From Deploy WAR (Tomcat) to Shell (FreeBSD)

O objetivo deste post é demonstrar como a implementação insegura de serviços na rede pode facilitar o comprometimento de toda a infraestrutura de sua empresa. Neste caso a demonstração será com a instalação padrão do Apache Tomcat [1], em um servidor com o sistema operacional FreeBSD [2], sem nenhum ajuste nas configurações ou hardening no pós-instalação.

Durante um teste de intrusão foi descoberto que determinado servidor executava a aplicação Tomcat (porta 8080) e que o mesmo utilizava credenciais padrão [3] (tomcat:tomcat), assim, foi possível acessar sua interface administrativa, conforme figura 1.

Figura 1 - Interface Administrativa

Conviso na ZaCon V

Sawubona (Hello)!

A ZaCon é uma conferência técnica, 100% independente, gratuita, sem fins lucrativos, organizada pela comunidade de Segurança da Informação na África do Sul. No último dia 16 de Novembro, a Conviso teve o prazer de participar, e palestrar com um dos especialistas do Code Fighters, da quinta edição da ZaCon realizada na cidade de Johannesburgo.

A apresentação "Detection of Obfuscated Obfuscation Routines"(slides) foi destaque em meio a uma grade composta por uma seleção de 9 palestras com conteúdos que variaram de hacking com antenas direcionais à Malwares. Outro ponto bem divertido e criativo foram os Badges que trocavam mensagens entre si durante a conferência via infra-vermelho, criando uma espécie de rede social.

O evento foi descontraído, sem nenhuma ação de propaganda/marketing e exageros. Foco em conteúdo e debate ao invés de networking e autopromoção. É perceptível a satisfação do aprendizado de algo novo no rosto da audiência ao fim da conferência. 

Por fim, para quem procura por uma conferência com um excelente nível técnico, não-comercial, bem organizada e sediada em um lugar extremamente interessante e multi-cultural recomendamos fortemente a ZaCon. 

Akube Kuhle (Cheers)!

Conviso na InterCon iMasters 2013

No ano em que a InterCon comemora seus 10 anos, dois colaboradores da Conviso, Ulisses Castro e Leandro Rocha, foram convidados a participar de uma arena hacker durante o evento, realizado das 20h do dia 8 de novembro até as 3h da madrugada do dia 9 de novembro. Eles foram convidados a fazer um hacking ao vivo com a finalidade de mostrar como as pessoas estão vulneráveis, muitas vezes por falta de atenção em pequenos detalhes, e também, pela não pratica de simples procedimentos que possam ser tomados antes do trafego de dados ou a inserção de uma senha, como é mostrado mais detalhadamente no vídeo abaixo: