sábado, 29 de novembro de 2014

Durante o evento Vision São Paulo 2014, realizado pela Symantec, a apresentaçãoInteligência nas Estratégias de "Cyber Security" reforça que o novo cenário do cibercrime pede aplicações e soluções de segurança que envolvam todo o ambiente de TI.  E, mais do que isso, exige o envolvimento de todos na empresa, incluindo as linhas de negócios.
A tendência do BYOD (Bring Your Own Device), permite às empresas terem mais flexibilidade para desenvolver novas oportunidades de negócios, sem falar no aumento na produtividade. Mas exige que todos os envolvidos entendam as novas regras do jogo para manter a segurança da informação, já que dispositivos digitais pessoais passam a circular com informações corporativas. 
Relatório de Ameaças à Segurança na Internet 2014, elaborado pela Symantec, alerta que o número de campanhas avançadas e direcionadas à segurança de dados corporativos e pessoais praticamente dobrou desde 2013, tendo crescido 91%.
Ataques mais elaborados
Os cibercriminosos agora preferem gastar mais tempo elaborando ataques amplos que valem por dezenas de ataques menores.
O tamanho e escopo das violações cada vez mais comprometem as informações pessoais de consumidores – como números de cartões de crédito, prontuários médicos, senhas e contas bancárias. Segundo a pesquisa da Symantec, mais de 552 milhões de identidades foram expostas através de violações no ano passado.
“Uma violação enorme pode valer o equivalente a 50 ataques menores”, diz André Carraretto, especialista em segurança digital da Symantec. “Empresas de todos os tamanhos precisam reavaliar, repensar e possivelmente replanejar sua postura de segurança”, alerta o especialista.  E os usuários finais não devem ficar atrás. Confira, abaixo, as novas regras do jogo para corporações e consumidores
Para empresas
Conheça seus dados: A proteção deve se concentrar na informação e não no dispositivo ou Data Center. Entenda onde residem seus dados sensíveis e por onde trafegam para ajudar a identificar as melhores políticas e procedimentos para protegê-los.
Ensine os funcionários: Ofereça diretrizes sobre proteção de informações, inclusive com políticas e procedimentos da empresa para proteger dados sensíveis em aparelhos pessoais e corporativos.
Adote uma postura forte de segurança: Fortaleça sua infraestrutura de segurança com prevenção de perda de dados, segurança de rede, segurança de endpoint, criptografia, medidas fortes de autenticação e defesa, além de tecnologias com base em reputação.
Para Consumidores
Tenha um comportamento seguro: Escolha uma senha forte e mantenha seus aparelhos – inclusive smartphones e tablets – atualizados com o software de segurança mais recente.
Fique atento: Revise extratos bancários e faturas de cartão de crédito em busca de irregularidades, seja cauteloso ao lidar com e-mails não solicitados ou inesperados e desconfie de ofertas online que parecem boas demais para ser verdade.
Saiba com quem você trabalha: Familiarize-se com as políticas de varejistas e serviços online que podem solicitar suas informações bancárias ou pessoais. Como boa prática, visite o site oficial da empresa para compartilhar informações sensíveis.

Fonte: IDG NOW!

segunda-feira, 24 de novembro de 2014

Um grupo hacker alega ter obtido acesso a milhares de senhas e logins de usuários da PSNWindows Live e também de contas das redes 2K Games. Em um arquivo disponibilizado na Internet, o grupo “DerpTrolling” revela a lista com mais de cinco mil senhas e dados de segurança, comentando ainda que isso representa “apenas uma pequena porção” do que foi roubado.



Anteriormente, o grupo havia se declarado contrário a divulgar nomes e senhas de usuários, em ataque passado, mas a decisão mudou, para que eles “sejam levados a sério”. Em outra ocasião, o mesmo grupo foi responsável por derrubar os servidores de World of Warcraft, game de sucesso da Blizzard, que teve sua nova expansão lançada recentemente.

O grupo alega ainda que, ao divulgar essas informações, eles forçam as empresas a melhorarem sua segurança nos servidores, para prevenir novos ataques DdoS – de congestionamento de rede -, e também para melhorar a segurança de dados de seus consumidores, resultando em um melhor serviço aos clientes. O DerpTrolling também afirma que eles possuem muito mais dados do que foi divulgado.
“Temos 800 mil da 2K e 500 mil em dados de cartão de crédito. Em nossos ataques, conseguimos cerca de sete milhões de logins e senhas”, afirmam, na nota divulgada. “Muitas pessoas pensam que o DerpTrolling é um grupo de crianças, mas a verdade é que estivemos associados a muitos grupos conhecidos de hackers nos últimos tempos”, complementam os integrantes.
Por enquanto, nenhuma das empresas divulgou uma nota oficial sobre o possível roubo de informações. Porém, Sony, Microsoft e 2K Games já passaram por situações semelhantes no passado, e em todas as ocasiões eles recomendaram que seus consumidores trocassem suas senhas, por medida de prevenção.

sábado, 22 de novembro de 2014

E ai pessoal!

Quem me acompanha nas redes sociais percebeu que eu comprei um Pebble, e como muitos já vieram me pedir, vou fazer um review da minha experiência com ele. Isso foge um pouco o assunto do site, mas como eu já ia escrever e não tinha onde botar vai aqui mesmo :)

Bom, eu já ouço falar do Pebble a muito tempo, na verdade foi o primeiro smartwatch/smartband que eu vi, ainda na época que ele estava no Kickstarter. Por falar nisso, se não em engano ele foi o projeto com maior apoio da história do site, pedindo 100 mil dólares e conseguindo mais de 10 milhões de dólares.

Basicamente para os que não estão sabendo, o Pebble é um smartwatch inteiramente customizável, com tela E-Paper (similar aos Kindle), conexão Bluetooth 4.0 LE, a prova de água, com motor vibratório, e com uma loja própria de aplicativos e SDK para quem quiser desenvolver.

O Pebble hoje em dia é vendido em 2 versões, a normal ($99) e a Steel ($199), que como o nome já indica é de metal, e a versão normal é de plástico com pulseira de borracha/silicone ou algo assim. Eu peguei a versão mais básica porque achei que não seria interessante correr e praticar outros esportes com a Steel.

O que me motivou a escolher o Pebble foi a possibilidade de customização e a possibilidade de ter um wearable tudo em um (ou o mais próximo disso). Nesta compra eu fiquei entre a Fitbit Flex, Nike Fuelband SE, Moto 360, Apple Watch e o próprio Pebble, mas não entrarei muito nessa comparação.

Então vamos as minhas impressões nessa primeira semana de uso. Vou separar em algumas categorias para facilitar:

Primeira impressão

Minha primeira impressão foi o belo imposto que temos aqui no Brasil. Paguei US$ 120 nele e quase R$ 300 em imposto. Depois de passado o susto, abri o pacote e tive uma boa impressão desde a caixa até o primeiro uso. Eu gostei do cuidado que a Pebble tem com a embalagem. Sou fanboy da Apple e a caixa tenta seguir o mesmo padrão. Outra coisa que notei, mesmo tendo um Kindle, é a tela E-Paper que é bem diferente das telas HD que temos hoje e é meio estranho se acostumar, mas isso tem um ponto positivo, a bateria. Com essa tela a bateria dura em torno de 7 dias, o que é muito mais que as 24 horas que a maioria dura.



Outra coisa que se nota de cara é que o Pebble é bem feio perto de outros smartwatches como o Apple Watch e o Moto 360, mas nada que também não se acostume.

Em cerca de 2 horas eu já tinha ele configurado, operacional e com 100% de carga.


Uso diário

No uso normal dele notei uma leve utilidade, nada que vai fazer a diferença, mas facilita algumas coisas que vou explicar de forma detalhada mais a frente. Nas especificações do site tem que o Pebble é resistente a arranhões e a prova de água. Sobre resistente a arranhões não achei tanto assim e nunca pretendo executar o teste de água, só pra garantir...

Sobre a resistência a arranhões, no primeiro dia de uso já notei pequenos arranhões na tela, nada que interfira muito, mas a tela não é tão a prova de arranhões como eles dizem, e isso deve se levar em consideração já que o dispositivo fica sempre no pulso e exposto a todo o tipo de superfície.

Usando o Pebble dia e noite notei que eu perco menos tempo por dia usando meu smartphone e o mais importante, menos tempo usando o Facebook. Normalmente acesso o Facebook para dar uma olhada se tem alguma notificação ou algo importante para ver, por exemplo o grupo da Brutal Security, e acabo perdendo horas olhando as besteiras que passam por la. Com o Pebble eu não recebo nenhuma coisa inútil do Facebook, apenas as notificações, e quando é algo importante vou la ver e logo já fecho.

Como comentei anteriormente, os wearables ainda não fazem nada de mais e são dispensáveis para muitas pessoas. No meu caso, recebo notificações, monitoro atividades físicas, vejo a hora (a vá), previsão do tempo, controle de outros dispositivos e monitoro o sono. Nada muito revolucionário ou indispensável, mas é interessante monitorar e aproveitar para testar essa tecnologia nova que vem vindo por ai.

Acredito que o Pebble tenha muito potencial ainda por ser facilmente customizável. Funções e aplicativos podem ser desenvolvidos e/ou integrados em diversas linguagens, entre elas C, Javascript, PHP, Apple Script e muito mais. Se eu soubesse programar bem sem dúvida eu desenvolveria diversas funções que sinto falta.

Uma última coisa que notei foi o sistema de carregamento. Com carregamento por indução e imãs, similar aos MacBooks da Apple. Achei incrível isso, adoro os carregadores da Apple, mas achei este do Pebble meio solto, qualquer toque nele e o carregador desconecta, tenho de deixar ele em algum lugar que ninguém passe perto para garantir que quando eu pegar ele vai estar com a bateria carregada e conectado.



Funcionalidades testadas

Agora vamos ao que eu uso nele e algumas coisas que normalmente as pessoas ficam curiosas para saber o que se pode fazer:

Evernote: Sim! Até no smartwatch eu uso Evernote e é muito bom. Posso consultar e editar facilmente meus To Do's, verificar algumas notas importantes e etc. Editar basicamente seria marcar/desmarcar checkboxes.



Music Boss: O Music Boss é um app exclusivo para Android para controlar aplicativos de musica e podcast. Para usá-lo é necessário o app no Android e no Pebble. No app do smartphone se cadastra os players que pretende usar e no smartwatch alternar entre aplicativos, dar play/pause, passar musicas/podcast, aumentar/diminuir volume do dispositivo, e ver informações do que está tocando.



Morpheuz: Ainda testando e um pouco instável. O que esse app faz é monitorar o sono e acordar na melhor hora possível, isso quer dizer, de acordo com sua movimentação e nível de sono ele acorda minutos mais cedo ou mais tardes do que o previsto.



Notifications: Basicamente as notificações do aparelho sendo passadas para o Pebble. Dependendo da notificação posso tomar ações diferentes, como por exemplo ver o conteúdo de um email, responder uma mensagem do Facebook com um like, abrir a notificação no smartphone, se for ligações aceitar/recusar e ver quem está ligando e etc.

WalkRun: Basicamente um sisteminha simples de corrida que mostra tempo, velocidade e distância sem necessitar do smartphone por perto. Não compartilha e integra com nada, ainda testando.



YWeather: Basicamente um Watchface, uma skin pra tela inicial que mostra o dia do mês, dia da semana, hora, e previsão do tempo na minha localização atual. Na previsão do tempo se sacudir o braço ele troca a temperatura pela velocidade do vento, hora que o sol nasceu e hora que o sol vai se por.



Funcionalidades que pretendo testar


  • Integração com o RunKeeper
  • Outros apps de monitoramento de sono
  • Bloquear/desbloquear computador e dispositivos por proximidade
  • IFTTT
  • Automação de tarefas
  • Desenvolvimento de apps próprios
  • GPS/Navegação
  • Controle remoto
  • Controle de Apresentações (ppt)

Considerações finais

Bom, levando em consideração a tecnologia atual dos smartwatches/smartbands, acredito que o Pebble se sai muito bem. O único concorrente que tem chance de fazer a mesma coisa ou até mais que o Pebble nesse primeiro momento é o Apple Watch, que já tem uma plataforma sólida de desenvolvimento e vai receber sem dúvida os desenvolvedores do iOS. O único ponto negativo do Apple Watch contra o Pebble é o caso do toque na tela. Os apps do Pebble tiveram uma sacada muito legal de não usar toque na tela, diferente dos outros smartwatches, onde o dedo ocupa cerca de 50% da tela. Pode ser que você procure um smartwatch/smartband que faça apenas uma função específica, então talvez essas características acima não se apliquem a você.

Outra coisa que notei, a bateria é boa e provavelmente dure os 7 dias de uso normal. No meu caso não dura todo esse tempo porque eu não tenho um uso normal, normalmente acaba em 5 dias. Corro e pratico exercícios físicos frequentemente e monitoro o sono, principalmente usando aplicativos únicos do Pebble, que não necessitam de aplicativos companheiros no smartphone, e acredito que isso consuma um pouco mais do que o normal. Outra coisa que gasta muita bateria é o fato de ser novidade, então estou sempre mexendo e andando pelos menus. :)

Uma coisa que me perguntam muito, já que o Pebble tem de ficar 100% do tempo conectado ao aparelho por Bluetooth, a bateria do meu smartphone acaba mais rápido e tenho de recarregar diversas vezes ao dia? A resposta é não! Minha bateria dura basicamente o mesmo tempo. É notável o impacto e a diferença no nível da bateria, mas no fim do dia não faz muita diferença, já que a bateria dura o dia todo e ainda sobra um pouco.

E para finalizar, recomendo você comprar um Pebble ou outro wearable? Sim e não na verdade. Sim porque como ja comentei, algumas funções podem ser melhor aproveitadas ou completas de formas mais simples com um wearable. E não, porque para falar a verdade, esses dispositivos não fazem nada de mais. Nada que seu smartphone ou computador já não fazem a tempo. Se você não é um Geek ou uma pessoa antenada em tecnologia e gosta de estar sempre a frente e testar coisas novas você não precisa ainda de um wearable.

sexta-feira, 21 de novembro de 2014



São Paulo -- Sabe aquela webcam em seu computador, a câmera IP de vigilância em seu prédio e as babás eletrônicas que enviam imagens pela internet? Um sinistro site russo vem divulgando imagens captadas por milhares de câmerascomo essas instaladas em 250 de países.
As câmeras foram invadidas pelos hackers, que passaram a ter acesso às imagens, afirma, em seu blog, o Comissariado para a Informação do governo britânico. Quem entra no site pode ver cenas ao vivo de escritórios, ruas, academias de ginástica e até quartos de criança. 
Alguns usuários parecem ter notado que estavam sendo espionados. Uma jovem escocesa contou ao site Daily Record que viu sua webcam entrar em funcionamento enquanto via um filme no banheiro. 
“É apavorante pensar que pessoas estão me observando sem eu saber. Fico me perguntando quantas vezes fizeram isso”, disse ela.
Das câmeras listadas no site,  4.591 estão nos Estados Unidos, 2.059 na França e 1.576 na Holanda, além de milhares em outros países, informa uma reportagem da BBC. Algumas delas, embora sejam listadas, parecem não estar mais transmitindo imagens. 
Senhas fracas
O Comissariado para a Informação britânico diz que os hackers provavelmente usaram a senha padrão, que vem pré-configurada na câmera, para assumir o comando dela. Isso não teria acontecido se os donos trocado a senha por outra difícil de adivinhar. 
Segundo a BBC, as informações listadas pelos hackers indicam que a marca de câmeras mais invadida é a chinesa Foscam. Mas há também equipamentos da Panasonic e da Linksys na lista, entre outras marcas.
A BBC ouviu esses três fabricantes. Eles disseram que suas câmeras atuais emitem avisos recomendando que os usuários alterem a senha padrão. Mas esse cuidado não existe em modelos mais antigos que continuam em uso ao redor do mundo.

quinta-feira, 20 de novembro de 2014

A Kaspersky Lab realizará de 24 a 28 de novembro um treinamento em análise de malware e ciberforense para a prevenção de fraudes nas quais o malware é utilizado para executar ataques contra governos, empresas, organizações ou roubo de informações financeiras. O objetivo é treinar as organizações e os responsáveis por sua segurança a evitar ataques aos seus sistemas e aos sistemas de seus clientes.
 
Ministrado por Victor Sergeev, gerente de treinamento de clientes Kaspersky Lab, o curso de prevenção à fraudes permitirá que os alunos façam o diagnóstico do quadro completo, não só a ameaça em si e seus resultados, mas os atores e as motivações por trás desses ataques.
 
Dados levantados pela Kaspersky Lab em parceria com a B2B International mostram que mais de 45% dos usuários que gerenciam suas finanças através da Internet tem certeza que o seu banco irá reembolsar suas perdas caso o dinheiro seja roubado de sua conta online. Essa confiança entre os clientes tem o potencial de ter impacto sobre o negócio de organizações financeiras, que podem sofrer os danos monetários e de reputação em caso de roubo cibernético.
 
De acordo com estatísticas da Kaspersky Lab, um em cada quatro ataques de phishing imita uma página de um banco legítimo, loja online ou serviço de pagamento. Estas páginas falsas são usadas para induzir as pessoas a entregarem seus dados bancários. Enquanto isso, os autores de malware continuam a criar novos programas maliciosos capazes de acessar contas online ao conseguir burlar as ferramentas de segurança que os bancos utilizam.
 
Roubo de contas de clientes tem implicações para o negócio das organizações financeiras – que vão além dos custos financeiros, e afetam a reputação da empresa e fidelização de clientes. As companhias usam vários métodos para proteger seus clientes de fraude cibernética, no entanto, a prática mostra que a proteção total das transações online só pode ser feita por soluções dedicadas desenvolvidas para lidar com a natureza específica de ameaças financeiras online.
 
Voltado para governos, CERTs (Centro de Respostas à Incidentes), companhias que oferecem serviços de segurança e para bancos e suas reguladoras, o curso também visa oferecer informações e conhecimentos necessários para realizar pesquisas avançadas sobre incidentes de segurança. Este conhecimento é um fator importante para as organizações, não só pela resposta ao incidente, mas também ao providenciar informações iniciais valiosas para o desenvolvimento de estratégias de prevenção e proteção contra novas ameaças.
 
O curso é realizado em parceria com a Datapointer Software e DTS Latin America.
 
Serviço
 
Fraud Prevention
 
Data: 24 a 28 de novembro
 
Local: Rua Professor Tamandaré Toledo, 69 - 3º andar Itaim Bibi – SP
 
Inscrições: contato@dtslatin.com ou pelo telefone: (11) 2308-3796
 
Valor: US$ 3.900,00 por aluno
 
Sobre a Kaspersky Lab
 
A Kaspersky Lab é o maior fornecedor de capital fechado do mundo de soluções de Proteção de Endpoint. A empresa está classificada entre as quatro maiores do mundo fornecedoras de soluções de segurança para usuários de endpoint*. Ao longo de sua história de mais de 17 anos a Kaspersky Lab manteve-se como uma companhia inovadora em segurança de TI e fornecedora de soluções de segurança digital eficazes para grandes empresas, PMEs e consumidores finais. A Kaspersky Lab, tem sua holding registrada no Reino Unido e atualmente opera em cerca de 200 países e territórios em todo o mundo, fornecendo proteção para mais de 300 milhões de usuários. Saiba mais em www.kaspersky.com.br






O Whatsapp, aplicativo de mensagens instantâneas mais utilizado do mundo com cerca de 600 milhões de usuários ativos, anunciou que começou a criptografar seu sistema e as conversas entre os usuários, objetivando protegê-los dos ataques de hackers maliciosos.
A criptografia, anunciada nesta terça-feira (18), permitirá que as mensagens sejam protegidas e visualizadas somente pelos próprios usuários em suas respectivas contas. 
A Open Whisper Systems, empresa que está realizando a criptografa, relatou que – ao menos de início – a proteção só está disponível para usuários Android com a últma versão do app instalada. No entanto, iOS, Windows Phone e demais sistemas operacionais móveis também receberão a novidade.



Londres - Nos próximos meses, hackers vão tentar penetrar as defesas eletrônicas de grandes bancos da Grã Bretanha e roubar informações de milhões de clientes. Mas desta vez serão bem vindos.
Os bancos estão em alerta vermelho após criminosos cibernéticos terem obtido detalhes sobre 83 milhões de clientes do JPMorgan Chase neste ano, e os principais bancos britânicos aceitaram participar de testes que permitem que equipes de hackers certificados ataquem à vontade.
Os jogos de guerra eletrônica vão marcar uma grande escalada sobre como bancos testam suas defesas em uma batalha de alto risco com criminosos.
"É a primeira vez que bancos terão seus sistemas testados por ameaças de seguranças em um ambiente real em vez de um ambiente simulado ou isolado", disse o sócio da equipe de segurança eletrônica da KPMG Stephen Bonner.
Crimes eletrônicos custam 445 bilhões de dólares ao ano à economia global e a conta está crescendo, segundo o Centro de para Estudos Estratégicos e Internacionais (CSIS, na sigla em inglês), que disse que os crimes prejudicam o comércio, competitividade e inovação em vários setores.
O banco central da Inglaterra está por trás da iniciativa. Em junho, o BC detalhou um novo plano chamado de CBEST para lidar com a crescente ameaça eletrônica.
O plano inclui o compatilhamento de inteligência de agências do governo, como a agência britânica de espionagem GCHQ, empresas e o encorajamento de testes mais intensos de instituições financeiras.
Testes pilotos já começaram e a maioria das instituições devem concluir o processo até o final de 2015, disse uma das fontes.
Os testes também vão envolver companhias de seguros, bolsas financeiras e operadoras de sistemas de pagamentos.

quarta-feira, 19 de novembro de 2014

Imagem do aplicativo de mesnagens WhatsApp em um telefone celular
Uma ferramenta para proteger a privacidade, apoiada por Edward Snowden, evita que as mensagens de WhatsApp sejam espionadas, criptografando-as quando viajam pela internet, anunciaram nesta terça-feira empresas vinculadas ao setor.
A Open Whisper Systems anunciou uma aliança com o Facebook, proprietário do WhatsApp, com a finalidade de usar um protocolo de textos seguros (TextSecure) para codificar mensagens em trânsito e escondê-las de olhares indiscretos.
"O WhatsApp merece enormes elogios por dedicar um tempo considerável e um esforço a este projeto", indicou a empresa Open Whisper Systems em nota publicada em um blog.
"Embora estejamos ainda no começo desta implementação, achamos que isto já representa o maior desenvolvimento da comunicação criptografada (...) na história", acrescentou a nota.
O WhatsApp confirmou o anúncio à AFP, mas se recusou a fazer mais comentários.
O TextSecure é ativado automaticamente, já que, está incluído por default na versão mais recente do WhatsApp para celulares equipados com Android, onde são trocadas bilhões de mensagens diariamente, informou a Open Whisper.
O co-fundador do WhatsApp "Brian Acton e a equipe de engenheiros do WhatsApp trabalharam incrivelmente nisto", acrescentou Open Whisper, um projeto apoiado por doações e subvenções.
Ao fazer parte da conferência South By Southwest, no começo deste ano, a ex-funcionária da Agência de Segurança Nacional dos Estados Unidos (NSA, em inglês) apoiou estas ferramentas para criptografar criadas pela Open Whisper.
Snowden se conectou à conferência pela internet da Rússia, onde se refugiou depois de vazar informações sobre a vigilância na internet em nível mundial por parte da NSA.
Em outubro, o Facebook completou a compra por 22 bilhões de dólares do aplicativo para celulares WhatsApp, usada por 600 milhões de pessoas.
Fonte: MSN

segunda-feira, 17 de novembro de 2014



Sinopse

Nos dias de hoje, os métodos de ontem não funcionam mais. Em Getting Things Done, o veterano consultor administrativo David Allen compartilha seus métodos inovadores para aumentar a performance sem stress, que ele já demonstrou para dezenas de milhares só nos EUA. Sua premissa é simples: nossa produtividade está diretamente ligada com nossa habilidade de relaxar. Só quando nossas mentes estão livre e nossos pensamentos organizados que conseguimos atingir a verdadeira produtividade e libertar nosso potencial criativo. Em Getting Things Done Allen mostra como:


  • Aplicar o conceito de "faça, encaminhe, adie, largue" para manter todas as suas inbox vazias.
  • Reavaliar objetivos e manter-se focado em mudar a situação
  • Planejar projetos e desencalhar projetos parados
  • Superar sentimentos de confusão, ansiedade, se sentir sobrecarregado
  • Se sentir bem em deixar de fazer coisas
Com estes princípios básicos e dicas testadas, Getting Things Done pode transformar o modo que você trabalha.

Traduzido e adaptado da Amazon


Review

Bom, antes de mais nada tenho que dizer que tanto a tradução quanto a sinopse original são horríveis, não ficando claro o objetivo do livro. Como vocês podem ver o livro, diferente dos outros postados aqui, não é sobre assuntos técnicos de Segurança da informação ou relacionados, mas conhecer essas técnicas e conceitos influencia diretamente em sua vida, em seu trabalho, estudos e etc.

O objetivo do livro GTD (maioria conhece o livro e as técnicas pela sigla) é ensinar diversas dicas e truques para uma vida mais produtiva. Agora você pergunta, "Mas porque preciso ser mais produtivo?" E eu respondo, simples, se você sabe organizar sua vida, você pode estudar mais, trabalhar melhor, aprender coisas novas e ainda sobrar tempo para fazer o que gosta, tudo isso com menos preocupação e stress.

As dicas do livro são bem simples, nada que você vai ter muito trabalho em fazer, basta um papel e caneta e você já está pronto para tornar sua vida mais produtiva. Eu recomendo fortemente o software Evernote no lugar de papel e caneta, muito fácil de organizar e manter tudo próximo para anotar e consultar. Um livro que estou querendo fazer um review também é o Organizando a Vida com o Evernote, que segue a mesma linha do GTD, mas focado no software, para tirar o maior proveito do Evernote com GTD.

Outra coisa interessante do método GTD é o fato de aumentar e estimular o pensamento criativo. Você gostaria de criar algo, ou seu trabalho depende de pensamento criativo? O GTD pode te ajudar. A premissa do GTD é esvaziar a cabeça e anotar todos os seus pensamentos no papel, porque seu cérebro não consegue lembrar de tudo e na hora que você precisa. Por isso você acaba esquecendo de coisas ou ficando estressado tentando manter tudo na cabeça. Já usando as técnicas, com tudo anotado no papel (ou digital), seu cérebro fica aberto a novas idéias e pensamento criativo.

Você pode encontrar o livro em diversos lugares, mas obviamente, vou indicar o lugar que acho melhor o serviço (desde preço até entrega), que como já devem imaginar é a Amazon. Agora na Amazon brasileira você pode encontrar diversos livros e comprar nacional. Caso você consiga ler em inglês recomendo a versão em inglês, super barata. Caso não consiga, este livro tem uma versão em português, que no momento está mais barata.

Eu fico por aqui, cada vez mais produtivo!

sexta-feira, 14 de novembro de 2014

E ai pessoal!

Não sei se já postei isso por aqui mas mesmo assim vou postar. Acabei de rever hoje um vídeo do Charlie Miller e do Chris Valasek na Forbes apresentando algumas técnicas e hacks em carros. Similar a palestra deles do ano passado da H2HC.

Segue vídeo da Forbes:





E o vídeo da palestra:


quinta-feira, 13 de novembro de 2014

E ai pessoal!

A muito tempo atrás eu comecei a postar uma série explicando como funciona cada uma das 10 falhas mais comuns, classificadas pela OWASP. Só agora me sobrou um tempo para continuar postando.

Até agora temos 2 falhas já explicadas basicamente. Assim que eu tiver um tempo eu faço um repost um pouco mais detalhado.

Já atualizando para a nova versão do OWASP Top 10, temos até o momento:

OWASP Top 10: A1 Injection
OWASP Top 10: A3 Cross Site Scripting

E vamos ao que interessa!


Cerca de 90% das aplicações web hoje em dia usam simples formulários em HMTL para autenticação, capturando o usuário e senha informado e encaminhando para uma função de autenticação.

Funções de autenticação ou sessão são normalmente desenvolvidas com falhas graves que podem ser facilmente ignoradas podendo causar o vazamento de credenciais, e também causar escalação de privilégios horizontalmente. Escalação de privilégios horizontalmente quer dizer, um usuário comum acessar informações de outro usuário comum, e a escalação vertical é quando um usuário normal acessa informações de uma conta com acesso superior.

O comum nas aplicações web atuais é um sistema de login seguro e completamente blindado onde nenhuma requisição maliciosa pode passar, mas em outros campos como “Esqueci minha senha”, “Lembrar-me”, troca de senha, entre outros, nenhuma verificação de segurança é realizada e através desses campos as informações podem ser obtidas. 

O erro do desenvolvedor está em não dar a mesma atenção com relação a segurança a todos os campos e funções onde o usuário interage com a aplicação. Outro erro bem comum é utilizar exatamente a mesma função de segurança para todas as páginas e campos, o que pode causar algum bug e escapar dos métodos de segurança.

Este tipo de falha está cada vez mais comum hoje em dia, subindo para segundo lugar nesta última versão, tomando o lugar do XSS. Vejamos algumas falhas na criação das aplicações de hoje em dia:

- Senhas fracas: Muitas aplicações web hoje em dia ainda tem falhas críticas nas suas políticas de senha. É comum ver sites que permitem senhas muito curtas ou até mesmo em branco, permitem palavras presentes em dicionários ou nomes, uma senha padrão, ou até mesmo o login na senha.



- Possibilidade de Bruteforce: Sem dúvida você viu o vazamento de fotos que vazou de celebridades a algum tempo atrás. Isso foi causado por essa falta de cuidado. A aplicação permite que um usuário tente diversas vezes combinações de usuário/senha sem problema nenhum, isso quer dizer, permite o uso da técnica de bruteforce de tentar milhares de tentativas.

- Mensagens de erro vazando informação: Normalmente aplicações usam 2 ou mais campos para autenticar usuários, como por exemplo login/senha, e até mesmo outras informações como tokens, senhas de dois passos, datas de nascimento e etc. O maior erro dos desenvolvedores é avisar indiretamente, com mensagens de erros diferentes, qual é o campo que está errado, em vez de uma mensagem genérica.

- Falhas na funcionalidade de mudar a senha: Em muitas aplicações é comum que um campo seja informado errado e volte uma mensagem de erro informando que algum campo de login foi inserido errado. O erro dos desenvolvedores está em informar exatamente qual o campo está errado com mensagens de erro diferente. Um usuário mal intencionado pode usar isso para enumerar possíveis usuários da aplicação e depois executar um ataque de dicionário ou bruteforce para conseguir as senhas. O correto seria uma mensagem genérica de "usuário ou senha incorreta" para dificultar e não vazar informações sensíveis.


- Sistemas de troca de senha falhos: Sistemas de troca de senha ou recuperação de senha podem por descuido também informar informações sensíveis da senha atual. Por exemplo, o campo "Nova senha" pode retornar mensagens de erro como "Nova senha não pode ser igual a senha atual".

E vou ficando por aqui! Eu poderia escrever muito mais falhas e erros básicos que os desenvolvedores cometem até mesmo sem saber, no intuito de fazer algo bom e seguro, que entram nessa categoria de Broken Authentication, mas isso já está bom para exemplificar o que esta categoria do OWASP Top 10 quer dizer.

Imagens originalmente publicadas no livro The Web Application Hacker's Handbook.

terça-feira, 11 de novembro de 2014

A Microsoft liberou nesta terça-feira, 11/11, soluções para 14 vulnerabilidades no Windows, no Office e no Internet Explorer, incluindo quatro classificadas como críticas.
Todos os quatro bugs críticos poderiam permitir que invasores executassem programas remotamente em um sistema direcionado, algo que já permitiu a hackers roubarem informações pessoas como senhas ou “tomar” máquinas para enviar spam.
Os patches foram liberados como parte da já conhecida atualização mensal de segurança da empresa, chamada “patch Tuesday”. Originalmente, a empresa tinha planejado entregar 16 updates, mas dois estão marcados informando que ainda vão chegar.
De qualquer, essas 14 soluções representam um recorde mensal para os anos de 2013 e 2014 na Microsoft.
Elas incluem um problema com o Windows Object Linkind and Embedding que pode permitir a execução remota de código se o usuário visitar um site contendo código malicioso. Se o usuário estiver logado como o administrador, o criminoso pode ganhar a habilidade de instalar programas e alterar e apagar dados. Um patch relacionado para o Internet Explorer soluciona a vulnerabilidade com sites maliciosos e 16 outros problemas com o software, segundo a Microsoft.
Um update de segurança para o Microsoft Secure Channel no Windows soluciona um problema que deixa o Windows Server vulnerável a ataques. O quarto patch crítico arruma um “buraco” no Windows que permite a criminosos invocarem Microsoft XML Core Service de um site malicioso e então executar remotamente um código em um sistema.
Outras sete soluções são marcadas como importantes – a segunda classificação mais alta para a Microsoft.
Fonte: IDG NOW!

segunda-feira, 10 de novembro de 2014

Pesquisadores revelaram um sofisticado esquema de espionagem industrial por meio de ataques hackers, cujo alvo eram executivos que se hospedavam em hotéis de luxo na Ásia.

Assim que esses hóspedes se registravam no sistema wireless de seus quartos, seus dados passavam a ser monitorados pelos hackers.

Os ataques teriam feito milhares de vitimas desde 2009, segundo um relatório divulgado pela Kaspersky Lab, nesta segunda-feira (10).

De acordo com estudo, os alvos preferenciais eram executivos da área automobilística e das indústrias cosmética e química, além de empresas que prestavam serviços a governos e exércitos nacionais.

Segundo o relatório da Kaspersky, os computadores eram invadidos quando os executivos baixavam ou atualizavam programas como Adobe Flash, Google Toolbar ou Microsoft Messenger.

A empresa de segurança da informação não divulgou quais executivos foram espionados ou os hotéis em que eles se hospedaram.

Noventa por cento das vítimas eram de cinco países: Japão, Taiwan, China, Rússia e Coreia do Sul.

Executivos em viagem pela Ásia vindos de Japão, Irlanda e Estados Unidos também foram espionados.

A Kaspersky afirma não saber como os hackers sabiam o itinerário de viagem das vítimas, o que, segundo a empresa, mostraria a fragilidade da rede desses hotéis.

Fonte: Info
Segundo pesquisa realizada pela Kaspersky Lab em parceria com a B2B Internacional, 17% dos usuários brasileiros de internet não acreditam que ataques cibernéticos são reais e acham que a ameaça é um exagero das empresas de segurança online.

De acordo com as estatísticas, nem todas as pessoas que aceitam a existência das ameaças estão convencidas que precisam de proteção. Somente 28% dos entrevistados acreditam que podem ser objeto de ataques por cibercriminosos.

Quase um terço (27%) dos usuários não está preocupado com a possibilidade de que suas contas online estejam comprometidas ou está alheio a este risco. Segundo a empresa, isso não somente se aplica a páginas pessoais em sites de redes sociais, mas também a contas bancárias online, que poderiam entregar as finanças pessoais do usuário a um cibercriminoso. A pesquisa mostra que 35% dos entrevistados desconhecem ou não estão preocupados com a possibilidade de tais perdas.

Outro dado do estudo diz respeito ao acesso à internet sem fio: 18% dos entrevistados não estão conscientes que o uso de redes Wi-Fi públicas é arriscado, uma vez que os dados que trafegam nestas redes podem ser interceptados por cibercriminosos. A mesma proporção de usuários, por outro lado, se diz consciente desta ameaça, mas não acredita que deva se preocupar com isso. Ao mesmo tempo, 56% utilizam redes públicas e 6% colocam suas informações pessoais em sites enquanto estão conectados por esse tipo de rede.

Vi lá no grupo da Break Security.
Fonte: Olhar Digital

sexta-feira, 7 de novembro de 2014

Olá leitores do blog!

Hoje venho trazer uma notícia/indicação/dica.

Esta semana foi lançado no Brasil o livro Testes de Invasão: Uma introdução prática ao hacking, pela editora Novatec.



O livro é escrito pela Georgia Weidman, pesquisadora de segurança já a um bom tempo. Para ter uma idéia de quem é a autora, ela se formou aos 18 anos em matemática e depois disso fez seu mestrado em ciência da computação com foco em segurança. Também criou a ferramenta Smartphone Pentest Framework (SPF), presente no Kali e Backtrack, o nome já deixa bem claro o que faz a ferramenta...

Mas o que vamos falar aqui não é da autora e sim do livro. O livro foi lançado originalmente na metade deste ano e a editora já o trouxe para o Brasil, em português. Vejo muitas pessoas aqui no blog e no grupo do Facebook tendo dificuldades com o idioma inglês e com a falta de material bom em português. Ai está então. Um livro interessante em português para você que está começando ou querendo começar na área do pentest.

Não vou entrar muito em detalhes sobre o livro e o conteúdo porque vai rolar review logo logo! o/

O real motivo que vim postar isso hoje é porque a Editora Novatec conseguiu para os leitores do site um cupom de 20% de desconto EM TODO O SITE!! Para receber o desconto você precisa digitar o cupom BRUTALSEC na hora que for finalizar a compra.

A maior reclamação em relação a livros vendidos nacionalmente é o preço elevado. Dando uma pesquisada no catálogo da Novatec pode-se ver que os livros lá não são tão caros. É bem comum ver esse tipo de livro custando acima de R$ 200,00, mas a Novatec está trazendo uns livros bem legais por um preço interessante, ainda mais com esse desconto. Agora você não tem desculpa para não comprar seus livros e meter a cara nos estudos.

Mas fique ligado que está promoção só é válida até o fim do ano (2014 caso você esteja lendo isso no futuro...).

Eu já estou fazendo minha listinha para comprar meus presentes de Natal da Editora Novatec.

Por falar nisso deixo meu agradecimento ao pessoal da Editora Novatec pelo apoio! :)


Para mais informações sobre o livro, catálogo, descontos, acesse o site da Novatec.

terça-feira, 4 de novembro de 2014

5 - Comparação entre iOS e Android


5.1 - iOS


O iOS ainda se mantém fechado, o único local para obter softwares é da loja oficial. Também existe uma loja alternativa para usuários que fazem o desbloqueio não autorizado do aparelho, mas este não será considerado por desabilitar todos os sistemas de segurança do aparelho e ser considerado não autorizado pela Apple. Exploits e falhas de desenvolvimento são raramente encontrados devido ao tempo de desenvolvimento do sistema e cuidado o cuidado extra que a Apple toma.

Para uma parte maliciosa disponibilizar um aplicativo com código malicioso na loja diversas camadas de proteção devem ser contornadas. Atualmente diversos pesquisadores de segurança tentam burlar essas proteções, praticamente todos sem sucesso, e os que obtém sucesso tem suas contas bloqueadas e o aplicativo é removido em poucos instantes.

A loja oficial tem diversas proteções que inviabilizam o ataque direcionado a dispositivos Apple. A primeira barreira é a conta de desenvolvedor, onde a Apple cobra uma taxa anual de 99 dólares para o uso da conta. Além do pagamento é necessário encaminhar para a Apple diversos documentos comprovando a identidade do desenvolvedor, entre eles documento de identificação, enderço, documento com foto, entre outros.

Caso o desenvolvedor seja aprovado ele pode enviar aplicativos para a verificação da Apple. Todos os aplicativos submetidos são encaminhados a uma bateria de testes por desenvolvedores da própria Apple e raros aplicativos maliciosos ou com falhas de desenvolvimento passam pelo teste. Caso um aplicativo mal intencionado seja encaminhado para a loja em poucos instantes ele é removido da loja e se necessário de todos os dispositivos. É praticamente impossível um aplicativo sobreviver a um reboot do sistema, atualmente na ultima versão do sistema alguns aplicativos podem ter complementos instanciáveis como Widgets que possivelmente podem sobreviver a reboots, mas ainda não foram implementados e testados completamente.

5.2 - Android


O Google escolheu um modelo diferente nas versões posteriores e manteve o sistema livre e aberto para a instalação de softwares de qualquer fonte. É possível executar executar qualquer código no Android, mas é necessário remover algumas limitações nas configurações do dispositivo, o que pode levar a diversas falhas de segurança, mas ainda assim o aplicativo a ser instalado tem que informar suas permissões e necessidades para a execução e o usuário tem de aceitá-las.

O processo de verificação de aplicativos e desenvolvedor do Google é similar ao da Apple, mas é mais simples e automatizado, ou seja, é mais simples de burlar a verificação e passar um malware. Do mesmo modo que a Apple, o Google também pode remover aplicativos da loja e dos aparelhos, mas o processo é um pouco mais lento, o que da uma janela maior para infecção.

Exploits e falhas de segurança também são raros no Android e aplicativos também não sobrevivem a reboots, do mesmo modo que o iOS, dispositivos modificados podem causar que aplicativos sejam auto executados.

6 - Malwares


Levando em consideração que os dispositivos e sistemas operacionais estão íntegros, a quantidade de ameaças e aplicativos maliciosos são poucas comparado com computadores. Em quanto nos computadores existem milhões de ameaças e malwares, no Android já foram encontrados e catalogados cerca de 50 mil ameaças e malwares, e 5 em iOS. Esta diferença entre os dois sistemas operacionais móveis está no modelo das lojas, onde o Android tem diversas lojas e a possibilidade de instalação de código e fora das lojas oficiais e autorizadas, mas mesmo assim, são poucas ameaças comparado a computadores.

Boa parte das ameaças e falhas encontradas foram geradas por pesquisadores de segurança apenas como prova de conceito, e normalmente usando o sistema Android pela facilidade de instalação para os testes.

Mesmo esses aplicativos maliciosos ou provas de conceito tem a necessidade de mostrar suas permissões na instalação e o usuário tem que autorizar o acesso ao aplicativo.

7 - Previsões para o futuro


Por mais alguns anos os sistemas operacionais móveis não serão alvo de ataques pela complexidade e necessidade de recursos que esses tipos de ataques demandam, o principal foco de ataque e ameaças ainda será os computadores.

Pode-se afirmar que os sistemas de checagem e proteção não vão perder qualidade, pelo contrário, só tendem a melhorar, o que dificultaria mais ainda os ataques aos dispositivos móveis. Pesquisas apontam que os sistemas operacionais para computadores estão ficando cada vez mais complexos e seguros, isso quer dizer, comparando-se com os sistemas de dispositivos móveis.

Os maiores problemas encontrados hoje que causam essas falhas e ameaças são decorrentes de dois grandes fatores: fragmentação e desconhecimento de usuários. A fragmentação dos dois sistemas pode causar problemas de segurança já que rapidamente os dispositivos perdem o suporte do fabricante e vulnerabilidades encontradas não serão corrigidas. No caso de desconhecimento dos usuários a única coisa que pode ser feita é diminuir ou remover a possibilidade do usuário remover as proteções de segurança ou treinar de alguma forma os usuários para aumentar a atenção em relação a segurança da informação.

Um exemplo de falta de conhecimento dos usuários é um aplicativo recentemente removido da loja do Android. O aplicativo em questão era uma lanterna, sua função era apenas ligar o flash da câmera do aparelho, e na instalação o aplicativo solicitava acesso a contatos, GPS, contas, informações pessoais, chamadas, etc. Milhares usuários Android fizeram o download do aplicativo para usá-lo como lanterna e acabaram tendo suas informações roubadas e enviadas ao servidor de um atacante.
E ai pessoal! Como muitos leitores estavam com dúvidas sobre como está o mundo da segurança da informação e para onde está indo, resolvi fazer esse texto explicando basicamente como está o mundo mobile. Separei o texto em duas partes e vou postar as duas hoje no decorrer do dia.

Para mais informações e discussões sobre o tema acesse o grupo do Facebook da Brutal Security.

1- Mídia


Atualmente as mídias especializadas estão focando em noticiar informações sobre novos ataques, malwares e vulnerabilidades sobre sistemas operacionais móveis. Com títulos como “Sistema Operacional iOS da Apple foi hackeado”, “Diversas novas ameaças para dispositivos móveis estão aparecendo”, entre outras, as notícias tendem a chamar a atenção por seus títulos um tanto quanto equivocados. Lendo os detalhes das notícias e fontes, quando não omitidas, mostram que boa parte desses ataques são provas de conceito de especialista da área e pesquisadores de segurança. Este estudo é sobre isso, não necessariamente todas as falhas encontradas são usadas para um ataque real.

Muito é noticiado de vazamento de informações, comprometimento de serviços e outras ameaças, mas ao contrário do que a mídia desinformada noticia estes ataques não tem origem em dispositivos móveis e nem foram direcionados aos mesmos. Todos os documentos, fotos e demais informações que vieram a público nos últimos meses tem pouca relação com dispositivos móveis.

2- Comparativo dos primeiros anos dos dispositivos móveis com os primeiros anos dos computadores pessoais


Na década de 80, quando os computadores pessoais começaram a se tornar mais acessíveis eles ainda eram apenas máquinas que podiam interpretar comandos e executar códigos escritos para auxiliar ou automatizar uma tarefa, não existia nenhum conceito de segurança desses equipamentos. Com isso falhas começaram a aparecer, e com a criação da internet e intercomunicação dos computadores iniciaram os ataques com fins maliciosos a essas máquinas indefesas que já carregavam uma grande quantidade de informação. Cerca de uma década depois que a segurança desses computadores e dessas informações começaram a ser levadas em consideração e medidas começaram a ser tomadas em relação a isso e a correção das falhas. Hoje em dia ainda temos diversas falhas de segurança em nossos computadores pessoais, mas nem comparado com as décadas anteriores, é um movimento natural os sistemas ficarem cada vez mais robustos e protegidos.

Já no caso dos sistemas operacionais para dispositivos móveis, foi usado todo esse conhecimento prévio da evolução e aperfeiçoamento dos sistemas operacionais dos computadores pessoais. Como os desenvolvedores já tinham conhecimento de boa parte dos erros críticos que os sistemas tinham, muitas falhas de segurança foram evitadas já no dia 1 de vida do sistema operacional para dispositivos móveis. Outras medidas foram tomadas para evitar que novas ameaças surjam nestes dispositivos.

2.1 - Impossibilidade de executar códigos de qualquer fonte


Nos anos iniciais dos dois sistemas principais do mercado, iOS da Apple e Android OS do Google, era impossível a execução de códigos que não fossem e fontes confiáveis da empresa desenvolvedora, ou seja, a empresa faria uma curadoria de tudo que pudesse chegar até o aparelho, o que impedia que códigos maliciosos fossem executados. Nos dias atuais a Apple ainda mantém essa mesma política, onde a única fonte de softwares e aplicativos é a própria loja da Apple. No caso do Google a empresa optou por um modelo mais aberto. Diversas lojas podem disponibilizar aplicativos para os aparelhos, sendo estes de responsabilidade da loja que os disponibiliza. Os dispositivos com sistema operacional Android vem por padrão com configurações para impedir a execução de aplicativos de fora das lojas, mas estas configurações podem ser desabilitadas pelo usuário facilmente no painel de configurações do aparelho, o que pode comprometer a segurança.

2.2 - Sandboxing


O sandboxing é outra medida de segurança implementada em todos os sistemas operacionais para dispositivos móveis. O sandboxing é um sistema de proteção, onde o aplicativo é executado em um compartimento isolado de todo o resto do sistema e não tem acesso a nada que não seja criado por ele. Os aplicativos podem acessar algumas áreas comuns do sistema, mas estas áreas não são acessadas diretamente pelo aplicativo, a requisição é entregue ao sistema operacional que age como intermediário. Outro ponto que deve ser destacado é que o aplicativo sempre deve solicitar e informar ao usuário que recurso que ele necessita antes da solicitação ao sistema operacional.

3 - Possíveis ameaças


Normalmente a entrada de ameaças nos sistemas operacionais móveis ocorre nos mesmos padrões dos sistemas operacionais dos computadores pessoais. O download direto do malware por parte do usuário ou o comprometimento do dispositivo por alguma falha de segurança do sistema previamente identificada.

3.1 - Download direto de malware


As lojas oficiais oferecem uma proteção contra esse tipo de ameaça. Todo o código que é submetido a loja passa por uma verificação em busca de falhas ou comportamento mal intencionado e caso seja encontrado é descartado automaticamente. Sistemas como o Android que permitem a execução de código de outras lojas ou fontes desconhecidas sofrem com esse tipo de ameaça. Nestes casos o ataque ocorre quando um usuário mal informado faz o download de um arquivo já infectado ou malicioso e executa em seu aparelho comprometendo todo o sistema e suas informações.
Não é uma função direta do sistema operacional detectar e impedir a execução de um código malicioso, mas todos os sistemas tem algoritmos básicos de análise para identificar se a aplicação a ser executada pode causar algum mal ao sistema. Para contornar esse problema, foram desenvolvidos diversas ferramentas para detectar e impedir que códigos maliciosos sejam executados nos dispositivos. Estes softwares são similares aos anti-virus e anti-malware encontrados nos computadores.

3.2 - Execução de código (exploit) devido a uma falha


Este tipo de ataque é muito comum em computadores pessoais, pelo fato de nenhum sistema ser perfeito e a prova de falhas, quando uma falha é descoberta, seja por um pesquisador de segurança ou um agente mal intencionado, são criados os chamados exploits, códigos maliciosos com o objetivo de usar a falha encontrada para tomar controle do dispositivo. Em sistemas operacionais para dispositivos móveis esse tipo de falha é raro, tanto pelo fato dos sistemas serem mais bem trabalhados do que os dos computadores convencionais, quanto a falta de recursos e acesso que um atacante tem em um dispositivo móvel.
Normalmente estas falhas não estão ligadas ao uso do dispositivo ou alguma ação do usuário, estas falhas são originadas por erros de programação dos desenvolvedores dos aplicativos ou do próprio sistema operacional.

4 - Diferença entre ataque a plataformas móveis e computadores


Por mais que os sistemas operacionais móveis sejam similares e derivados dos sistemas operacionais dos computadores, o nível de ataque é completamente diferente. Ataques direcionados a dispositivos móveis são muito difíceis e altamente complexos, por esse motivo que todas ou boa parte das falhas de segurança são encontradas pela própria empresa ou por pesquisadores de segurança, e não por partes mal intencionadas. No cenário móvel atualmente existem muito mais barreiras do que um computador comum. Para um ataque ser direcionado a um dispositivo móvel, indiferente do sistema operacional, o atacante tem de contornar todas as barreiras para comprometer o sistema, como por exemplo a barreira do sandboxing.

4.1 - Assinatura por partes confiáveis


Hoje me dia para um aplicativo ou software ser executado em um sistema operacional seu código tem de ser assinado digitalmente por uma ou mais partes confiáveis. Isso quer dizer, um atacante com intenção de executar um código malicioso precisa autenticar esse código perante um órgão autenticador. Esta proteção é válida mas facilmente contornada, mas demanda de conhecimento e tempo do atacante.

4.2 - Nenhum código sobrevive a um reboot


Os sistemas operacionais para dispositivos móveis foram construídos de tal forma que nenhuma aplicação pode se inicializar automaticamente após o sistema ser reiniciado, o que impede que os códigos maliciosos sejam executados novamente, sendo necessário que o usuário execute novamente a aplicação maliciosa. Modificações de sistema não autorizado como por exemplo o Jailbreak nos dispositivos Apple e os mods e customizações do Android (root) podem ignorar essa proteção.

4.3 - Funções conhecidamente problemática


Diversas funções e aplicações já conhecidas como altamente vulneráveis não estão disponíveis em sistemas para dispositivos móveis. Pode-se usar como exemplo o Java e o Flash, que constantemente tem atualizações e correções de falhas, e são hoje em dia as maiores ameaças e ponto de entrada de diversos malwares em computadores, normalmente através dos navegadores. Os navegadores dos dispositivos móveis por padrão não vem com suporte a essas ferramentas mas a desejo do usuário, navegadores com suporte estão disponíveis para intalação.

4.4 - Auto execução


Nenhum aplicativo, em nenhuma plataforma móvel, tem a permissão de auto execução. Todos os aplicativos instalados nos dispositivos necessitam da execução do usuário para poder rodar. Além disso o aplicativo necessita mostrar suas permissões e o usuário tem de aceitar.

segunda-feira, 3 de novembro de 2014

E ai pessoal!

Estava procurando alguns documentários pela net e encontrei este documentário da BBC.

Este documentário foi o que o canal History publicou a alguns meses em português. Lembro de ter achado horrível o documentário, tinha um tom meio cômico no modo que eles falavam, não dava para levar a sério. Agora que assisti em inglês o documentário melhorou bastante.

Para os que ainda não viram fica a dica. Comentam sobre alguns dos maiores ataques modernos e o que podem fazer para evitar isso num futuro próximo.





BBC Horizon Defeating the Hackers HD por nooneisfatasmymom
Subscribe to RSS Feed Follow me on Twitter!