Segurança Digital - E-mails - Introdução

Antes da década de 90, o correio Eletrônico (Ou popularmente conhecido "e-mail"), era apenas usado para fins acadêmicos, ou seja, não era liberado para o público através de serviços de Webmail, que temos disponíveis hoje em dia. Mas a partir da década de 90, começou sua popularização pelo mundo virtual, e chegando ao usuário como uma nova forma de se comunicar na internet.

Mas tudo deu-se inicio juntamente da implantação do serviço de correio eletrônico, junto a ARPANet. Hoje em dia, a variedade de serviços que estão disponíveis para os usuários, são bem diversificadas, por exemplo, temos os serviços oferecidos pela Google(Gmail), Microsoft (Outlook), Yahoo (Yahoo Mail), entre outros serviços também oferecidos por provedores de acesso. A grande vantagem, é o poder de personalizar o domínio do e-mail pessoal ou empresarial. 

Por exemplo, eu possuo um e-mail personalizado para o domínio brutalsecurity.com.br , ficando assim:

gabriel <= usuário , @ = Algum Lugar, designando o usuário e domínio , brutalsecurity.com.br = domínio personalizado para o e-mail. 

Ficando: gabriel@brutalsecurity.com.br 

Essa característica, usuário e domínio, quando se trata de e-mails, é unica, não podendo existir um outro usuário para o domínio brutalsecurity.com.br com o nome de gabriel, apenas poderá existir outro gabriel, se for acrescentado um caractere a mais, podendo ser letra ou número. 

Exemplo:

gabriel123@brutalsecurity.com.br

Qualquer pessoa pode adquirir um e-mail personalizado, basta consultar o serviço de Webmail que você possui, e utilizar através dele um domínio personalizado, é claro, vai ser necessário pagar mensalmente para manter os domínios ativos.

Funcionalidades para E-mail:

Por existir uma variedade de funções para os e-mails, principalmente de cunho comercial. Onde empresas utilizam desta tecnologia para mandar mensagens contendo ofertas de seus produtos, ou para oferecer novos serviços, uma ótima ferramenta de marketing. Mas também, podemos encontrar funções que nos levem aos governos, que pela facilidade que a comunicação por e-mail se tornou, também se tornou uma ferramenta muito importante para agilizar processos e troca de informações entre políticos. 

Sendo assim, podemos dividir em 5 categorias de funcionalidades:

• Utilização por parte de Usuários comuns: Apesar do termo usuário "comum" ser muito usado para classificar pessoas que não possuem conhecimento na área de computação, esse termo deve ser associado a pessoas que não utilizam e-mail para negociações. Apenas utilizam para se comunicar, receber ofertas, usar para a carreira profissional e redes sociais. 
• Utilização por parte de Governos: Obviamente, os governos por todo mundo utilizam esta forma de comunicação, pois agiliza em muitos fatores, e se tornou de extrema importância para a sociedade moderna. Isso também favorece os governos, para marcar reunião, trocar arquivos e mensagens sigilosas entre si, sem correr o risco de que mensagens possam vazar, pois nesse caso, possuem uma equipe que trabalha dia e noite para manter a integridade do servidor que é utilizado por eles, ou seja, eles criam seu próprio servidor para garantir que somente eles utilizem.
• Utilização por Parte de Empresas: Usada principalmente para mandar mensagens de ofertas de produtos e oferecer novos serviços aos seus clientes cadastrados, podendo também ser usado para receber mensagens de dúvidas ou reclamações por parte de usuários. Sem dúvidas, se tornou uma ferramenta importante para a área do comércio eletrônico, pois atinge um publico certo.
• Utilização altamente restrita: Vamos ser um pouco lunáticos agora, precisamente, ser um daqueles que qualquer coisa que aconteça, afirma que é conspiração. Certamente, governos, empresas, cybers criminosos, até mesmo pessoas comuns, tem segredos que querem esconder do restante da sociedade, e certamente, farão de tudo para que o segredo continue. Então nesse caso, não é de se duvidar que o alto escalão dos governos e Exércitos pelo mundo, possuam um sistema de correio eletrônico totalmente restrito, e que somente eles saibam como acessar.
• Utilização por Parte de Cybers Criminosos: Sempre quando você acessa um site de tecnologia, você verá noticias que façam referência a alguma descoberta de um novo Malware, ou que foi descoberto a forma que ele se propaga na internet. Certamente, a melhor forma de se propagar um Malware na internet, é através do correio eletrônico, mais especificamente através da prática de spam. Além é claro, que cybers criminosos precisam se comunicar com os seus contratantes, laranjas e receptores, e utilizam o serviço de correio eletrônico próprio para isso.

Certo, terminamos esta introdução. Continuaremos no próximo artigo.

Para acessar os artigos já feitos sobre Segurança Digital, acompanhe nossa guia, e veja também outros artigos escritos por nossa equipe.

Até a próxima pessoal.

Read More

Detento é solto após enviar ordem falsa por e-mail para equipe da prisão

Um detento que estava na prisão por múltiplas acusações de fraude aparentemente voltou a usar seus velhos truques. Neil Moore, 28, obteve um celular ilícito, fingiu ser funcionário do tribunal e enviou um e-mail com instruções falsas de fiança para a equipe da prisão – e foi solto.

Segundo a BBC, Moore estava detido na prisão de Wandsworth, Reino Unido, por fingir ser funcionário dos bancos Barclays, Lloyds e Santander, convencendo organizações a lhe darem quase US$ 3 milhões.

Em sua artimanha mais recente, que um juiz de primeira instância descreve como “engenhosa”, Moore configurou um domínio web falso muito parecido com o endereço oficial do tribunal. Ele registrou o site falso em nome de um investigador; o endereço e detalhes de contato eram dos Tribunais Reais de Justiça.

Moore usou o domínio para enviar e-mails à prisão com instruções para a sua soltura. O engano foi descoberto três dias depois, quando procuradores foram entrevistar o detento, apenas para descobrir que ele não estava mais lá.

E onde está Moore? Bem, parece que ele se sentiu culpado, porque se entregou apenas três dias depois de descobrirem sua ausência. Ele será sentenciado em 20 de abril por oito crimes de fraude e uma acusação de fuga.

Fonte: Gizmodo

Read More

Programadores trabalham em nova geração de e-mail totalmente criptografado

As empresas Silent Circle e Lavabit se juntaram para criar o Dark Mail Technical Alliance, um grupo que está trabalhando em uma nova geração de e-mail totalmente criptografado.

Segundo o próprio Dark Mail diz em seu site oficial, sua missão é “trazer ao mundo nosso protocolo e nossa arquitetura criptografados que são a 'próxima geração de e-mail privado e seguro"."Silent Circle e Lavabit estão desenvolvendo uma nova forma de fazer e-mail com criptografia end-to-end. Damos as boas vindas a organizações semelhantes que queiram se juntar à nossa aliança".

A empresa diz, ainda, que a Silent Circle e a Lavabit agora trabalham para trazer outros membros para a aliança e auxiliá-los na implementação do novo protocolo e, em conjunto trabalhar para proliferar o primeiro ‘“-mail 3.0’ criptografado do mundo por meio de provedores de e-mail do mundo todo.

"Nosso objetivo é abrir o código do protocolo e da arquitetura e ajudar os outros a implementar esta nova tecnologia para responder às preocupações de privacidade contra a vigilância e as ameaças de back door de qualquer tipo”. 

Os interessados podem deixar seu e-mail na Mailing List do site para receber novidades sobre o Dark Mail.

Fonte: Info

Read More

Vaza lista com milhões de senhas do Gmail

Uma lista com quase 5 milhões de combinações de endereços do Gmail e senhas vazou nesta terça-feira.

No entanto, segundo o Mashable, as senhas parecem ser velhas e podem não ser realmente de contas do Gmail. Em vez disso, parece que muitas das senhas foram retiradas de sites onde os usuários usaram seu Gmail para fazer registro, de acordo com algumas das vítimas e com especialistas em segurança.

Por exemplo, alguém pode ter se inscrito em um site com o nome de usuário "myaddress@gmail.com" e a senha "minha_senha." A lista exposta nesta semana faz com que pareça que "minha_senha" é a senha para a conta do Gmail em si, mas a senha do email do usuário pode ser totalmente diferente.

Segundo o Mashable, um funcionário do site, Evan Engel, viu que sua antiga senha do Gmail, que ele não usa há anos, faz parte do vazamento.

Mesmo que a lista seja simplesmente uma coleção de senhas antigas pertencentes a sites menores, o problema é sempre o mesmo: a reutilização de senha. Para quem tem o hábito de reutilizar senhas, é possível verificar um site que informa se seu endereço do Gmail está na lista.

Fonte: Baguete

Read More

Ataque de phishing mira em usuários Apple com emails falsos de segurança

Os hackers por trás da botnet Kelihos lançaram uma campanha de emails falsos com alertas de segurança da Apple para explorar o medo dos usuários sobre os riscos de segurança nas contas online da empresa. O ataque de phishing foi identificado por especialistas da Symantec.

A botnet começou a disparar os emails, que se fazem passar por mensagens da Apple informando os usuários que uma compra foi feita com o uso da sua  Apple ID na loja iTunes. O email falso tem o título de "Pending Authorisation Notification" (Notificação de Autorização Pendente) e alegam que a compra foi feita usando um computador ou um dispositivo que não estava previamente associado à Apple ID do usuário.

A mensagem falsa pede ao usuário que clique num link se ele por acaso não fez a compra. O link leva a um site de phishing que está disfarçado de página de log-in da Apple ID e que acaba capturando as credenciais Apple dos mais desavisados ou ingênuos.

Segundo um post da Symantec, os emails estão sendo disparados de um endereço IP (Internet Protocol) que corresponde a uma localização física na cidade de Volgograd, na Rússia. O uso de alertas falsos de segurança como isca para phishing não é uma técnica nova, mas esse ataque em particular apareceu logo após o vazamento das fotos íntimas de celebridades que teriam sido roubadas de suas contas iCloud por hackers que conseguiram quebrar a senha e as perguntas de verificação de 101 celebridades.

A crise gerou uma resposta da Apple que anunciou ampliação das suas medidas de segurança e a implantação de sistemas de alertas para usuários via push ou email no caso de acontecerem mudanças nas suas contas iCloud.

"É possível que o timing da campanha de phishing não seja uma coincidência e que os controladores da botnet estejam tentando aproveitar ao máximo o barulho". diz a Symantec.

Fonte: PC WORLD

Read More

Ferramenta para spoof de email

E ai galera!

Achei aqui uma ferramenta para spoofar emails. Funciona muito bem, só preencher os campos e enviar. Com direito a anexos, criptografia, edição de HTML e muito mais.

Obviamente vai cair em spam ou indesejados.

Mas como temos ótimas intenções fica ai a dica. :)

Emkei's Instant Mailer

Read More

Mais uma Tentativa de Golpe via E-Mail

Os criminosos virtuais estão sem dúvida ficando mais criativos e sabendo como desviar-se de filtros de correio eletrônico. É a segunda vez em menos de 30 dias que um novo e-mail suspeito passa pelo filtro de anti-spam e cai na minha caixa de entrada como um e-mail válido. Desta vez, até com imagem de cheques atachados (como se fossem imagem) no e-mail. Veja abaixo o e-mail:

O e-mail é suspeito para mim pois as assinaturas nos cheques não são minhas e ao apontar para cada um destas imagens anexadas o browser mostra na barra de tarefas o link para uma URL que está se tornando muito comum para este tipo de golpe no Brasil (). Não necessariamente a URL vai ser exatamente a mesma, porém existem dois pontos que venho notado vem se repetindo com frequencia:

• Eles (criminosos) estão utilizando SSL (HTTPS) para que os inviduos que estam atrás de um firewall que não tem inspeção SSL possam fazer o download do arquivo sem que o Firewall consiga inspecionar o conteúdo
• Eles (criminosos) utilizão na maioria das vezes uma URL comprimida de algum serviço público de compressão de URL.

Para confimar a suspeita resolvi fazer o download dos arquivos no meu ambiente isolado de rede, usando uma máquina virtual que é específica para este intuito (ser infectada).

Recaptulando o Caso da Semana Passada

Na semana passada quando escrevi este post, eu também fiz o teste e o arquivo que baixou foi um EXE que continha um trojan conforme capturado pelo Security Essentials:

Esste Trojan (Banload) é conhecido por ser membro da família do Win32/Banker, que por sua vez é um trojan que rouba credenciais de bancos. É um trojan muito utilizado no Brasil.

Continuando a Investigação

Resolvi baixar o arquivo, ou seja, clicar na imagem e o que me vem para abrir não é um JPG (claro já sabia), é um arquivo ZIP:

Note que aqui houveram dois encapsulamentos: a comunicação ocorreu via SSL e o arquivo (provavelmente infectado) está dentro de um ZIP. Tudo na tentativa de obfuscar o firewall de borda durante a inspeção de conteúdo (se você usar o HTTPS Inspection do velho TMG, ele vai fazer a inspeção profunda mesmo com estas duas camadas de encapsulamento).

Após baixar o arquivo ZIP, fiz a estração do conteúdo e então me deparei com o arquivo “Cheque Protestado.CPL”, que mais uma vez é extremamente usado no Brasil, inclusive neste paper sobre CPL Malware da Trend Micro o autor reporta isso (extremamente recomendado ler este paper).

Para ler este arquivo de forma segura eu usei o PE Explorer e depois fiz o disassembler do arquivo conforme mostra a figura abaixo:

Os padrões encontrados são muitos parecidos com o CPL referenciado no paper da TrendMicro (página 7).

Conclusão

Mais uma vez, fique atento a qualquer e-mail suspeita, e não abra arquivos CPL, pois o AV não vai identificar como malicioso, mas ao executar ele vai fazer contato com outra URL para baixar uma variante do malware. Muitas vezes o CPL vai apenas agir como um “dropper”.

Fique atento!

Post retirado do blog do Yuri Diogenes

Read More

Engenheiros sociais se reinventando e golpes mais elaborados

Olá galera!

Hoje um amigo meu um pouco mais leigo que nós estudantes de Segurança da Informação, mas com um certo conhecimento geral de computação (não um completo idiota que clica em tudo), me contou sobre um caso que ocorreu com ele, e pelo que ele mesmo comentou, quase caiu no golpe.

O golpe basicamente explora a boa vontade e pena da vítima, com uma história bonitinha e bem elaborada tenta extrair informações pessoais como nome, endereço, telefone, email, informações bancárias e outras.

No email o atacante, trataremos aqui como Ruth, informa que é uma refugiada de um campo de concentração no Senegal e que precisa de dinheiro, cerca de 300 dolares para conseguir um passaporte e fugir de lá. O golpe é tão complexo que tem no email um telefone e pelo código de área é realmente de lá!

O email chegou escrito em um português horrível, traduzido porcamente do inglês, onde em alguns casos é necessário adivinhar o que está escrito. Este foi um ponto fraco, um leigo entenderia e cairia no golpe, mas se pararmos para pensar, se você "conheceu" uma pessoa que mora em um outro país, fala outro idioma e você gosta muito dela, o mínimo que você vai fazer é tentar aprender o idioma para se comunicar bem com ela, e não jogar no tradutor do Google.

Veja algumas partes do texto onde isso fica óbvio:

Eu ouvi muito sobre você por Miss Ruth e eu tenho também contatou um daqueles que está trabalhando em Costa do Marfim Embaixada...

... vai custar a soma de $325 dólares nos (duzentos e vinte e cinco dólares americanos) para obter seu passaporte internacional.  ...

Meu amigo respondeu o email inicial que explicava o "pedido de ajuda" dizendo que iria depositar e ele até chegou ligar para confirmar e realmente existe no outro lado da linha, seja onde for uma igreja chamada Christ The Mission Evangel que era onde a Ruth estava.

Neste momento uma pessoa normal e leiga já teria sentido pena da situação e em alguns casos já estaria anotando as informações do banco para realizar o depósito. Nossa surpresa foi que ele recebeu um email como resposta ao email dele, neste email a Ruth já mostra suas "reais" intenções que o ama e quer casar com ele, e se ele a ajudar ela da para ele toda a fortuna que o falecido pai deixou para ela (se não me engano algo em torno de 5 milhões de dólares).

Veja mais algumas partes:

Fico feliz em escrever para você , como você está? Eu espero que você esteja bem, eu agradeço a Deus por você . Sua mensagem foi um alívio total para mim. Que Deus proteja você para mim, porque ele é o único que você trouxe na minha vida. Eu gosto dele para fazer afastado para você , meu amor, eu amo o jeito que você parece para mim, e eu prometo estar com você e eu gosto de você para me ajudar a sair deste acampamento para que eu venha ao seu país e ter uma vida livre.

Neste campo , somos muitos que vivem como refugiados e nossa liberdade é restrita , porque não temos qualquer documento de viagem. É como uma estada na prisão, e espero que por graça de Deus eu vou sair daqui muito em breve. 

A única pessoa que eu tenho agora é o Reverendo LEVI MARK , que é o ministro encarregado do reverendo da igreja aqui no acampamento (Christ The Mission Evangel). 

Querida, fique à vontade para me ligar através do seu número , porque eu contei a ele sobre você, por favor.  

Enquanto isso, eu gosto de você para me ajudar a processar e transferir esse dinheiro para sua conta como o meu " parceiro estrangeiro"... 

A algum tempo atrás eu comentei sobre o livro do Dr. Ekman que eu estava lendo, o Social Engineering: The Art of Human Hacking, onde em um capítulo ele explica porque que uma das estratégias mais eficazes é a de causar na vítima a sensação de que é amada e isso a tornará curiosa. Lembra dos scams do final da década de 90 que ainda é visto por ai até hoje? Aqueles email que todo mundo recebia que dizia algo como "sou sua colega de escola e sempre fui apaixonada por você mas nunca tinha coragem de dizer, hoje eu tenho, clique aqui e fale comigo."

Esse email é basicamente uma evolução absurda daquele tipo de golpe.

Então pessoal, minha dica é, muito cuidado com o que você recebe por ai, você nunca vai receber nada de graça na internet, o amor da sua vida não está preso do outro lado do oceano te mandando emails amorosos e etc. Você que lê o blog tem pelo menos uma mínima noção do que é ou não um golpe, mas será que aquela sua tia que te manda milhares de solicitações de jogos no Facebook sabe? Faça uma boa ação e alerte as pessoas mais leigas sobre esse e outros golpes do mesmo estilo.

Veja os emails completos no pastebin!

Read More

Hackers brasileiros enviam documento com link para vírus

Links normalmente são incluídos em e-mails, alerta fabricante de antivírus.
Arquivo RTF traz imagem com link e praga digital embutida.

A fabricante de antivírus russa Kaspersky Lab alertou nesta terça-feira (5) que hackers brasileiros estão utilizando uma tática diferente para propagar pragas digitais que roubam senhas de banco. A técnica está na inclusão de um documento anexo no formato RTF (Rich Text Format), um padrão criado pela Microsoft para exportação de documentos do Microsoft Word.

Dentro do arquivo RTF os criminosos incluem uma imagem com instruções para que a vítima clique duas vezes para ampliar a foto. Caso a orientação seja seguida, uma janela para a execução de um programa aparecerá. Se o usuário autorizar, o computador será então infectado com o vírus.

Arquivo traz imagem que, se clicada, tenta abrir um programa malicioso. (Foto: Reprodução/Kaspersky Lab)

A praga foi analisada pelos analistas de vírus Fabio Assolini e Dmitry Bestuzhev. "O uso dessa técnica permite aos cibercriminosos burlar os filtros de e-mail por extensões de arquivos, visto que raramente arquivos DOC e RTF são bloqueados. Nós temos certeza que tal técnica passará a ser usada com mais frequência entre os cibercriminosos brasileiros", escreveram os especialistas.

A técnica difere do método comum de distribuição de pragas brasileiras, que consiste no envio de um link para o vírus em mensagens de e-mail. O arquivo RTF, segundo a Kaspersky Lab, é incluído como anexo da mensagem, e a imagem dentro do documento possui um link para um vírus que está embutido dentro do próprio arquivo.

Brecha em processamento de imagem
Também nesta terça-feira, a Microsoft divulgou um alerta sobre uma brecha no componente Microsoft Graphics, usado para o processamento de imagens em alguns produtos da empresa, entre eles o Microsoft Office. A vulnerabilidade permite que uma imagem maliciosa incluída em um documento do Word faça com que o sistema seja infectado com um vírus com a abertura do arquivo, por exemplo.

A falha já está sendo usada em ataques direcionados contra alvos não revelados pela Microsoft. Não há relação da brecha com os ataques identificados no Brasil.

Fonte:  G1

Read More

10 vantagens de uso do correio eletrônico Expresso

Os recentes casos de espionagem praticada pelo governo norte americano contra líderes de diferentes estados, incluindo o Brasil, colocaram em pauta a necessidade e viabilidade de alternativas tecnológicas que coíbam tais ações.
Dentre as tecnologias alvo de debate, o e-mail ocupa um papel de destaque, uma vez que há fortes indícios de que a presidente da República, Dilma Rousseff, teve a sua privacidade violada. Neste artigo elencamos 10 motivos que tornam o correio eletrônico Expresso uma excelente alternativa e que permitem entender um pouco melhor, do ponto de vista técnico, a opção feita recentemente pelo Governo Federal.

1º Segurança #1: não quer dizer que "de cara é mais seguro", mas podemos ver o código fonte, o que ele faz e como faz. Isso permite auditoria e correção sem ter que pedir permissão para nenhuma entidade internacional. Neste linha de ação, auditoria e correção, podemos afirmar que ele sempre será mais seguro que qualquer solução proprietária. Ainda assim, só acertando as vulnerabilidades no código, não quer dizer que se finaliza o processo de segurança. Ele é somente um pequeno pedaço, mas de extrema importância, pois não adiantaria ter todo um processo de segurança com criptografia, tráfego, uso de ferramentas para sumir com cabeçalhos de mensagens, se não pudéssemos auditar o código.

2º Segurança #2: seu código está mais seguro. Recentemente a comunidade em parceria com órgãos governamentais realizaram testes de vulnerabilidade para identificar e corrigir falhas de segurança.

3º Segurança #3: o Expresso já implementa certificação e assinatura digital. Precisamos apenas ter certeza de que não estamos usando produtos que geram chaves viciadas. Nisso o Governo não pode ser ingênuo.4º Integração: todos os elementos que compõem a infraestrutura do Expresso segue padrões de segurança em desenvolvimento e padrões de protocolo de comunicação, facilitando a integração com outros ambientes heterogêneos como Microsoft Exchange/Outlook, IBM Lotus Notes, entre outros. Dependendo a confidencialidade da mensagem, o melhor é não integrá-lo.

5º Ecossistema: Atualmente varias instituições públicas e privadas já utilizam o Expresso como solução de correio eletrônico, sendo que seus usuários e desenvolvedores já estão familiarizados com a ferramenta, inclusive a 4Linux.

6º Independência: não dependemos de aprovação de empresas estrangeiras para fazer as alterações que o Governo precisa. Não ficamos reféns do suporte de outro país.

7º Arquitetura: é modular e escalável. Isso garante a redundância e diminuição no tempo de disaster/recover.

8º Performático: os elementos que compõem o Expresso são largamente utilizados em renomados provedores de correio e datacenters.

9º Coorporativo: o Expresso já está adequado ao uso corporativo, integrando vários serviços (e-mail, agenda, tarefas, instant messager) em uma única tela.

10º Multiacesso: de qualquer dispositivo que tenha navegador (PC, tablet ou smartphone), é possível acessá-lo.

Fonte: 4Linux

Read More

Certificado digital garantirá segurança de e-mail do governo

A partir do ano que vem, todos os funcionários do governo federal, inclusive a presidente Dilma Rousseff, terão que usar um certificado digital para acessar a conta de e-mail.

O sistema, chamado de Token, funciona como um pen drive, que deve ser inserido no computador a cada uso e serve para dar mais segurança e proteger o e-mail de invasões.

O sistema de e-mail chamado Expresso V3, desenvolvido pelo Serviço Federal de Processamento de Dados (Serpro), será universalizado para todos os ministérios, autarquias e fundações até o fim do primeiro semestre do ano que vem. A Petrobras também entrará na lista dos órgãos que passarão a usar o sistema de segurança eletrônica, que permite o uso de e-mails, calendário, mensagens instantâneas para chat e videoconferência.

Além do Token, todas as mensagens enviadas serão criptografadas e a aplicação é toda desenvolvida em software livre. "É um sistema totalmente desenvolvido em software livre, portanto conhecemos tudo o que acontece dentro desses códigos. E isso nos dá a garantia de que os códigos fazem aquilo a que se propõem, não tem nenhuma porta dos fundos fazendo outras coisas. E toda a infraestrutura é do Serpro, operada pelos técnicos do Serpro. Então temos a garantia de que o tráfego das informações que estarão circulando são altamente protegidas”, explicou hoje (14) o diretor-presidente do Serpro, Marcos Mazoni.

Segundo ele, o sistema é 99% à prova de invasão, pois na área da tecnologia da informação, nunca se pode falar em 100% de segurança. “Talvez tenha algum geniozinho de 14 anos de idade pensando em alguma coisa que nós ainda não pensamos”, disse.

Atualmente, 20% dos órgãos federais usam o sistema, entre eles os ministérios do Planejamento e da Fazenda. Os outros órgãos, inclusive parte da Presidência a República, usam sistemas como Microsoft e IBM para a troca de e-mails. As mensagens eletrônicas da presidente Dilma Rousseff, por exemplo, são trocados pelo sistema Outlook, a Microsoft. O presidente do Serpro lembrou que os softwares desenvolvidos nos Estados Unidos obedecem à legislação daquele país, e permitem que as empresas possam acessar o conteúdo das mensagens.

Além da segurança, Mazoni aponta como vantagem para o uso do Expresso a diminuição do custo com as licenças necessárias para o uso dos softwares pagos. Segundo ele, para cada servidor federal, são gastos cerca de R$ 80 com licenças de programas privados de computadores. “Se levarmos em conta que temos cerca e 1,8 milhão de funcionários públicos, estamos falando de alguns milhões de reais em licenças que serão dispensados”, disse.

A universalização da implantação do e-mail seguro está sendo agilizada a pedido da presidente Dilma Rousseff, depois das denúncias de espionagem a mensagens telefônicas e eletrônicas de seu governo. Ontem (13), em mensagem na rede social Twitter, Dilma disse que determinou ao Serpro a implantação do sistema seguro de e-mails no governo federal. “Esta é a primeira medida para ampliar a privacidade e a inviolabilidade de mensagens oficiais. É preciso mais segurança nas mensagens para prevenir possível espionagem", disse a presidente em mensagens no microblog.

O governo também estuda a criação de um e-mail criptografado gratuito, que possa ser oferecido à população em geral. A ferramenta será desenvolvida pelo Serpro e oferecia pelos Correios.

Fonte: Revista Info

Read More

Ministério das Comunicações pede a criação de um e-mail nacional

Correio eletrônico nacional seria uma alternativa mais segura.
Dados ficariam armazenados no Brasil.

As denúncias de monitoramento ilegal de dados de brasileiros pelo governo americano levaram o Ministério das Comunicações a pedir a criação de um e-mail nacional.
Os Correios receberam a tarefa de estudar a implantação de um e-mail nacional com criptografia, que protege a informação. A empresa já trabalhava para criar um sistema de mensagens eletrônicas para fins empresariais, com confirmação de leitura pelo destinatário.
Depois das recentes denúncias de monitoramento ilegal de dados pelo governo americano, o Ministério das Comunicações sugeriu estudos para ampliar esse sistema. Segundo o governo, o e-mail nacional seria uma alternativa mais segura porque os dados ficariam armazenados no Brasil, diferentemente do que ocorre com os provedores estrangeiros.
“É uma decisão que infelzimente não resolve todo o problema. Outras ações precisam ser tomadas já que nós sabemos que a maioria das mensagens eletrônicas elas trafegam como cartão postal. Todo mundo pode vir a ler as mensagens, caso o carteiro tenha acesso a essas informações”, diz Marcelo Lau, professor de Gestão de Segurança da Informação da Fiap.
Um correio eletrônico nacional apenas é viável e elimina o risco do servidor. Os especialistas em tecnologia explicam que a caixa de e-mail, como o nome bem diz, serve só para armazenar as mensagens. É necessário transmiti-las, o que implica em toda uma infra-estrutura impossível de ser controlada.
O caminho que o e-mail percorre até chegar ao destino é complexo. Ele passa por vários servidores, que ligam os computadores à internet. A mensagem pode ser "desviada" do servidor de origem de quem manda o email e também durante a transmissão pela internet via satélite, cabos subterrâneos ou submarinos.
Há ainda o risco do servidor do destinatário ter algum programa espião, sem falar no risco dos usuários que podem ter vírus instalados em seus computadores ou smartphones.
O especialista explica que há dez anos acontece uma ciberguerra entre as nações na rede, que passou da hora do Brasil se defender. “Temos que botar em prática nossa política de cyberdefesa, que está muito bem projetada, mas precisa receber mais investimentos pra que rapidamente o Brasil levante as suas barreiras em relação a isso. E precisamos acelerar esse processo”, diz Marcelo Zuffo, engenheiro eletrônico da Poli/USP.

Fonte: Jornal da Globo

Read More

Como milhares de pessoas podem ter contas em serviços hackeados por um simples descuido

Com o aumento do uso das redes sociais para os mais variados fins e pela quantidade de informações que as pessoas publicam em seus perfis em redes sociais ficou muito fácil consegui informações para um ataque. Se você olhar um livro qualquer de hacking você provavelmente vai encontrar na parte de phishing e enumeração de senhas um conceito sobre engenharia social, que diz que você precisa interagir com a vítima a fim de obter informação suficiente para um ataque, e isso é feito através de contato telefônico, email, contato pessoal e etc, hoje em dia basta acessar o perfil nas redes sociais que você consegue tudo que precisa. Vamos ao caso que percebi ontem.

Eu participo de alguns grupos do Facebook, entre eles alguns específicos para anúncios de compra e venda de diversas coisas, e em um certo momento do dia eu recebi em minha timeline um anúncio de venda de um apartamento no centro da cidade, todo mobilhado, com diversos cômodos e por um preço muito bom, o anúncio era algo como:

"Vendo apartamento todo mobilhado no centro da cidade, com 3 quartos, sala, cozinha, um banheiro, sacada e etc. Por apenas R$... Interessados deixar email que mando fotos."

Por algum motivo esse anúncio chamou minha atenção, não estou querendo comprar um apartamento nem nada mas tinha algo nele que me fez ler. Depois de um tempo olhando para aquele post vi alguns comentários e pessoas deixando emails. Em pouco menos de 10 minutos já tinha mais de 50 emails diferentes no post e isso me deu uma idéia, se eu fosse um hacker malicioso, o que eu poderia conseguir com isso?

Bom, se alguma das pessoas que comentassem fossem alvos de uma empresa que eu estivesse auditando ou algo parecido eu já teria o endereço de email, em muitos casos pessoais e de trabalho. Vi bastante @hotmail, @gmail e @yahoo, mas também vi bastante de domínio particular e alguns mais "importantes" como @gov, @jus, e etc.

Com base nisto eu pensei, "e se eu tentar acessar só com informações obtidas no próprio perfil?". E acabei fazendo isso com os emails públicos como Hotmail, Yahoo e Gmail.

Dos 30 emails que tentei pelo menos 20 eu tive acesso ao email ou consegui resetar a senha facilmente. O que eu fiz foi uma coisa muito básica que muitos deixam passar ou fazem só porque é obrigado para criar o email. Peguei email por email e tentei combinações simples coletadas dos perfis como nomes, datas e etc. Os que eu não consegui acesso por ai tentei pelo botão "esqueci minha senha", onde em todos os casos a pergunta era algo simples como "meu melhor amigo" ou "cidade onde minha mãe nasceu", coisas que eu consegui apenas abrindo o perfil da vítima. No caso do "meu melhor amigo", em alguma foto da vítima tinha uma citação como "eu e meu grande amigo em ..." colocando esse nome em muitos casos me liberou o reset de senha.

E agora, de posse de todos esses emails o que eu poderia fazer? Muitas coisas, posso enviar malwares para todos os contatos que por conhecer o remetente aceitariam sem problema, poderia resetar a senha de todos os serviços que a vítima usa, poderia roubar informações sensíveis e mais uma infinidade de coisas.

E agora explico porque eu fiz isso. Estou realizando um estudo sobre o "elo mais fraco da corrente" em segurança da informação, que nada mais é que o próprio usuário. Coisas simples que o próprio usuário poderia evitar e que pode ter consequências catastróficas em caso de um ataque real e em raras ocasiões um sistema de segurança vai parar um ataque desses, e este teste é uma prova do meu ponto, as pessoas podem se preocupar em trancar a porta da frente, mas acabam deixando a porta de trás ou uma janela aberta.

Mas ai muitos vão dizer, "mas meu email não tem isso, tenho senhas fortes, dicas de senhas difíceis, two-step authentication e tudo mais.", mas se meu alvo for sua empresa, todos os seus colegas tem esse mesmo cuidado? Se for sua família, todos os seus familiares tem esse cuidado? Até aquela tia chata que mal sabe usar o Facebook? Pois é, tenho certeza que não. Este estudo também prova que não é necessário grandes ferramentas e conhecimentos para causar um estrago.

Estou desenvolvendo ainda este estudo, provavelmente até seja meu TCC da faculdade. O que você acha? O que podemos fazer para mudar isso? Que outras ferramentas e métodos podemos usar para proteger os usuários deles mesmos?

OBS: Todos os que tiveram os emails comprometidos foram avisados e instruidos a fortificar suas contas, nada foi acessado, nada foi alterado, removido ou roubado.

Read More

Como mandar emails spoofados anonimamente

Muitos já se perguntaram ou gostariam de saber como mandar emails anonimamente para amigos por pura diversão, ou algo mais. Mas a pergunta é, é possível mandar emails anonimamente, passando pelos filtros anti spam que a maioria dos provedores de email como Gmail, Yahoo e etc usam?

A resposta é SIM, ainda é possível bypassar os filtros de spam e mandar emails para qualquer pessoa. Por exemplo, você pode mandar um email para um amigo com a seguinte informação de remetente.
De: Bill Gates

A arte de mandar esse tipo de email é conhecida como Email Spoofing. Uma das maneiras mais fáceis de mandar um email spoofado é usando seu próprio Servidor SMTP Local. Hoje em dia essa técnica não tem uma taxa de sucesso muito boa, por que os grandes servidores adotaram um bloqueio que impede emails que chegaram diretamente de um PC.

Então, nesse post, vamos ver um novo meio para mandar emails anonimamente (spoofando) que tem uma taxa de sucesso melhor. Se você quer enviar um email anônimo ou spoofado, você deveria enviar usando um Relay Server.

O que é um Relay Server?

Basicamente, um relay server é um servidor SMTP que é marcado como confiável pelo Google, Yahoo, entre outros. Então, se mandarmos um email usando um relay server os grandes provedores vão aceitar cegamente esse email e entregar para seu destino corretamente. Se o servidor não for autorizado, o servidor irá rejeitar o email, por isso que um servidor SMTP qualquer não irá funcionar tão bem.

E então?

Então o que vamos fazer é, encontrar um servidor SMTP que seja confiável para mandar os emails spoofados. Normalmente, quase todos os serviços de hospedagem são confiáveis e estão autorizados. Por isso precisamos encontrar um servidor de hospedagem gratuito que permita o envio de email. A maioria dos servidores gratuitos impede o envio de emails. Feito justamente para combater o spam. Mas por outro lado, todos os planos pagos tem a possibilidade de mandar emails. Assim que encontrar um servidor que aceite o envio de emails, enviar um email spoofado é um passeio no parque. Você só precisa saber como modificar o cabeçalho do email para inserir um "From:" lá.

Temos aqui um script em PHP que permite enviar um email de qualque nome e endereço de email de sua escolha. Segue um passo-a-passo de como configurar:

1- Crie uma conta no servidor de hospedagem que permite envio de emails de sua preferência.

2- Baixe esse script aqui: sendmail.rar

3- Faça o upload dos arquivos sendmail.php, pngimg.php e bg1.PNG no servidor.

4- Mude a permissão dos 3 arquivos para 777.

5- Acesse o seguinte endereço: http://seusite.host.com/sendmail.php

6- Divirta-se :D

OBS: Cuidado com o que você faz, o único que vai responder pelos seus atos é você mesmo

Traduzido e adaptado por mim

Fonte: samhacked

Read More