas nela. Em um pentest interno, podemos simular uma ameaça interna ou um atacante que tenha descoberto uma brecha no perímetro, capturando o tráfego de outros sistemas na rede e pode nos dar informações adicionais interessantes (inclusive usuários e senhas) que podem nos ajudar na fase de exploração. O problema de capturar o tráfego é a quantidade de dados que pode ser produzido. Pouco tempo de captura em uma rede pode inundar o Wireshark com dados que tornam difícil a vida do pentester em descobrir o que realmente é útil. Veremos a seguir como manipular uma rede para pegar acesso ao tráfego que não conseguimos ver. (mais…)

Hacker prova que é possível controlar um avião usando apenas um app Android

Um hacker poderia controlar um avião remotamento usando um celular? Um palestrante no evento Hack In The Box, voltada para segurança e realizada em Amsterdã, na Holanda, provou que é possível controlar uma aeronave em pleno voo apenas usando um aplicativo para Android.

Chamado de PlaneSploit, este aplicativo foi apresentado por seu criador, Hugo Teso, que é consultor de segurança na Alemanha. Ele fez a demonstração durante a palestra e mostrou que com habilidades básicas de qualquer hacker é possível ter acesso ao avião e controlá-lo à distância. (mais…)

$12 mil são roubados em Bitcoins em ataque hacker

Você já deve ter ouvido falar do Bitcoin, uma moeda virtual que até criou polêmica nos EUA por ser considerada não legítima. Agora que a poeira dessa discussão baixou, as preocupações estão voltadas para um dos serviços que lidam com o dinheiro. Isso porque o Bitinstant foi invadido e teve $12 mil roubados em Bitcoins. O “assalto” foi realizado em três transações diferentes e precisou de redirecionamento de dados para servidores na Europa.

Entretanto, parece que a ação do criminoso não foi exatamente muito difícil de ser realizada, sendo que ele simplesmente fez o login na página de gerenciamento interno do serviço como se fosse um dos funcionários da empresa. Ele enganou o sistema oferecendo até o nome da mãe do colaborador e conseguiu assim redefinir senha e email daquele usuário. (mais…)

Ataque ao Evernote compromete 50 milhões de usuários

O Evernote sofreu um ataque que “seguiu um padrão similar” a outros crimes cometidos recentemente contra gigantes da Internet, como o Facebook, a Apple e a Microsoft. Por causa disso, a companhia responsável pelo aplicativo vai resetar a senha de 50 milhões de usuários.

“O time de Operações e Segurança da Evernote recentemente descobriu e bloqueou uma atividade suspeita na rede da Evernote que parece ter sido uma tentativa coordenada de acessar áreas seguras do Serviço da Evernote”,afirmou a empresa no blog oficial. “Como precaução para proteger seus dados, nós decidimos implementar uma redefinição das senhas.” (mais…)

Microsoft sofreu mesmo tipo de ataque hacker que Facebook e Apple, diz empresa

A Microsoft admitiu nesta sexta-feira (22) que sofreu um ataque hacker similar ao que atingiu o Facebook e Apple, divulgados pelas empresas na última semana.

Em um post no blog de Centro de Respostas de Segurança da companhia, Matt Thomlinson, gerente geral de Segurança de Computação Confiável da Microsoft, disse que, após perceber o ataque, a empresa optou por não fazer uma declaração pública sobre o ocorrido até colher inicialmente mais informações. (mais…)

Ataque Hacker: 250 mil contas do Twitter podem ter sido afetadas

Parece que a internet tem se tornado um lugar perigoso nos últimos dias. Depois de ataques contra os jornais The New York Times e The Wall Street Journal, dessa vez foi o Twitter que sofreu com problemas de segurança.

Durante a semana, o Twitter detectou padrões de acesso fora do comum em seus servidores, o que levou a equipe a identificar tentativas de acesso não autorizado ao banco de dados da rede social. (mais…)

Onda de ciberataques volta a atingir grandes bancos dos EUA

Chefe da segurança interna dos EUA disse que as maiores instituições financeiras do país “estão ativamente sob ataque” de cibercriminosos.

A chefe da segurança interna dos Estados Unidos, Janet Napolitano, disse que as maiores instituições financeiras “estão ativamente sob ataque” de cibercriminosos, e um especialista disse que essa é uma tendência que contribui para o aumento dos gastos dos bancos.

Napolitano disse aos convidados de um evento de cibersegurança do The Washington Post que crackers estão roubando informações e dinheiro, mas recusou a dar mais detalhes sobre ataques. “Eu realmente não quero me aprofundar mais nesse assunto”, disse, de acordo com uma reportagem do The Hill. (mais…)

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!