Arquivo de etiquetas: segurança

Como criar um programa auto-replicativo em assembly, para GNU/Linux

A arte da criação de programas auto-replicativos parece estar perdida no tempo. Não podemos confundir um programa auto-replicativo com malware, cavalos de tróia, worms, etc. Um programa auto-replicativo não executa nenhum tipo de código para danificar hardware ou software, pelo contrário apenas tenta replicar-se de diversas formas ou métodos e é por norma escrito numa linguagem de baixo nível, como por exemplo assembly. A parte mais interessante e importante do programa ao contrário de um malware não é um pedaço de código para causar danos, mas antes pelo contrário apenas o código que per- mite que o programa se replique.

Apesar de muitas vezes se confundirem as duas tarefas, um programa auto-replicativo é uma forma de criatividade, engenho e inovação, com o objectivo de criar um programa que se consiga manter num sistema informático evitando ser apagado e replicando-se de forma inteligente, evitando a sua detecção e consequente remoção. É quase como fazer um avião de papel, ajustar as “asas”, o “nariz”, colocar ou não um “leme de cauda”, etc e atirar para ver que distância é percorrida antes de inevitavelmente aterrar, ou melhor, cair! Em momento algum se pretende que o programa, tal como o avião, dure “ad aeternum”, sendo o interesse apenas no lapso de tempo que ele durará até ser totalmente removido.

Continuar a ler

Windows 10: Ferramentas de Segurança

Introdução

As ameaças de segurança aos dispositivos, dados e informações são um assunto importante no dia a dia e evoluem com frequência. Por isso, é necessário contar com hardware, software e ferramentas que sirvam como uma barreira para os riscos que os utilizadores enfrentam em atividades como navegar na internet, instalar aplicações ou simplesmente ligar o computador.

Ameaças como o hacking ou infeção de equipamentos com vírus e malware, acontecem tanto a nível pessoal como empresarial e, algumas vezes, podem acontecer simultaneamente em ambos os cenários. Por isso, o primeiro passo para reforçar a segurança da nossa informação é utilizar equipamentos com ferramentas atualizadas, como por exemplo, PCs com Windows 10.

Continuar a ler

Os segredos do lado negro da BIOS

Introdução

A BIOS

Ao longo dos anos, muito tem sido escrito sobre possíveis vectores de vulnerabilidade utilizando a bios. No entanto, além do antigo vírus de Chernobyl, que acabou por apagar a BIOS, pouco tem sido dito.

Tal como amplamente descrito, a BIOS é um firmware de arranque designado a ser executado assim que um computador recebe corrente. A função inicial da BIOS é identificar e testar os dispositivos de sistema, como a placa gráfica, as unidades de armazenamento (disco rígido), antigamente as drives de disquetes (agora já são incomuns) e outro hardware, com o objectivo de preparar a máquina e colocá-la num estado conhecido, de forma a que os softwares armazenados nos meios de armazenamento possam ser carregados e executados, para lhes ser “entregue” o controlo do computador. Este processo é o chamado “booting”, que é a abreviatura de “bootstrapping”.

Nos computadores PC compatíveis, alguns periféricos, tais como unidades de disco rígido, placas gráficas, etc… têm a sua própria extensão da ROM da BIOS, com o objectivo de fornecer funcionalidades adicionais. Os sistemas operativos e outro software designado para o efeito, criam uma interface para as aplicações utilizarem estes dispositivos.

Continuar a ler

Cifra Feistel

Nesta edição decidimos trazer até si, caro leitor, um artigo sobre uma cifra que data ao ano de 1973. Criada por Horst Feistel enquanto trabalhava na IBM, este algoritmo pertence à criptografia simétrica.

Para os leitores que não estão tão habituados a este tema, existem dois tipos de cifras. A simétrica e a assimétrica. Em termos práticos, a criptografia simétrica tende a ser mais rápida uma vez que exige menos capacidade computacional. Contudo é considerada menos segura uma vez que a mesma chave é usada para encriptar e desencriptar a informação é partilhada pelos diversos intervenientes (na criptografia assimétrica são usadas duas chaves distintas – a chave privada para desencriptar e a chave pública para encriptar a informação – apenas a chave pública é partilhada entre emissor e receptor sendo que a chave privada é usada para decifrar a informação).

Continuar a ler

Depois da casa roubada, trancas na porta!

Muito se tem falado desde a passada sexta-feira sobre cyber-segurança, mas antes disso pouco se dizia. Isso faz lembrar o ditado português, “depois da casa roubada, trancas na porta”. Ora bem, na passada sexta-feira, um ransomware, infectou imensos sistemas, colocando os dados reféns de um resgate a ser pago aos criadores do malware. Até aqui, nada de inédito, este tipo de ataques tem sido cada vez mais co- mum! O estranho é o “pânico” gerado em volta da situação e mais estranha será a falta de uma política “pró-activa” de prevenção!

Um ransomware, encripta os dados contidos nos discos rígidos e solicita um pagamento de um resgate! Bem, se existirem cópias de segurança, para quê pagar resgate? Restaura-se a cópia de segurança e recomenda-se aos “autores” do “dito cujo” que vão “plantar nabos num qualquer deserto”, porque os dados continuam disponíveis e o ataque foi apenas mais um fracasso! Situação em que se poderia dizer que “venha de lá o assalto” que as trancas estão na porta! Mas infelizmente numa grande quantidade de situações tal não aconteceu!

Continuar a ler

Criptografia e segurança por hardware com Arduino/Genuino ou outros sistemas por I2C

Introdução ao problema

Cada vez mais se lêem notícias sobre os perigos da internet das coisas, desde um ataque massivo de negação de serviço distribuída (Distributed Denial of Service) que excedeu larguras de banda de 799Gbps, até botnets de dispositivos IoT, etc…

Uma das preocupações de quem desenvolve produtos IoT, sejam software, hardware ou ambos, acaba por ser a segurança desses dispositivos, e até que ponto a segurança por software é suficiente num dispositivo que pode controlar por exemplo, um sistema de alarme, ou o controlo de aquecimento, etc…

Continuar a ler

Wifi Air Denial

Nesta edição caro leitor, trazemos até vós um artigo acerca de uma exploit, a WIFI AIR DENIAL.

Esta exploit foi conhecida pela primeira vez em 2011. De uma forma simples, esta exploit consiste em fazer que quando um dispositivo envia um pacote de autenticação a um access point/router, antes do mesmo responder ao pedido do dispositivo – o “nosso device” responda dizendo que não aceita a autenticação impedindo-o de utilizar o wifi.

Continuar a ler

“30 30 37 – For Your Eyes Only”

52 61 72 21 1A 07 00 CF 90 73 00 00 0D 00 00 00 00
00 00 00 E2 31 7A 00 80 23 00 4C 00 00 00 58 00 00
00 02 C5 15 EF F0 FD 09 96 49 1D 33 03 00 01 00 00
00 43 4D 54 09 15 14 CF DD 00 CF D4 A2 A0 18 E9 97
41 27 C0 6D 83 06 2E 37 02 91 51 68 12 85 45 F5 FA
3F 60 DD 37 7D B5 56 45 91 E1 94 6E C7 43 0E 0F 11
FB 1A 40 8A D2 DB A9 6B 89 1E 9A 24 F9 4C 60 87 F3
71 EA 3E 27 76 3B 2D CF E1 EA AA A8 0C 89 74 20 90
40 00 4D 01 00 00 DE 05 00 00 02 D3 19 66 BE D5 09
96 49 1D 35 0D 00 20 00 00 00 54 6F 70 53 65 63 72
65 74 2E 54 58 54 F0 BF 98 1C 64 9C 09 96 49 8F B8
89 9C 09 96 49 8F B8 89 0D 41 0C 8D 53 D5 01 13 8D
5E F9 08 0D DC D9 F9 09 3B FF 24 B5 66 0B D1 7A 46
58 D8 E2 25 AF FD 2F F0 01 30 1E 0A 75 4C 38 E5 3C
34 C0 78 04 AB CC 54 C7 C1 F8 E7 E1 99 6D B5 34 A3
2E CA 10 33 FB 16 42 84 1B E9 09 E3 5A 6E E2 9D B1
32 2F C6 90 64 07 4E 93 24 EA 2D 38 AC CE 09 D1 AA
CE E7 08 C3 E3 D5 52 01 40 F9 9B CE 97 41 3A 80 D8
22 BB 82 7B 2C 3A 30 95 6E 24 13 8E 4A AC 81 D8 A0
C8 75 05 B5 17 44 E5 E7 AE C9 D2 55 07 97 76 CF 1C
AB 85 47 C0 8D A8 0B D6 58 6E 0B 52 90 72 A3 CF E8
E3 1B CC FA 26 96 6D 10 FC 9C 83 ED 4E 5D 7E 9A 2E
5A 27 6A 2D A8 A8 A8 B5 2E 87 AF A1 A7 2F E0 2F F8
4B 02 8B 77 C5 B4 97 F8 31 30 AB 77 4F 40 D9 FF AA
AC 5E 6B DC 6B 0F 69 2A C5 82 8D 97 74 AD F4 CA 94
79 37 B2 47 5A 27 BB 38 1F 66 4B 8C BC 93 72 A1 AB
0C 60 CB AF 23 CC 2B C7 96 08 4E 99 F3 48 3A 72 B0
21 AB 09 74 5C 46 73 EC 4D 68 F9 D1 04 5A DB E4 2E
69 93 7E 89 8E D3 3C 93 D9 71 94 BC E7 5A 2A B0 4B
E4 32 D2 67 D3 4B 38 55 18 9E D3 E9 AE 89 37 79 8F
E6 78 0F 7E 4B 3D 5E DE 17 1E 94 FF 25 91 7F 29 5F
48 C4 3D 7B 00 40 07 00 00 00 00 00 00 00 00 00 00 00

Um “cofre” para passwords simples e de baixo custo

Introdução

Um dos mais comuns e mais falados problemas de segurança de um sistema de informação são as passwords sem “qualidade” muitas vezes motivadas pela dificuldade de memorização das mesmas.

De forma a enquadrar o leitor, cada password deve ter um comprimento adequado e preferencialmente não ser previsível. Por exemplo, uma password como 1979aMelhorGeracaoDeSempre! (27 caracteres), é previsível se considerarmos que o utilizador nasceu em 1979 e possivelmente falará imenso desse facto gabando a sua geração. Neste caso, apesar de ser fácil de memorizar, é relativamente simples de “adivinhar”, ou melhor deduzir, por parte de alguém que pretenda obter acesso ao sistema no qual o utilizador em causa usa esta password.

Por outro lado, passwords com qualidade como: zb8@g-DMK&7@%pRyhE45DhbbPs$!angSRhHNUenBpu4AZ4+$KLA-gcJFYfdwV=yN$RXw6TmD-YTpBf9?dWRkRAXu35XhwE=d*!vt53-m8dq34fmr?cCAv#k#u*gsSdgg (128 caracteres), apesar de serem praticamente impossíveis de deduzir, são demasiado complexas para serem memorizadas, tornando o seu uso difícil e praticamente inviável.

Continuar a ler

Estratégias de jogos Aplicadas a Segurança Computacional

O estudo aqui relatado trata de um Serious Game que tem como objectivo propor desafios relacionados com a segurança computacional, em que o jogador terá que utilizar a lógica para solucioná-los. Esse jogo tem como intuito final ensinar a utilização de estratégias de jogos aplicada à segurança, para solucionar problemas de segurança actuais.

Palavras-Chaves: Jogos; Segurança; Aprendizagem.

Introdução

A segurança computacional constitui uma parte bastante importante e crescente nos dias actuais dentro da tecnologia moderna. Ela é responsável pela protecção de dados e equipamentos com o intuito final de preservar o seu valor para um indivíduo, empresa ou organização.

Continuar a ler