Descoberta grave vulnerabilidade no Centro de Ajuda do Windows

Até o momento, descobriu-se que são vulneráveis o Windows XP e o Windows 2003 Server.

Segue link para o exploit-db.

Bloqueando acesso ao htaccess.txt via apache2.conf

Em muitos casos, o arquivo htaccess.txt é utilizado para implementar diretivas de segurança em websites. No entanto, o acesso ao próprio htaccess.txt (e a consequente revelação dessas diretivas) é um risco. Para bloquear o acesso, insira as seguintes linhas no apache2.conf:


&ltDirectoryMatch ^/var/www/*&gt
  &ltFiles htaccess.txt&gt
    order allow,deny
    deny from all
  &lt/Files&gt
&lt/DirectoryMatch&gt

Obs.: O uso da expressão regular ^/var/www/* inclui na regra os subdiretórios de www/. Substituir &lt por sinal de menor e &gt por sinal de maior.

Segue uma fonte interessante: Guia completo do apache. 

Austrália investiga Google por invasão de privacidade

Leia aqui.


Sim, foi acidente, sei...
Os serviços da Google são ótima fonte, para a empresa (e por que não dizer para o governo americano?), de informações privilegiadas. Esqueça privacidade e sigilo...


Por falar em privacidade e sigilo, você já teve a curiosidade de ler os termos de serviço do Gmail?

O usuário retém direitos autorais e quaisquer outros direitos que já tiver posse em relação ao Conteúdo que enviar, publicar ou exibir nos Serviços ou através deles. Ao enviar, publicar ou exibir conteúdo, o usuário concede ao Google uma licença irrevogável, perpétua, mundial, isenta de royalties e não exclusiva de reproduzir, adaptar, modificar, traduzir, publicar, distribuir publicamente, exibir publicamente e distribuir qualquer Conteúdo que o usuário enviar, publicar ou exibir nos Serviços ou através deles.

Muito cuidado com os dados que insere no Gmail e nos demais serviços da Google, principalmente se quiser que eles se mantenham sigilosos...

National Checklist Program (NCP): repositório de checklists do NIST

É um repositório de checklists de configuração segura para diversos sistemas operacionais e aplicações. Muito interessante!

http://web.nvd.nist.gov/view/ncp/repository

Convertendo imagem VHD (Microsoft Virtual PC) para VMDK (VMware)

Precisei de uma máquina WinXP SP2 para testar buffer overflows e encontrei no site do NIST:

XP_NIST_FDCC_Q4_2009.zip
XP_NIST_FDCC_Q4_2009.z03
XP_NIST_FDCC_Q4_2009.z02
XP_NIST_FDCC_Q4_2009.z01

Download feito e máquina virtual descompactada, deparei-me com o formato .vhd, do Virtual PC.
Para converter para .vmdk, utilizei o Starwind V2V Converter, que converte tanto de .vhd para .vmdk quanto de .vmdk para .vhd.

Lembre-se que .vmdk é o disco virtual de uma máquina .vmx. Logo, é necessário criar uma máquina virtual (para que o arquivo de configuração .vmx seja criado) e apontar o disco da nova máquina para o arquivo .vmdk.

Para criar uma máquina virtual e associar ao disco .vmdk: File -> New -> Virtual Machine -> Custom.
Escolher a opção "Use an existing virtual disk".

Atualização (19:27h):


Esqueci de dizer que usuário/senha para essa máquina são: Renamed_Admin/P@ssw0rd123456

Cyber Hacking Challenge by Offensive Security

Hacking Challenge #2 – HSIYF for Charity

"How Strong is Your Fu, the first cyber hacking challenge from Offensive Security was a massive success and brought on the birth of a new Offsec tradition of Cyber Hacking Challenges.  We sent over 600 people crying back to their mama with our noob filter alone."

Custo: US$ 49

48 horas de ação (ou de "n00b filtering" :p) começando em 19 Jun.

Inscrições em 6 Jun, os 102 primeiros inscritos receberão um ambiente privado para o desafio.

Para quem quiser ver a documentação do vencedor do Hacking Challenge #1: http://www.information-security-training.com/documentation/01-snowytoxa.pdf

Ele é da Rússia e completou em 14:52h. As documentações dos outros podem ser vistas em http://www.information-security-training.com/news/hsiyf-runner-up-documentation/

Para quem gosta de engenharia social, segue uma competição tipo "capture the flag" de SE:

The Social Engineering CTF – How Strong is Your Schmooze