VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Giovanni_Menezes escreveu:

Boa sorte para ele, todos nós sabemos da segurança e modernidade do sistema prisional brasileiro, serão longos dias ao lado de bandidos de todas as especies numa cela apertadinha, com presos cheios de amor para dar ao novato rsrsrs.

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

Mauriciodez escreveu:

o que eu realmente fiquei de cara foi com a quantidade de usuários aqui do fórum q baixaram e executaram o js .. aff .. e eu aqui pensando q usuários linux eram todos safos !!!

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

fernandojsouza escreveu:

Venho aqui levantar alguns pontos em relação a segurança do site:


1- Quando o site sofreu esse tipo de ataque é os usuários que se logavam tiveram o seu login e senha capturada pelo criminoso isso é certo?

2- Qual o impacto para quem baixou e executou o arquivo js no PC (abriu)?

3- Usar um usuário comum no sistema sem poderes administrativos não basta.

4- Na questão dos rastros:

Deixar o próprio whatsapp no código fonte do site? Sera que não é fake ou é mesmo burrice. Pelo conhecimento que o criminoso tem levo a crer que é fake.
Não usou nenhum proxy? Ele não ia deixa isso acontecer
Região: DF
IP registrado
Seguir os rastros do provedor neste caso o tempo esta correndo contra. Quando mais tempo levar menor vai ser os rastros.


5- Motivação do crime: Invadir para mostrar que o servidor é realmente vulnerável sera mesmo que é só isso ou tem algo oculto por atrás , isto é apenas a ponta do iceberg? Amigos...


Fabio que isso possa servir de algo positivo para todos aqui no site. Não existe sistema 100% seguro.

Não devemos fecha os olhos só porque usamos Linux, risco sempre vão existe,mais como vão ser tratado isso é outra questão.


A medida de abrir um registro de ocorrência foi correta. Existe algo que os usuários do site possa fazer para ajudar você?


Em relação a investigação da Polícia Federal tenho certeza que vai ser feita ainda mais nos tempos atuais. Vamos chama o Juiz Sérgio Moro para resolver isso.

Tem como ver Antecedentes Criminais do criminoso no site da PF



Superintendência Regional do Distrito Federal

Superintendência Regional
Superintendente: DPF Élzio Vicente da Silva
Endereço: SAIS Quadra 7 - Lote 23 - Setor Policial Sul Brasília-DF / CEP 70610-902
Fone: (61) 2024-7500
Fax: (61) 2024-7401
Plantão: (61) 2024-7503 / 2024-7678 (TeleFax)
Recepção: (61) 2024-7501/02
Comunicação Social
Chefe: Bruno Ramos Craesmeyer
Fone: (61) 2024-7510 / 7557
E-mail: cs.srdf@dpf.gov.br

PF nas redes sociais





Obs: Ate agora não vi mudança do código fonte do site como antes. Sera que foi resolvido o problema? Agora fica a questão da credibilidade do site que vai demora para volta.

Já que o ponto inicial foi uma brecha de segurança no Gmail ele não é mais confiável, mesmo que configure-o para autenticar via Google Authenticador, autenticação em duas etapas. Sempre vai corre esse risco futuramente.

Outra questão porque tem tanta propaganda no site? É só nele que aparece (anúncios do google)


Agora vou sempre abrir o site em uma maquina virtual.

dig vivaolinux.com.br 

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

fernandojsouza escreveu:

Venho aqui levantar alguns pontos em relação a segurança do site:


1- Quando o site sofreu esse tipo de ataque é os usuários que se logavam tiveram o seu login e senha capturada pelo criminoso isso é certo?

É possível, não tem como mensurar sem acesso. Eu pessoalmente quando abri a página desconfie logo, limpei o cache e voltou.
Troquei o DNS da operadora pelo do OpenDNS e aí o site não carregou mas.

2- Qual o impacto para quem baixou e executou o arquivo js no PC (abriu)?

você chegou a analisar o arquivo?
Eu não baixei quando, e percebi que se tratava de outro site, só voltei a tentar acessar no dia seguinte a tarde. E já estava normalizado o acesso.

3- Usar um usuário comum no sistema sem poderes administrativos não basta.

pode explicar melhor isso, fiquei curioso, qual a correlação?




5- Motivação do crime: Invadir para mostrar que o servidor é realmente vulnerável sera mesmo que é só isso ou tem algo oculto por atrás , isto é apenas a ponta do iceberg? Amigos...

ele não invadiu o servidor do vol, você estão misturando as coisas

Fabio que isso possa servir de algo positivo para todos aqui no site. Não existe sistema 100% seguro.

verdade, mais que foi quem disse que existe?

@izaias e @fabio me ajuda aí.

Não devemos fecha os olhos só porque usamos Linux, risco sempre vão existe,mais como vão ser tratado isso é outra questão.

concordo, riscos não vulnerabilidades, todo sistema operacional tem.

Obs: Ate agora não vi mudança do código fonte do site como antes. Sera que foi resolvido o problema? Agora fica a questão da credibilidade do site que vai demora para volta.

[b]Simples o vol não mudou. O que mudou foi o DNS.

Já que o ponto inicial foi uma brecha de segurança no Gmail ele não é mais confiável, mesmo que configure-o para autenticar via Google Authenticador, autenticação em duas etapas. Sempre vai corre esse risco futuramente.

Outra questão porque tem tanta propaganda no site? É só nele que aparece (anúncios do google)

alguém precisa pagar as contas

Agora vou sempre abrir o site em uma maquina virtual

:-)

.

ctw6av escreveu:

"Que viagem é essa veio". Parem com isso kkkkk exploit em cima do zip, abrir em máquina vitual vocês estão dando o que os kiddies querem, por que que não deixam quieto? O cara somente mudou o dns, eu falei desse ataque semana passada aqui, é mais comum do que parece.

O cara nem sequer explorou uma falha do site ele simplesmente foi no elo mais fraco e isso respingou no site.

Dont't worry be happy





______________________________________________________________________
OS: Biebian
Kernel: x86_64 3.5.2-amd64
Resolution: 1320x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB
Distro: http://biebian.sourceforge.net/

tony130666 escreveu:

Deu um trabalhinho mais consegui converter "String.fromCharCode()" e ir para a segunda parte. Não sei pra que tanto desse, pois não bastava um e colocar "String.fromCharCode(87, 45, 95, 65, ...)"?

No site da MS tem muito material sobre cada parte do código. Coisas sobre o Powershell, System.IO.Compression, IO.Compression.DeflateStream, FromBase64String, Convert, Decompress, essas coisas.

Seria bom uma seção aqui no VOL trocando ideias sobre o código. Bastava usar tudo menos a parte "perigosa" que de perigosa mesmo não parece ter nada, penso.

Se o moderador achar que coloquei muita coisa que não deveria aqui, pode me alertar (lógico), apagar ou modificar.
Mas, já que ocorreu o "ocorrido", seria bom falar sobre o assunto de forma mais aprofundada para suprir nossa demanda por conhecimento.
Vamos comentar o código e fazer funcionar usando um código nulo. Quem sabe com uma mensagem de viva o conhecimento. Viva o Vol.

$ indent -kr -i8 src.c



"(...)all right-thinking people know that (a) K&R are _right_ and (b) K&R are right." 

        - linux/Documentation/CodingStyle - TORVALDS, Linus.