Recebi a alguns dias um malware da Carol com o desafio de ver o que ele fazia, para minha sorte o malware não é tão malicioso assim, ou é? Abaixo uma foto do e-mail que recebi:
Link permanente para este artigo: http://laerciomotta.com/2011/12/16/analise-de-malware-1-banco-satander/
dez 02
Desafio SegInfo #2 – Aplicação Web
Apesar de não conhecer bem de Web, resolvi tentar resolver a Challenge #2 Blog SegInfo – Aplicação Web, e sinceramente achei fácil.. 😛
Para ficar do jeito que seria em um ambiente real, resolvi colocar a pagina no link http://laercio.alwaysdata.net/desafio-seginfo/.
Ao abrir já aparece uma tela mostrando o um contador e algumas informações:
Primeira coisa que fiz foi abrir o código de fonte do index e ver o que tinha lá dentro, me deparei com 3 linhas de script js:
<script charset=”utf-8″ type=”text/javascript” src=”js/jquery.min.js”></script>
<script charset=”utf-8″ type=”text/javascript” src=”js/jquery.countdown.js”></script>
<script charset=”utf-8″ type=”text/javascript” src=”js/jquery.countdown-in.js”></script>
Não sei dizer exatamente o que cada um faz, mais pelos nomes já da para ter uma ideia, indiferente, o que me chamou atenção foi o último (js/jquery.countdown-in.js). Dentro dele existe algumas funções, mais a primeira, chamada de timerEnd (sugestivo também), contém uma variável chamada 0x609a com um conteúdo que me pareceu ser hexadecimal, todas elas começa com \x e algum número com letras (HEXA).
Se eu remover o lixo dessa linha vou obter o seguinte:
302E313D22322E3322
1. 7C
2. 73706C6974
3. 77696E646F777C6C6F636174696F6E7C
66353063623139333062613733336234366562663264623130313839623434367C68746D6C
4. 7265706C616365
5. 5C772B
6. 5C62
7. 67
A maior que me chamou mais atenção, e como era de se imaginar, lá estava o nome do html que ele iria abrir depois de se passar as “24 horas”.
O mais interessante que logo que postei no twitter que iria fazer o desafio, apareceu um post também no twitter do @vivaolinux_, com a mensagem: “[Script] Brincando com Hexadecimais – http://tinyurl.com/7hn98hv“, que é um script feito em python para converter hexa em string e vice versa.
Então acabei usando o script que o cara fez para decifrar o código, e foi “batata”. O resultado foi:
window|location|f50cb1930ba733b46ebf2db10189b446|html
Vi o que estava procurando antes, uma mensagem escrito “windows.location”, que aprendi no passado que é a função javascript usada para abrir uma página. Logo em seguida está separado por pipe o nome e a extensão do html que iria ser aberto após as “24 horas”, e como era de se esperar terminei o desafio por aí:
O primeiro desafio do @SegInfo já esta no site deles, mais acho que vou inserir um post aqui como eu fiz 😛
Até a próxima e comentem…
Link permanente para este artigo: http://laerciomotta.com/2011/12/02/desafio-seginfo-2-aplicacao-web/
dez 02
Limpar Informações do PDF
Tive um probleminha ao transformar alguns DOC para PDF recentemente… Como precisei verificar os dados dos arquivos, acabei gerando um a um com o LibreOffice Write mesmo. Só que depois de converter todos os PDF (cerca de 100), percebi que no título quando abre com o Adobe Reader aparece a descrição que vem do arquivo DOC. Provavelmente alguma informações a mais pode aparecer também, como o Autor e outros. Aí me perguntei como tirar?
Link permanente para este artigo: http://laerciomotta.com/2011/12/02/limpar-informacoes-do-pdf/
nov 18
Ldap Account Manager
por Laercio da Silva Motta – twitter: @laerciomasala
Já faz algum tempo que postei um mini tutorial de instalação do novo OpenLDAP, existe uma ferramenta chamada Ldap Account Manager, gosto da ferramente por ser simples para qualquer um usar.
LDAP Account Manager
Algumas coisas sobre a ferramenta:
Link permanente para este artigo: http://laerciomotta.com/2011/11/18/ldap-account-manager/
out 22
Latinoware 2011 – 3º Dia
por Laercio da Silva Motta – twitter: @laerciomasala
No último dia de Latinoware o foco foi um Minicurso na parte da tarde (pelo menos um). Ainda de manha vi uma palestra intitulada como “Os verdadeiros hackers”. Infelizmente não levei minha câmera fotográfica, então tive que tirar foto com meu celular (apenas duas, pois não gosto da qualidade dele).
Link permanente para este artigo: http://laerciomotta.com/2011/10/22/latinoware-2011-3o-dia/
out 14
Erro no “apt-get update” (Repost)
por Caroline de Souza Vieira – twitter: @carolinux07
Essa é mais uma daquelas histórias em que a simples manutenção vira um problemão.
Fui efetuar a configuração de um serviço num firewall (Debian “lenny”) que não mexia a muitos meses e ao executar um apt-get update recebi algumas mensagens de erro:
Reading Package Lists… Error!
E: Problem with MergeList /var/lib/apt/lists/ftp.pt.debian.org_debian_dists_stable_main_binary-i386_Packages
E: The package lists or status file could not be parsed or opened.”
Depois de muito bater cabeça consegui uma solução seguindo os seguintes passos:
Veja o desfeche dessa história no Blog da Carol – >>> CLIQUE AQUI <<<
Link permanente para este artigo: http://laerciomotta.com/2011/10/14/erro-no-apt-get-update-repost/
set 30
Ferramentas Forense – Parte 1
Antes que alguém pergunte, eu não abandonei o blog, apenas estou muito atarefado ultimamente(Trabalhos de Faculdade e outros), então aos poucos o blog vai retomando. Transitando pela internet achei algumas ferramentas interessantes que vale a pena conferir:
tshark – Trabalha com arquivos PCAP(TCPDump, Wireshark ou derivados).. Retira informações interessantes, como mostrar o percentual do ip/máquina que mais usou a rede, ou até mesmo ver qual foi a quantidade de Frames(Pacotes) e bytes enviados por cada um. Debian: apt-get install tshark
capinfos – Mostra informações do arquivo PCAP, como Número de Pacotes, Duração da Captura, Data/Hora de Inicio e Fim e outros. Debian: apt-get install wireshark-common
volatility – Analisa DUMP’s de memória. Normalmente com DUMP dos Windows, mais com a versão 1.4(hoje está na 2.0) é possivel adicionar alguns plug-ins(feitos em python) para analisar DUMP’s de máquinas com Linux, funcionou perfeitamente aqui. Ele mostra informações como netstat, arp, processos em execução e outros. Mais em: https://www.volatilesystems.com/default/volatility
Seria isso, novas ferramentas eu posto aqui futuramente.
Link permanente para este artigo: http://laerciomotta.com/2011/09/30/ferramentas-forense-parte-1/
set 02
Ar. Drone!
Não entendeu? Ar. Drone é um Robo aviador(controlado via Wi-Fi), a princípio é controlado via iOS(Iphone, Ipad…), porém é possível utilizar via outros SO, ele tem Sistema Operacional Linux embarcado! o SDK dele é aberto, podendo ser feito alterações da maneira que achar melhor. O aparelho é super interessante, porém o preço não é tanto assim…Quer saber mais? Veja no blog do Cabelo um artigo recente, que deu a origem a essa tirinha ;P
Antes que alguém pergunte! Sim, eu não sou bom desenhista… Não vou colocar tirinhas todos os dias, mas, se tiver alguma sugestão boa eu posto e coloco os créditos aqui, ou a hora que eu tiver alguma boa eu posto aqui também!..! ;D
Link permanente para este artigo: http://laerciomotta.com/2011/09/02/ar-drone/
ago 10
Usando DBDesigner com PostgreSQL
No meu curso de Ciência da Computação(que estou cursando 3o ano), tenho uma matéria de Banco de Dados, no caso o banco usado pelo Professor em sala é o PostgreSQL. No começo do ano começamos a usar o DBDesigner, e no caso ele é uma versão para o MySQL. Nada impede de usar ele com o Postgre, mas tem um pequeno detalhe. O DBDesigner não entende o tipo SERIAL(que é usado para auto-incremento), no caso é criado um novo tipo de dado, chamado SERIAL(claro), aí vem o problema, ao exportar pelo DBDesigner ele faz o campo que é usada como chave estrangeira também ser SERIAL, mais o correto seria ele ser INTEGER, para resolver esse problema é necessário alterar o XML referente nas linhas onde tem o idDatatype para o tipo de dado referente ao SERIAL.
Como eu uso linux no meu notebook fica fácil, nada que o sed não resolva, mas antes vamos achar qual o código referente ao tipo de dado do SERIAL:
Link permanente para este artigo: http://laerciomotta.com/2011/08/10/usando-dbdesigner-com-postgresql/
ago 01
DBDesigner v4.0.5.4beta
Algum tempo atrás eu acabei montando o pacote do DBDesigner, é a mesma versão que tem no site(verifiquei hoje), sim eles ainda não atualizaram, mas.. Fiz ele como pacote .DEB, por que estava cansado de cada vez que precisar instalar o “bichinho” eu ter de procurar na internet aquelas bibliotecas. Vale lembrar que não é nada oficial, eu mesmo montei e estou distribuindo(espero que não tenha problema algum, tanto que o programa não tem custo). Bem para instalar não tem segredo algum, basta abrir e instalar ou pelo terminal(meu favorito):
Link permanente para este artigo: http://laerciomotta.com/2011/08/01/dbdesigner-v4-0-5-4beta/