terça-feira, 30 de setembro de 2014

Servidores web vulneráveis baseados nos sistemas Linux tem sido utilizados em botnets para ataques DDoS. A Akamai Technologies está alertando empresas para ameaças de alto risco ao Iptables e Iptablex nesses sistemas. Segundo o relatório da Akamai, a infestação em massa do Iptables e Iptablex parece estar sendo ocasionada por sistemas Linux desatualizados, comprometidos principalmente por exploits de Apache, Tomcat e Elasticsearch.

Atacantes tem utilizado as vulnerabilidades, presentes nos servidores que estão sem manutenção, para ganhar o acesso, escalando os privilégios de modo a obter controle remoto da máquina, e então instalar códigos maliciosos no sistema e executá-los. A indicação de que o sistema foi comprometido é a existência de um arquivo nomeado .Iptables ou. Iptablex localizado no diretório /boot.

O malware também possui um mecanismo de atualização, fazendo com que o sistema infectado tente contatar dois endereços IP localizados na Ásia. Segundo Stuart Scholly, membro da unidade de segurança da Akamai, os administradores de sistemas Linux precisam tomar conhecimento dessas vulnerabilidades para tomarem ações que protejam seus servidores.


Maiores informações através do link.

Fonte: SegInfo

segunda-feira, 29 de setembro de 2014

Com o avanço dos dispositivos móveis, está cada vez mais simples de um dispositivo se tornar uma ferramenta de ataque com grande poder.

Veja essa palestra sobre Wardriving e ataques a redes usando apenas dispositivos móveis.

Link para a palestra: http://www.secdocs.org/docs/wardriving-from-your-pocket-video/

sexta-feira, 26 de setembro de 2014

Segundo dados divulgados recentemente pelo Instituto Brasileiro de Geografia e Estatística (IBGE), mais da metade dos brasileiros já está conectada à Internet. A proporção de internautas no país passou de 49,2% em 2012 para 50,1% do total da população, em 2013. 



Alguns outros dados interessantes: 
  • O Brasil tem aproximadamente 86,7 milhões de usuários de Internet com 10 anos ou mais;
  • As mulheres representam 51,9% do total de internautas;
  • A maioria dos internatuas está nas faixas etárias entre 15 e 17 anos e de 18 a 19 anos, com 76% e 74,2%, respectivamente;
  • 44,4% do pessoal entre 40 e 49 anos acessa a Internet;
  • A maior penetração de Internet está na região Sudeste (57,7% da população local).


Fonte: Anchisesbr

quinta-feira, 25 de setembro de 2014

Uma pesquisa divulgada nesta semana pela Aspect Security revelou que uma boa parte dos desenvolvedores de apps realmente não sabe lidar com segurança. Feito na forma de um questionário, entregue a 1.425 desenvolvedores de 695 empresas pelo mundo, o estudo mostrou, por exemplo, que 80% dos participantes não sabem proteger dados e informações de usuários.

Este resultado ruim talvez explique o número alarmante de vazamentos e casos de informações expostas que aconteceram nos últimos meses anos. Mas o problema maior é que ele não é o único apontado alarmante pelos resultados da pesquisa.

Além dele, o questionário mostrou que só 51% dos desenvolvedores avaliados demonstrou algum conhecimento em relação ao gerenciamento de sessões seguranas (Secure Sessions Management), enquanto apenas 34% deles sabiam algo sobre a implementação de controle de acesso de URLs. Por fim, somente 26% entendiam de modelos de ameaças e avaliação de arquitetura de segurança (Threat Modeling and Security Architecture Review).

Há o que "comemorar", no entanto. Mesmo com poucos mostrando conhecimento sobre alguns pontos cruciais, os desenvolvedores ainda demonstraram ter domínio sobre alguns dos assuntos. 
Quase 80% deles mostrou saber como evitar ataques de injeção de scripts, e uma parcela pouco maior que 70% saberia prevenir vulnerabilidades XSS (cross-site) e usar SSL nas aplicações criadas.

Execução – A “prova” foi entregue no decorrer de um ano a profissionais envolvidos em diferentes áreas da indústria de desenvolvimento, da financeira (pouco mais de 400 participantes) a militar (cerca de uma dezena), passando pela de software de TI e de saúde.

A maioria dos participantes (quase 50% deles) tinha menos de 2 anos de experiência na área, mas uma parte considerável dos avaliados  (perto dos 25%) passava dos 10 anos de atuação. Ainda assim, apesar da variedade, o resultado obtido foi similar em todos estes setores – o que mostra que o problema está bem longe de ser isolado.

Boa parte dos desenvolvedores (quase 500 deles, na verdade) obteve uma nota entre 60 e 70, que equivale a um já preocupante D. Porém, mais de 550 deles se mostraram ainda mais despreparados quando o assunto é segurança e acabaram com um F na avaliação – ou seja, uma nota entre 0 e 59. Menos de 350 avaliados, portanto, conseguiram um C ou um B, e cerca de 50 desenvolvedores obtiveram um A (entre 90 e 100). Se quiser checar todos os dados da pesquisa, clique aqui.


Fonte: Info

quarta-feira, 24 de setembro de 2014

Uma terra quase sem lei, com uma “universidade” para hackers, um ranking com os mais bem-sucedidos cibercriminosos e uma lista dos IPs mais procurados pelo FBI – tudo acompanhado de um fórum para discussões internas. Poderia ser mais uma daquelas descrições mirabolantes sobre sites na deep web, mas não é nada disso. Todos esses elementos estão presentes em um jogo aberto, lançado por um brasileiro na semana passada, batizado de Hacker Experience – e que, a sua maneira, pode ser considerado um “GTA do cibercrime”.
O simulador é o primeiro projeto lançado por Renato Massaro, que trabalhou na criação de toda a estrutura “por diversão ou hobby”. Com 21 anos e estudando Ciências da Computação no interior de São Paulo, o jovem desenvolvedor começou a colocar ideias no papel ainda em 2005, quando ainda estava há alguns anos de entrar na universidade, e tentou executá-las por três vezes, pelo menos.
“Nas duas primeiras tentativas, parei na metade, ou por falta de tempo ou de conhecimento”, contou, por e-mail. “Já a terceira, comecei em fevereiro de 2012, um mês antes de entrar no curso – e ‘terminei’ agora no início de setembro.” Ou seja, foram dois anos e meio para criar a versão atual da aplicação, que roda direto no navegador.
A demora, justifica ele, está muito relacionada à faculdade, que tirava – e ainda tira – boa parte do tempo de Massaro. “Mas nos últimos seis meses, fiquei relativamente impaciente com essa demora e resolvi dedicar tempo integral ao jogo”, afirmou, dizendo ainda que deixou para implementar novas ideias apenas depois da conclusão do jogo, de forma a acelerar o desenvolvimento. “Faltei em várias aulas da faculdade e tive que cancelar várias disciplinas”, disse. “Mas acredito que valeu a pena” – e talvez por ter colocado em prática parte do que aprendeu na faculdade, como ele mesmo contou.
O jogo – A estrutura e a dinâmica do jogo, ambas desenvolvidas por Massaro, impressionam, de cara, pela complexidade. O visual remete ao do painel de controle do WordPress, e apresenta, primeiramente, informações de hardware (o computador do jogador e hacker) e gerais (reputação, tarefas e missões, por exemplo).
Logo abaixo, notícias mostram quem hackeou quem dentro da comunidade do game – sim, isso é possível –, um ranking classifica os melhores usuários em termos de reputação e uma lista exibe quais os IPs mais procurados pelo “FBI”. Por fim, o fórum e os anúncios dos administradores (Massaro, no caso) aparecem na parte inferior da página.
Visual apresentado, vamos à parte que interessa: o menu lateral dá acesso à tal Universidade, que ajudará você a começar a jogar e dará as primeiras missões. É por ela que os jogadores vão conhecer a fictícia Numataka Corporation, que desafia todo novo hacker a invadir o endereço da NSA – algo que ninguém nunca conseguiu fazer, segundo a mensagem.
Fora a escola, o menu mostra o gerenciador de tarefas e a “internet” do game, que funciona basicamente por IPs – como o da agência de segurança e os dos jogadores procurados pelos policiais. “Software”, por sua vez, mostra os programas que você tem à disposição para usar nas invasões e quebras de segurança, enquanto “Log de Dados” exibe todas as suas atividades (lembre-se de apagar tudo que aparecer por lá para não ser detectado) e “Hardware” traz dados sobre sua máquina e permite melhorá-la. Por fim, “Finanças” dá acesso ao banco e à carteira de bitcoins e “Banco de Dados” lista suas atividades e permite pará-las.
Apesar das linhas de código mostradas na página inicial de Hacker Experience, o processo de hack não é exatamente complexo e nem requer muito conhecimento técnico da parte do jogador. Pelo menos no início do jogo, as invasões exigem basicamente um programa (crack) adequado, o IP do alvo (que precisa estar acessível) e um pouco de agilidade para achar os arquivos necessários e apagar seus logs o quanto antes.
Inspiração e lançamento – Massaro, no entanto, não nega que, mesmo com as diferenças visuais, a inspiração para o projeto vem de antigos games do tipo – alguns até guardam semelhanças a animação apresentada ao acessar o site. “Acredito que eu tenha jogado praticamente todos desse gênero, e tentei tirar as melhores ideias de cada um, complementar com as minhas e criar algo novo”, disse, revelando ainda ter preferência por Uplink, da Introversion Software. “A única falha dele é que não há um modo multiplayer” – algo que o desenvolvedor incluiu no projeto mais novo antes de começar a divulgá-lo pela internet.
O lançamento de Hacker Experience, aliás, aconteceu no último dia 13 de setembro, quando o desenvolvedor colocou a página no ar – em inglês e português – e resolveu publicar o endereço no fórum Hacker News. A recepção do jogo, no entanto, foi bem maior do que ele mesmo esperava. “Para ser sincero, não esperava que alguém fosse jogá-lo e muito menos se interessar e viciar nele”, contou. “Só não desisti do projeto porque era apenas por diversão.”
Massaro conta que, em apenas dois dias, a página teve “milhões de visitas, aproximadamente 12 mil cadastros e 4 mil jogadores online ao mesmo tempo”. A demanda foi tanta que o desenvolvedor pensou até em vender o jogo, como mostra este post aqui, “simplesmente pelo fato de não dar conta de manter o suporte que os usuários merecem”.
Graças ao cansaço e ao grande número de mensagens, pedidos, sugestões e críticas recebidos, o servidor do jogo chegou a ser desligado, mas foi colocado de volta ao ar pouco depois. “Continua sendo difícil manter o contato necessário com todo mundo, mas as várias mensagens que recebi me fizeram perceber que vale a pena esse esforço extra.”
O bom número de acessos e jogadores simultâneos – número que está entre 1.000 e 2.000 – fez com que as tarefas fossem divididas pelo responsável, que conta agora com mais duas pessoas para ajudá-lo na administração. O comunicado da mudança foi feito no fórum interno do jogo, e no texto, o desenvolvedor atribui a novidade mais uma vez à faculdade. Aliás, Massaro está hoje no Canadá, em intercâmbio, e continua aproveitando as horas vagas para trabalhar em novos projetos pessoais.
Se quiser jogar, o Hacker Experience pode ser acessado por aqui – dá para fazer login pelo Twitter ou pelo Facebook ou criar uma conta no site. O jogo é gratuito, mas dá a opção de desembolsar uma pequena quantia para eliminar os anúncios, que nem de longe atrapalham as invasões virtuais.

Fonte: Info

sexta-feira, 19 de setembro de 2014


Sinopse

Kevin Mitnick foi o hacker mais esquivo da história. Ele acessou computadores e redes das maiores empresas do mundo, e por mais rápidas que as autoridades fossem, Mitnick era mais rápido, correndo através de telefones, computadores, e celulares. Ele passou anos saltando através do cyber espaço, sempre três passos a frente e rotulado como imparável. Mas para Kevin, hacking não era apenas sobre tecnologia mas sim o antigo jogo de confiança e fraudes para enganar e obter informações valiosas.

Impulsionado por uma vontade de realizar o impossível, Mitnick ignorou sistemas de segurança e entrou em empresas incluindo Motorola, Sun Microsystems, e Pacific Bell. Mas como a rede do FBI vinha apertando, Kevin iniciou uma corrida contra, num jogo de gato e rato sofisticado, levando a falsas identidades, diversas cidades, muitas vezes quase pego até o momento que deu de cara com a polícia, que iria pará-lo a qualquer custo.

Ghost in the Wires é uma história real de intrigas, suspense e uma inacreditável busca, o que forçou as autoridades a repensar o modo como conduziam suas investigações e buscas, e o mais importante, repensar como as pessoas e empresas protegiam informações sensíveis.

Traduzido e adaptado da Amazon


Review

Bom, como pode ser visto pela sinopse o livro é sobre as aventuras do Kevin Mitnick. Assumo que se você já lê o blog você tem um conhecimento mínimo de segurança e já deve ter ouvido falar dele, então não perderei muito tempo com isso. Se você nunca ouviu falar dele, com uma busca no Google você encontra ;)
Boa parte do livro pode ser visto no filme Hackers 2: Operation Takedown que já indiquei aqui a muito tempo atrás.

Normalmente nesses casos as pessoas perguntam, se existe um filme sobre, por que ler o livro? Simples, apesar do filme ser muito bom, o livro tem uma liberdade maior de se aprofundar em cada caso, mostrando os detalhes dos ataques do Mitnick, todo o processo desde o início de planejamento até o momento que estava com acesso total, e as consequências desses atos. O livro é basicamente uma aula de engenharia social, super indicado para quem deseja aprender mais sobre ou simplesmente saber como funciona.

Mitnick não usava, ou usava muito pouco, computadores e tecnologia em geral, hoje em dia chamamos esse tipo de ataque de “Non-tech Hacking”. Por incrível que pareça, atualmente boa parte dos grandes casos de invasão, principalmente nos casos que envolvem redes sociais, o sucesso da invasão ou vazamento foi resultado de um ataque Non-tech Hacking, já que os sistemas estão cada vez mais seguros. Isso não quer dizer que ainda não existem falhas, existem sim e muitas, mas desde aquela época o "elo mais fraco da corrente” é o usuário e cada vez mais os usuários tem mais informações e controle sobre informações.

O livro é narrado pelo próprio Mitnick, e funciona como um diário dele na época que invadia as empresas até ser pego. A leitura é simples, nada de termos técnicos, ótima leitura para interessados no próprio Mitnick, segurança em geral (inclusive física :) ), engenharia social, e etc. O livro não é muito grande nem muito pequeno (432 páginas) e é uma leitura rápida.

Provavelmente você já ouviu falar dos outros livros dele, Art of Intrusion e Art of Deception, na minha opinião, este é o melhor livro dele até o momento.

Você pode encontrar o livro em qualquer grande livraria no Brasil, mas se você consegue ler em inglês recomendo a Amazon por possuir valores mais em conta, com as versões impressa, digital e audio livro, e caso não saiba, livros não tem imposto caso seja comprado fora do país.
Acontece nos dias 25 e 26 de novembro a 2ª edição do IT Forum Expo / Black Hat, principal feira da América Latina para a área de TI e Segurança da Informação. Conectando os principais profissionais do setor do Brasil e do mundo, o encontro abordará as tendências, soluções e desafios sobre o universo de TI e Segurança da Informação como o Cloud Computing, Big Data, Mobilidade, Social Business, entre outros.



O Black Hat – já consagrado como um evento líder mundial na área de segurança da informação – traz para a versão summit aqui no Brasil, junto à IT Forum Expo Conference, as informações mais recentes da 17ª edição do Black Hat USA 2014, realizado em agosto deste ano em Las Vegas.

Para o IT Forum Expo / Black Hat, um dos destaques é a palestra do renomado programador, blogueiro e ativista americano Ethan Zucherman, que é diretor do Center for Civic Media do MIT, professor do Media Lab na mesma instituição e co-fundador da comunidade Global Voices. Zucherman também é autor do livro “Rewire: Digital Cosmopolitans in the Age of Connection”, que servirá como pano de fundo para sua apresentação durante a feira.

Outro keynote speaker do evento, reconhecido internacionalmente como um dos mais importantes teóricos sobre a relação entre as tecnologias digitais e a sociedade, é Derrick de Kerckhove – sociólogo e professor da Universidade de Toronto, que irá abordar o tema Condição Digital nas Três Fontes da Economia: Mercados Inteligentes. Kerckhove foi diretor do Programa McLuhan em Cultura e Tecnologia até 2008 e escreveu “Skin of Culture and Connected Intelligence”, um dos principais livros sobre o tema.

Organizado pela UBM Brazil em parceira com a IT Midia, o IT Forum Expo / Black Hat une as soluções de TI e segurança da informação proporcionando um ambiente de geração de grandes negócios, relacionamento e aquisição de conhecimento entre CIOs, gestores de TI, CSOs e decision makers de empresas de grande e médio porte. Entre as empresas que apresentarão inovações em produtos e serviços estão Samsung, Cisco, Qualys, Locaweb, Blackberry, Watchguard, entre outras.

O credenciamento online para visitar a área de exposição já está no ar e a feira é gratuita para os profissionais do setor. Para se credenciar e consultar mais informações do evento como a grade completa e valores dos programas de conferências acesse www.itforumexpo.com.br.

Sobre a IT Mídia
A IT Mídia é uma empresa líder em mídias de negócios, pioneira no fornecimento de soluções integradas de comunicação, constituída por publicações impressas e digitais, portais na internet, fóruns e estudos. Desenvolve comunidades de negócios por meio de informações, conhecimentos e da integração de profissionais e empresas dos setores da Tecnologia da Informação e da Saúde.

Sobre a UBM Brazil
No Brasil desde 1994, sendo a primeira multinacional a entrar no mercado brasileiro de feiras, a UBM Brazil é uma das 50 subsidiárias da UBM Internacional, empresa líder global em mídia de negócios com sede em Londres. Com escritório em São Paulo, a UBM Brazil realiza atualmente 13 feiras no Brasil. Além da pareceria com a IT Mídia, conta com o apoio da UBM Tech para realizar o IT Fórum Expo / Black Hat, divisão internacional da UBM, que entrega para uma audiência de mais de 15 milhões de profissionais de comunicação e tecnologia, conteúdo de qualidade, análises e informações exclusivas. Esse conteúdo é transmitido por portais como o TechWeb.com, Information Week, CRN, EE Times, Insurence &Technology e nos eventos Black Hat, Interop e Cloud Connect.

Sobre o Black Hat
Criado em 1997, o Black Hat é o evento líder mundial de segurança da informação de alto perfil profissional e treinamentos específicos que são pensados de acordo com as necessidades da comunidade de segurança e que reuni as melhores mentes da indústria. Os eventos globais Black Hat inspiram profissionais em todos os níveis da carreira, estimulando o crescimento e a colaboração entre pesquisadores acadêmicos mundiais e líderes dos setores público e privado. Hoje, as conferências do Black Hat Briefings e os treinamentos acontecem anualmente nos Estados Unidos, Europa, Ásia e no Brasil, proporcionando um intercâmbio informativo de excelência para pesquisadores de segurança de elite e a oportunidade de encontrarem seu público. Mais informações: http://www.blackhat.com.

Serviço:
IT FORUM EXPO / BLACK HAT
Data: 25 e 26 de novembro de 2014
Horário da área de exposição: 10h às 19h

Local: Transamerica Expo Center – Av. Dr. Mário Vilas Boas Rodrigues, 387 – São Paulo – SP
Site Oficial: www.itforumexpo.com.br
Mais informações: info@itforumexpo.com.br

Fonte: Seginfo

quinta-feira, 18 de setembro de 2014

As principais atrações da conferência hacker Black Hat é a demonstração de vulnerabilidades, o que leva a nos perguntar sobre segurança, seja ela em computadores, carros ou até no banheiro. Outra coisa interessante na Black Hat é os gurus da segurança, que são frequentemente definidos como hackers. Ao contrário dos cyber criminosos, hackers não necessariamente buscam por segredos ou dinheiro de alguém, o que leva a questão, o que eles são? A empresa de segurança Thycotic, fez uma pesquisa com mais de 100 visitantes da conferência que se denominam hackers O objetivo da pesquisa é descobrir quais são as motivações dos hackers.

Surpreendentemente, 86% dos hackers responderam que tem certeza que não serão punidos por suas ações e não terão consequências. Impunidade é um dos fatos primários das ações dos cyber criminosos.

Outra descoberta interessante é os alvos dos ataques. 40% dos entrevistados afirmaram escolher empresas terceiras como alvos primários. Normalmente as empresas prestadoras de serviços tem acesso a redes de outras empresas, mas não tem necessariamente as mesmas políticas de segurança.

A maioria dos hackers são realistas e estão cientes de que possuir certas capacidades nem sempre significa que estão seguros. Até mesmo os hackers consideram seus dados vulneráveis a ataques, 88% deles julga que suas informações podem ser roubadas por outros hackers.

Curiosamente, a lista da Thycotic não conta com empresas/setores de RH e RP que contém muitas informações sensíveis. Pouco mais da metade dos entrevistados (51%) hackeiam tudo que virem na frente, apenas por diversão ou desafio, e destes, 18% visam lucro material. 30% dos hackers seguem princípios éticos, o que é uma coisa boa.

E ai pessoal!

Acho que não é necessário falar sobre as normas de condutas básicas, então vamos direto ao ponto.

Este grupo é basicamente para manter uma proximidade entre a equipe Brutal Security e os leitores, e trocar conhecimento. A princípio qualquer coisa pode ser publicada, use o bom senso.

Além da interatividade normal do grupo vamos utilizar o grupo para algumas funções específicas:

- Desafios
- Discussão sobre diversos temas e notícias
- Sugestões
- Submissão de artigos e textos para o blog
- E muito mais!

O grupo é fechado para um controle melhor, mas pode pedir para participar que será aceito!

Sejam bem-vindos ao grupo, sintam-se a vontade para publicar o que acharem interessante e tem cerveja na geladeira :)

Link do grupo!

quarta-feira, 17 de setembro de 2014

E ai galera!

Para o pessoal que está estudando para tirar a CEH ou só por curiosidade, encontrei um site muito interessante que tem diversas questões para testar o conhecimento.

O site contém outras certificações além da CEH, e parece estar em constante atualização, agregando novas questões e certificações.

Fica ai a indicação do Skillset.

sexta-feira, 12 de setembro de 2014

E ai pessoal!

Já faz alguns dias mas só hoje olhei o vídeo do Diego Aranha no The Noite do Danilo Gentili e aproveitando deixo aqui a indicação. Para você que não sabe, o Prof. Diego Aranha é professor de segurança da informação e criptografia na Unicamp. O assunto do vídeo como você já deve ter visto no título do post é sobre a insegurança da urna eletrônica brasileira. Ele teve a oportunidade de testar a urna e em sua pesquisa descobriu algumas falhas.

Segue link do vídeo:



Para mais informações sobre a pesquisa ou as falhas da urna ouça também o podcast Segurança Legal #55, onde ele também participa.

quarta-feira, 10 de setembro de 2014

Uma lista com quase 5 milhões de combinações de endereços do Gmail e senhas vazou nesta terça-feira.

No entanto, segundo o Mashable, as senhas parecem ser velhas e podem não ser realmente de contas do Gmail. Em vez disso, parece que muitas das senhas foram retiradas de sites onde os usuários usaram seu Gmail para fazer registro, de acordo com algumas das vítimas e com especialistas em segurança.

Por exemplo, alguém pode ter se inscrito em um site com o nome de usuário "myaddress@gmail.com" e a senha "minha_senha." A lista exposta nesta semana faz com que pareça que "minha_senha" é a senha para a conta do Gmail em si, mas a senha do email do usuário pode ser totalmente diferente.

Segundo o Mashable, um funcionário do site, Evan Engel, viu que sua antiga senha do Gmail, que ele não usa há anos, faz parte do vazamento.

Mesmo que a lista seja simplesmente uma coleção de senhas antigas pertencentes a sites menores, o problema é sempre o mesmo: a reutilização de senha. Para quem tem o hábito de reutilizar senhas, é possível verificar um site que informa se seu endereço do Gmail está na lista.

Fonte: Baguete

terça-feira, 9 de setembro de 2014

Os hackers por trás da botnet Kelihos lançaram uma campanha de emails falsos com alertas de segurança da Apple para explorar o medo dos usuários sobre os riscos de segurança nas contas online da empresa. O ataque de phishing foi identificado por especialistas da Symantec.

A botnet começou a disparar os emails, que se fazem passar por mensagens da Apple informando os usuários que uma compra foi feita com o uso da sua  Apple ID na loja iTunes. O email falso tem o título de "Pending Authorisation Notification" (Notificação de Autorização Pendente) e alegam que a compra foi feita usando um computador ou um dispositivo que não estava previamente associado à Apple ID do usuário.

A mensagem falsa pede ao usuário que clique num link se ele por acaso não fez a compra. O link leva a um site de phishing que está disfarçado de página de log-in da Apple ID e que acaba capturando as credenciais Apple dos mais desavisados ou ingênuos.

Segundo um post da Symantec, os emails estão sendo disparados de um endereço IP (Internet Protocol) que corresponde a uma localização física na cidade de Volgograd, na Rússia. O uso de alertas falsos de segurança como isca para phishing não é uma técnica nova, mas esse ataque em particular apareceu logo após o vazamento das fotos íntimas de celebridades que teriam sido roubadas de suas contas iCloud por hackers que conseguiram quebrar a senha e as perguntas de verificação de 101 celebridades.

A crise gerou uma resposta da Apple que anunciou ampliação das suas medidas de segurança e a implantação de sistemas de alertas para usuários via push ou email no caso de acontecerem mudanças nas suas contas iCloud.

"É possível que o timing da campanha de phishing não seja uma coincidência e que os controladores da botnet estejam tentando aproveitar ao máximo o barulho". diz a Symantec.

Fonte: PC WORLD

sexta-feira, 5 de setembro de 2014

Google

Um cidadão chinês processou um operador de telecomunicações devido ao bloqueio do motor de buscas americano Google, informaram nesta sexta-feira as autoridades, em um caso que evidencia o controle que Pequim exerce sobre a internet.

Wang Long, de 25 anos, que se descreve como "funcionário jurista", entrou com um processo contra o grupo público China Unicom ante um tribunal de Shenzhen (sul), que examinou o caso na quinta-feira, segundo um documento publicado on-line pelo departamento de assuntos jurídicos da cidade.

"O Google é acessível normalmente?", perguntou o juiz ao advogado da China Unicom, relatou Wang em um testemunho publicado em sua conta de microblogs.

Vacilante e incomodado, o advogado respondeu que "não estava certo de poder responder", o que gerou as risadas do público, antes que o juiz pedisse que fosse anotado que os sites do Google não eram acessíveis, relata Wang Long.

Um sofisticado sistema de censura, chamado de "Grande Muralha informática", bloqueia na China qualquer acesso a sites considerados sensíveis e às redes sociais Facebook e Twitter ou à plataforma de vídeos YouTube. Mas o Google desviava relativamente desta censura até agora.

O Google se retirou parcialmente da China popular em 2010 e levou seus servidores a Hong Kong, ao se recusar a aceitar as severas normas da censura chinesa.

Responsáveis do tribunal de Shenzhen, contactados pela AFP, não puderam comentar o caso. É aguardada uma sentença antes de outubro, segundo o jornal oficial Global Times.

Fonte: INFO

quinta-feira, 4 de setembro de 2014

E ai leitores do blog!

Estou pensando em criar um grupo no Facebook para os leitores do blog poderem interagir de forma mais próxima comigo e com os outros leitores.

O objetivo do grupo não seria apenas para jogar papo para o ar, e sim, usar ele a nosso favor. Discutir notícias e artigos do site, outros assuntos ligados a tecnologia em geral, resolver dúvidas e o melhor, propor desafios e atividades para movimentar e motivar todo mundo interessado a estudar.

Tive uma idéia de desenvolver uma série de atividades e desafios sobre diversos temas. Outra coisa que gostaria é de saber o que vocês querem saber, sobre que assuntos querem ver mais posts e sugestões para esse possível grupo.

Postem suas sugestões nesse post ou no post do Facebook relacionado.

Conto com a colaboração de todo mundo! :D

quarta-feira, 3 de setembro de 2014

Desde que Edward Snowden revelou o programa de espionagem da agência NSA, grandes empresas de tecnologia precisaram se explicar sobre as denúncias de que estavam sendo permissivas com o acesso aos dados dos clientes. E a Microsoft foi uma das mais criticadas por supostamente permitir o acesso aos seus serviços como o Skype e o OneDrive. 

Pensando numa forma de burlar essa espionagem, um grupo de hackers do fórum 4chan desenvolveu o Tox, um serviço de mensagem instantânea e ligações VoIP com foco em segurança e privacidade.


Para garantir a privacidade dos usuários o Tox adiciona uma camada de criptografia no serviço de mensagem instantânea e fará a conexão direta entre os usuários, similar ao que ocorre com protocolos P2P (de clientes torrent).

Essa conexão P2P elimina a necessidade de hospedar o Tox em servidores, ou seja, não há armazenamento de dados que possam ser acessados posteriormente por programas de espionagem.

No entanto, o Tox ainda está em fase inicial e precisa ser melhorado. Segundo a revista Wired, alguns bugs acabam travando o programa e ferramentas como bate-papo em grupo ainda precisam ser incluídas.

Além disso, ainda não há um cliente Tox oficial, mas por ser um projeto de código aberto já há algumas aplicações disponíveis como o uTox, que pode ser baixado para testes em sistemas Windows por um breve período — porém, os próprios desenvolvedores alertam para a instabilidade do serviço.

Os desenvolvedores responsáveis afirmam que uma empresa de segurança ainda será contratada para testar a criptografia e certificar que o programa é de fato seguro. A equipe responsável pelo Tox planeja também lançar aplicativos para as plataformas Windows, iOS, Linux, OS X e Android em breve.

O Tox é mais um projeto de mensageiro instantâneo que pretende ser utilizado como uma sólida ferramenta de privacidade. Outros projetos como Cryptocat, Invisible.im e BitTorrent Bleep já são utilizados e têm recebido boas críticas dos usuários.

Fonte: Info

terça-feira, 2 de setembro de 2014



Network Attached Storage (NAS), Smart TVs, roteadores, equipamentos Blue-ray, entre outros estão vulneráveis a ciberataques, alerta a Kaspersky Lab.

Pesquisa experimental realizada pelo analista de segurança, David Jacoby, em sua própria casa, encontrou uma série de problemas de segurança em dois modelos de NAS de diferentes marcas, uma Smart TV, um recebedor de satélite e uma impressora conectada.

Em linha com sua política de divulgação responsável, a Kaspersky Lab não divulga os nomes dos fornecedores cujos produtos foram objeto da investigação até que um patch de segurança que acabe com as vulnerabilidades seja liberado. Mas ressalta que todos os fornecedores foram informados sobre a existência das vulnerabilidades.

As vulnerabilidades mais graves foram encontradas nos Network Attached Storage. Várias delas (foram 14 no total) permitem que um invasor execute comandos remotamente, com os mais altos privilégios administrativos.

Os dispositivos testados também tinham senhas padrão fracas, lotes de arquivos de configuração com permissões erradas e continham senhas em texto simples. Em particular, a senha do administrador padrão para um dos dispositivo continha apenas um dígito. Outro dispositivo dividiu o arquivo de configuração inteiro com senhas criptografadas para todos na rede.

Usando uma das vulnerabilidades, o pesquisador da Kaspersky Lab foi capaz de fazer o upload de um arquivo em uma área de memória inacessível para o usuário comum. Se esse arquivo fosse um malware, o dispositivo comprometido poderia se tornar uma fonte de infecção para outros dispositivos conectados nestes NAS - um PC em casa, por exemplo - e até mesmo servir como um Bot DDoS em uma botnet.

Além disso, como essa vulnerabilidade permitiu que o arquivo fosse carregado em uma parte especial do sistema de arquivos do dispositivo, a única maneira de eliminá-lo era usando a mesma vulnerabilidade. Obviamente, esta não é uma tarefa trivial, mesmo para um técnico, muito menos para os proprietários de equipamentos entretenimento doméstico semelhantes.

Man in the middle via Smart TV
Ao investigar o nível de segurança de sua própria Smart TV, o pesquisador da Kaspersky Lab descobriu que nenhuma criptografia havia sido usada na comunicação entre a TV e o servidor do fornecedor da TV. O que pode abrir o caminho para ataques. Seria possível, por exemplo, levar o usuário a transferir dinheiro para o fraudador ao tentar comprar conteúdo via TB.

Como prova de conceito, o pesquisador foi capaz de substituir um ícone da interface gráfica da Smart TV com uma imagem. Normalmente os widgets e miniaturas são baixados dos servidores do fornecedor da TV e devido à falta de conexão criptografada a informação poderia ser modificada por um terceiro.

O pesquisador também descobriu que a Smart TV é capaz de executar o código Java que, em combinação com a capacidade de interceptar a troca de tráfego entre a TV e a Internet, pode resultar em ataques maliciosos que partem de exploração.

Funções de espionagem escondidas no roteador
O roteador DSL usado para fornecer acesso à Internet sem fio para todos os outros dispositivos domésticos continha várias funções perigosas escondidas de seu dono. Segundo o pesquisador, alguma dessas funções escondidas poderia dar ao ISP (provedor de Internet) acesso remoto a qualquer dispositivo em uma rede privada.

O mais importante é que, de acordo com os resultados da pesquisa, seções da interface do roteador web chamado "Webcam", "Configuração especializada em Telefonia", "Controle de Acesso", "WAN-Sensing" e "Update" são "invisíveis" e não ajustáveis para o dono do dispositivo. Só podem ser acessadas ​​através da exploração de uma vulnerabilidade bastante genérica, que torna possível alterar entre as seções da interface (que são basicamente páginas da web, cada uma com seu endereço alfanumérico) por força bruta.

Originalmente estas funções foram implementadas para a conveniência do proprietário do dispositivo: a função de acesso remoto torna mais fácil e rápido para o provedor de internet resolver possíveis problemas técnicos no aparelho, mas a conveniência poderia se transformar em um risco se os controles caírem em mãos erradas.

"Indivíduos e empresas precisam entender os riscos de segurança em torno de dispositivos conectados. Nós também precisamos ter em mente que nossa informação não é segura apenas porque temos uma senha forte, e que há um monte de coisas que não podemos controlar. Levei menos de 20 minutos para localizar e verificar vulnerabilidades extremamente graves em um dispositivo que parece seguro e até mesmo tem referências à segurança em seu nome.", afirma David Jacoby.
"Como é que uma pesquisa semelhante acabaria se fosse realizada em uma escala muito mais ampla do que apenas a minha sala de estar", questiona.

Na opinião do pesquisador, esta é apenas uma das muitas questões que precisam ser abordadas por fornecedores de dispositivos, pela comunidade de segurança e por usuários de tais aparelhos, de forma colaborativa. Outra questão importante é o ciclo de vida dos dispositivos. "Como me foi informado em conversas com fornecedores, algumas dessas empresas não desenvolverão uma correção de segurança para os dispositivos vulneráveis que já estão ultrapassados. Geralmente, para essas empresas, o ciclo de vida desses aparelhos é de um ou dois anos, enquanto na vida real esse período é muito maior. Independentemente da forma como você olha para ela, não é uma política muito justa", alerta Jacoby.

Como permanecer seguro em um mundo de dispositivos conectados
  • 1 - Torne a vida do hacker mais difícil: todos os seus dispositivos devem estar atualizados com todos os últimos updates de segurança e firmware. Isso minimizará o risco de explorar vulnerabilidades conhecidas.
  • 2 - Certifique-se de que o nome de usuário e a senha padrão esteja alterada - esta é a primeira coisa que um criminoso tentará mudar ao tentar comprometer o seu dispositivo.
  • 3 - A maioria dos roteadores e switches em casa tem a opção de configurar sua própria rede para cada dispositivo e também a possibilidade de restringir o acesso ao aparelho - com a ajuda de vários DMZs diferentes (um segmento de rede separado para sistemas com um maior risco de comprometimento)/ VLANs (um mecanismo para alcançar a separação lógica entre as diferentes redes lógicas na mesma rede física). Por exemplo, se você tem uma TV, você pode querer restringir o acesso a esta TV e só permitir um recurso específico dentro de sua rede. Não há muita razão para a sua impressora estar conectada ao seu televisor.

O texto completo do estudo "Internet das coisas: Como eu hackeei Minha Casa' está disponível em Securelist.com.
Referência: IDG NOW

segunda-feira, 1 de setembro de 2014

E ai galera!

Provavelmente você deve ter visto as notícias e talvez as fotos das 100 celebridades (só vi vazar mesmo umas 10) que tiveram suas contas hackeadas e fotos intimas publicadas na net. Mas você sabe o quê e como isso aconteceu?

Bom, vamos separar o post em duas partes, a primeira sendo a obtenção do email, sendo ele erro humano ou vazamento de emails, e a segunda parte sendo uma prova de conceito e uma suposta falha da Apple.

Vamos então para a primeira parte, de onde saiu esses emails? Boa parte você vai ver que é similar ao post sobre Spam que escrevi a alguns dias.

Bom, celebridades no fim das contas são pessoas normais, e em muitas vezes para não dizer em todas, tem um conhecimento mínimo de tecnologia e consequentemente de segurança também, então são alvos suscetíveis aos ataques mais simples e erros comuns que os usuários mais básicos acabam cometendo. Vamos a elas:


Links recebidos de "amigos"

Sim, celebridades também tem amigos próximos e usam a tecnologia para se comunicar. Celebridades podem e são atacadas por spear phishing. Hoje em dia é comum spammers se passarem por amigos conhecidos em email e redes sociais para convencer as vítimas a baixar malwares ou fornecer informações pessoais, tanto por computadores quanto por smartphones. Pesquisas até indicam que em dispositivos móveis tem 3 vezes mais chances de um link ser clicado.


Usam sempre a mesma senha

Como comentei acima, celebridades são pessoas normais, e pessoas normais gostam de usar uma única senha para conseguir lembrar. Isso facilita muito a vida de atacantes. Toda hora estamos vendo notícias de vazamentos de dados. Se você usa uma única senha para tudo e seus dados de um serviço forem vazados, a primeira coisa que os criminosos fazem é testar o conjunto de credenciais em outros sites e serviços.


Usam redes WiFi públicas

Muitas pessoas usam redes públicas como shoppings, universidades, lojas e etc, mas poucos se preocupam de que se estão acessando livremente, outras pessoas também podem estar. Acredito que todos os leitores do blog sabem, mas seus amigos e conhecidos talvez não. A transmissão entre o AP e sua máquina é através ondas de rádio que são enviadas para todos os lugares, qualquer pessoa pode interceptar essas ondas e ver o que está sendo trafegado.


Usam smartphones ou aplicativos com vulnerabilidades já conhecidas

Esta é nova e está cada vez mais comum. Smartphones estão fazendo cada vez mais funções, o que leva em alguns casos a vulnerabilidades. Essas vulnerabilidades podem ser exploradas do mesmo modo que vulnerabilidades em servidores são exploradas, e assim podendo obter algum tipo de informação do aparelho.




Agora vamos a parte da Apple no problema.

Basicamente o que foi feito foi o seguinte: De posse de emails das vítimas, os "hackers" usaram um software de bruteforce para tentar todas as possibilidades de senhas, até encontrar combinações válidas.

O script desenvolvido por eles apenas conecta nos servidores da Apple e tenta uma combinação de email e senha e retorna se a resposta do servidor foi positiva ou negativa. Se negativa tenta com a próxima possiblidade da lista até encontrar ou acabar a lista.

Tá, mas e onde a Apple leva culpa nisso? Vamos lá, sistemas inteligentes (e seguros) normalmente bloqueiam o usuário após algumas tentativas sem sucesso de conexão. O que já mataria aí tudo ou boa parte dessa exposição. O que anda rolando nas interwebs é que uma API bugada permitia esse tipo de diversas conexões sem bloquear após muitas tentativas. Ainda não se sabe se é só isso ou se tem alguma falha maior, mas o que rola é que uma URL do Find My Phone que permite isso. O pessoal do hackapp criou um script em python que promete realizar esses testes, provavelmente do mesmo modo que foi usado para o vazamento.

Agora, o que podemos fazer para nos proteger? Simples, mantenha uma senha única e forte. E por segurança desabilite o envio de fotos automático para o iCloud por um tempo. :)
50 empresas de petróleo e energia norueguesas foram hackeadas, e mais 250 foram notificadas para verificaram se não tem alguma falha de segurança, de acordo com relatórios locais.

Entre os alvos está a Statoil, a maior empresa de petróleo da Noruega. A identidade das empresas que foram hackeadas não foi revelada.

Um porta-voz da Statoil confirmou que eles foram avisados ​​sobre um possível ataque hacker pela Autoridade Nacional de Segurança, a agência de segurança norueguesa que, entre outras coisas, é responsável de lidar com questões de segurança relacionadas tecnologias de informação e comunicação, bem como a execução do CERT nacional (NorCERT).

A Autoridade Nacional de Segurança foi alertada sobre os ataques de "contatos internacionais", e, aparentemente, tem uma idéia que pode estar por trás dos ataques, mas eles estão optando por não compartilhar suas suspeitas publicamente neste momento.

Embora ainda seja desconhecido o que os atacantes estavam procurando, é bem provável que eles foram atrás de dados de propriedade intelectual, de negócios e clientes.

Esta não é a primeira vez que as companhias de petróleo da Noruega foram atingidos por ataques cibernéticos. No final de 2011, pelo menos dez empresas de petróleo, gás e defesa baseada na Noruega foram hackeados via e-mails spearphishing e os atacantes fugiram com desenhos industriais, contratos, nomes de usuário, senhas, e assim por diante.

Fonte: net-security

Divulgação

Mikko
O finlandês Mikko Hyppönen é, provavelmente, um dos nomes mais influentes na indústria de segurança atualmente. Diretor-executivo de pesquisas da F-Secure, ele ocupa o cargo há 20 anos e já esteve envolvido em operações que ajudaram a combater a expansão de malware como o Sobig.F (que teve seu auge em 2003), o Sasser (worm famoso em 2004) e o mais recente Stuxnet(o vírus responsável por atacar sistemas industriais descoberto em 2010).
O executivo, que também já auxiliou equipes de polícia nos EUA, na Europa e na Ásia, esteve no Brasil nesta última semana para palestrar na SecureBrasil. O evento aconteceu em São Paulo nos últimos dias 26 e 27 de agosto, e a apresentação de Hyppönen focou nos riscos de fraudes nas eleições que acontecem em outubro aqui no Brasil. 
Mas antes de dar a palestra, ele conversou sobre o tema com INFO. Na entrevista, o especialista finlandês afirmou que o sistema eleitoral utilizado por aqui não é perfeito, mas é “surpreendentemente bom”. Além disso, ressaltou que o verdadeiro risco de ataque não atingirá diretamente as eleições, mas sim os candidatos envolvidos na votação, cujos sites e páginas oficiais estão suscetíveis a ataques e golpes. Leia mais a seguir.
O sistema que usamos nas eleições aqui no Brasil está suscetível a ataques ou fraudes?
Eu analisei essa parte e, para falar a verdade, ela é até bem desenhada. Nada é 100% seguro, mas observando os sistemas eleitorais usados em outros países, o de vocês está longe de ser ruim – pelo contrário, é surpreendentemente bom. É bem planejado desde o princípio. Só acho que poderia ser melhor se fosse de código aberto – não vejo motivos para ele não ser open source. Se há algo que realmente deveria ser de código aberto, esse algo seria o sistema que usamos para organizar uma eleição em sociedades democráticas. 
Mas enfim, no sistema de vocês, gosto do fato de que todos têm comprovantes físicos para mostrar que votaram – é algo que falta nas máquinas de votação dos EUA. Também gosto do fato de vocês não votarem online, algo que a Estônia tem feito desde 2005, por exemplo. Há diversos problemas nisso, sendo alguns técnicos, mas imagino que o mais óbvio envolva pessoas forçando outras a votar – um marido abusivo pode obrigar a esposa a votar no candidato dele, tendo certeza de que ela realmente o fará e sem haver uma forma de prevenir que isso aconteça. O sistema de votação estoniano foi elogiado como um ótimo exemplo, mas ele foi estudo pela primeira vez só agora por um grupo internacional de pesquisadores, que descobriram diversos problemas técnicos.
Há um caso relativamente famoso no Rio de Janeiro de um jovem cracker que diz ter modificado os resultados das eleições municipais em 2012. Como ele pode ter feito isso, visto que o sistema é relativamente seguro?
Eu tentei descobrir, mas faltam alguns detalhes cruciais na história. Pode ser, no fim, besteira, mas ele afirmou que, para o hack funcionar, precisou ter acesso à rede central de votos. Esta é a rede aonde levam os cartões de memória das urnas eletrônicas, e se alguém ganha acesso à esse sistema, basicamente tudo está perdido. Não importa mais se todas as outras peças do quebra-cabeça estiverem posicionadas – o invasor poderá mudar o resultado da votação. Mas como o jovem teve acesso a essa central, visto que ela não deveria estar conectada a nenhuma rede externa? Isso eu já não sei.
Onde, então, estão os maiores riscos que podem ameaçar os rumos das eleições no Brasil?
Em um momento em que a internet está tão integrada a tudo o que fazemos, é claro que ela exercerá um papel importante nas eleições. Por isso, não são só os sistemas que usamos nas votações que podem ser afetados – há muitas outras formas de atingir os rumos de uma eleição. Já vimos em diversos eventos do tipo, em vários lugares pelo mundo, que os apoiadores de um determinado candidato tentarão usar a web para tal. Não é necessariamente “hackear as eleições”: o que vemos normalmente são táticas para manchar a reputação dos oponentes ao invadir os sites e as contas nas redes sociais deles ou espalhando afirmações falsas, por exemplo. É algo que claramente veio para ficar, e não é mais uma ameaça teórica. Para as eleições presidenciais que estão por vir aqui no Brasil, é garantido que alguém vai tentar invadir as contas de Facebook e Twitter de cada candidato. 
E se os invasores conseguirem adivinhar ou vazar as senhas, eles definitivamente vão usar tudo para seus propósitos e interesses. As contas até podem ser recuperadas, mas até aí, muito estrago pode ser feito. Os candidatos precisam estar cientes dos riscos e tomar as medidas para saber exatamente quem, dentro de seus comitês, tem as credenciais para usar as páginas nas mídias sociais. Quando pessoas nessas equipes saírem e forem para outro lugar, as combinações precisarão ser modificadas, sendo sempre longas e fortes e nunca reutilizadas.
Como agem esses invasores de páginas e contas?
Temos diversos casos em eleições em que as páginas de candidatos foram descaracterizadas. Tipos diferentes de danos, sendo os mais graves aqueles provocados por mudanças súbitas ou sutis. Você apaga a página inicial ou coloca algo estranho ali, que provoque um efeito imediato. Mas há um caso que ocorreu nas eleições do Vietnã, dois anos atrás, no qual a página de um dos candidatos foi invadida e as mudanças foram muito pequenas. 
A página errada ficou no ar por dias, até que finalmente perceberam que a mensagem passada estava ligeiramente errada. É o dano mais eficiente que alguém pode causar. Ou seja, nem é preciso estar nas redes sociais – qualquer mecanismo de comunicação pode funcionar. Fora isso, hoje as redes sociais ainda estão tão atreladas aos nossos celulares que algumas dessas brechas podem ser feitas por hacks nos telefones mesmo. Por exemplo, você pode enviar tweets por SMS, o que basicamente significa que, ao descobrir o número de telefone que a equipe de um candidato associou à conta do Twitter, um invasor pode muito bem tentar falsificar mensagens de texto e postar na rede de microblogs. Há muito que se pensar quando o assunto é proteger contas assim.
Há alguma forma específica de evitar que coisas assim aconteçam? Ou estamos falando de medidas típicas mesmo, como o que você já mencionou de usar senhas fortes, não repeti-las, entre outros pontos?
Não, não há nada em especial. A diferença aqui é que não estamos falando de uma ameaça teórica. Em um caso como as eleições, é certeza que tentativas de golpe aparecerão, especialmente nos dois meses que precedem o evento. Durante este período, sites e páginas certamente serão atacados. Veremos diferentes tentativas de obter acesso a um website ou a contas de redes sociais, e é por isso que é crucial proteger tudo, embora essa segurança não envolva nada de diferente. Como expliquei, além do já citado, é bom saber com quem as contas estão, já que todos que têm acesso a elas estão suscetíveis a phishing. É muito provável que membros da equipe de um candidato recebam e-mails falsos do Facebook, dizendo que há um problema com a conta e pedindo para que cliquem em um link. Ele levará a vítima a uma página que apenas parece real, mas que também pede pelos dados. São golpes que já não funcionam tão bem quando aplicados em massa, mas são eficazes quando têm alvos específicos como nestes casos. Para evitar ataques assim, alguns desses sites de mídias sociais fazem como bancos e têm suporte à autenticação em dois passos, que envia mensagens de texto para saber se é mesmo o dono quem está tentando acessar a conta. E isso é algo que todos deveriam habilitar, porque vai protegê-los e muito.
Mas os ataques nem precisam ser assim: se o Twitter, por exemplo, estiver com a autenticação em dois passos ativada, os invasores provavelmente não conseguirão hackear. Mas eles podem tentar logar como se fossem o usuário, clicar no botão de “Esqueci a senha” e fazer com que o site mostre parte do endereço ao qual mandará as instruções para recuperar a combinação. Os invasores, então, descobrem que o e-mail usado é um Gmail ou Hotmail e podem tentar adivinhar o resto do endereço e quebrar a palavra-chave dele. Não é preciso invadir a parte difícil, e por isso os atacantes vão pela mais fácil. 
Como assim?
É algo que vimos várias vezes em outras situações, visto que, no geral, as pessoas não pensam muito na conta do webmail. Muitos têm múltiplas delas, e são coisas que o público não vê como tão importante. É usado apenas para conversar com amigos, registrar em sites, receber spam... Então, se alguém ganha acesso ao Hotmail ou ao Yahoo! Mail, não deve ser nenhum grande problema, certo? Infelizmente, isso não é verdade, porque o que o invasor quer é exatamente um webmail. As informações contidas ali podem ser transformadas em dinheiro facilmente: o que eles fazem é obter acesso ao e-mail (Gmail, por exemplo) e depois mexer no histórico, procurando por e-mails de boas-vindas de lojas online, como os da Amazon, por exemplo. Assim, eles vão saber que você tem uma conta ali. Eles então acessam essa loja, dão o golpe do “Esqueci minha senha” e voltam ao e-mail para reiniciá-la. O Gmail de certa forma se tornou uma central para ganhar acesso a todas as suas contas pela internet. Enfim, dessa forma, os atacantes podem começar a logar na loja online com os dados da vítima e, caso ela tenha deixado salvos os dados de pagamento, fazer compras e pedir para entregá-las nos endereços que eles quiserem.
Essa falta de preocupação com segurança não é algo relacionado apenas aos webmails aqui no Brasil. Há falhas de proteção espalhadas mesmo por sites grandes, que acabam por expor informações de clientes. Existe uma forma de fazer a população ter consciência dos riscos e dar mais prioridade à segurança nas redes?
Na verdade, isso é algo que deveria responsabilidade de todo mundo. Muitos países fazem esse tipo de conscientização em campanhas, como os Data Protection Days, que muitos dos europeus organizam há anos [esses eventos também são organizados nos EUA e no Canadá no mês de janeiro de cada ano, e são chamados por lá de Data Privacy Days]. Há também artigos nos maiores jornais, panfletos distribuídos pelas casas, ensinando a proteger contas e a fazer o backup do computador, por exemplo. E é claro, escolas ensinam estudantes desde cedo. Mas é algo para ser feito ao longo prazo – conscientizar de verdade é algo que exige um alto nível. E problemas como os citados não deveriam existir. Se os administradores não corrigem nem as falhas que sabem que existem, então eles estão apenas sendo preguiçosos e irresponsáveis com os dados de outras pessoas. Não é um pecado ter um erro no sistema. O pecado é ser avisado e não tomar providências.
Fonte: INFO
Subscribe to RSS Feed Follow me on Twitter!