Cerca de 1 milhão de certificados SSL estão vulneráveis

Cerca de 1 milhão de sites estão sob riscos de segurança porque eles usam SHA-1 algoritmo de hash; que os pesquisadores de segurança rotulou como inseguro. Grande número de sites, incluindo a banca, governo e sites do setor corporativo são SHA-1 certifica que os investigadores encontraram mais vulneráveis.

Paul Mutton pesquisador Netcraft disse; "SHA-1 certificados com base está prestes a ser banido - o / corpo diretivo Navegador Forum CA tem governado há novas tais certificados podem ser emitidos após o início de 2016, e já proíbe quaisquer certificados existentes que são válidos para além do final de 2017. "

Os pesquisadores acreditam que, devido a essas vulnerabilidades; um hacker bem financiado pode facilmente passar por um site SSL que usa um SHA-1 certificado confiável publicamente. Pior ainda, enquanto os navegadores ainda aceitar SHA-1 assinaturas, sites SSL continuam em risco, mesmo após a migração para SHA-2: Se um invasor para comprometer um certificado CA intermediário assinado com SHA-1, ele poderia gerar certificados válidos para domínios arbitrários.

Mesmo depois de todos esses preocupações com SHA-1; as autoridades já emitiu mais de 120.000 SHA-1 certificados; que Mutton encontrado muito chocante. Mas partir do próximo ano estas autoridades estão proibidos de issung estes SHA-1 certificados aos novos assinantes.

Alguns dos certificados emitidos este ano tem uma data de validade para além de 2017; que é muito chocante por causa de SHA-1 é ragarded como fraco e inseguro de algum tempo. As empresas ou proprietários que compraram esses certificados definitivamente substituí-los depois destes relatório antes da sua data de validade.

Fonte: ehacking

Read More

Let’s Encrypt, iniciativa para criptografar toda a web

No último outono americano, a fundação sem fins lucrativos EFF (Eletronic Frontier Foundation), lançou uma iniciativa chamada “Let’s Encrypt” (tradução livre: Vamos Criptografar) que visa emitir certificados digitais TLS gratuitos para qualquer site que necessite.

Hoje, a Let’s Encrypt assinou o seu primeiro certificado, um marco importante no objetivo de criptografar toda a web. A iniciativa permitirá que qualquer site da internet possa proteger seus usuários com certificados SSL/TLS que criptografam todos os dados enviados entre os usuários e o site. A iniciativa também torna a implementação HTTPS mais fácil para qualquer site ou site de compras online, afim de garantir a segurança dos dados de seus clientes.

Especificamente, a Let’s Encrypt promete ser uma autoridade certificadora com as seguintes características:
Gratuita – certificados sem nenhum custo;
Automática – instalação, configuração, bem como renovação dos certificados sem quaisquer ações de administrador;
Segura – a equipe é empenhada em ser um modelo de melhores práticas das suas próprias operações;

Transparente – os registros de todas as emissões de certificados ou revogação estarão disponíveis ao público;
Aberta – a emissão automática e o procedimento de renovação serão publicados como um padrão aberto;
Cooperativa – a iniciativa é uma organização controlada por várias empresas e existe para beneficiar a comunidade.

Acesse a notícia completa no link.

Fonte: Seginfo

Read More

230 mil novos malwares são detectados a cada dia

A PandaLabs confirmou um aumento significativo na criação de novos malwares. No segundo trimestre de 2015, foram estimados uma média de 230 mil novos malwares detectados a cada dia, o que da cerca de 21 milhões de novas variantes nesses três meses.


Comparado com o mesmo período do ano passado, foram registrados 160 mil amostras por dia. São cerca de 43% de aumento. A maior parte destes são variantes de malwares conhecidos, mutados por cyber criminosos para tentar passar pelos antivírus sem serem detectados.

Trojans continuam sendo os mais comuns das infecções (71,16%), contabilizando 76,25% das infecções.

Um dos principais investigados e detectados foi o Cryptolocker, e é possível notar uma sofisticação nas técnicas para infectar os usuários.

Também foi identificado ataques a dispositivos móveis, como os recentes ataques ao Whatsapp. Outro ataque voltado a mobile foi uma campanha de phishing com alvo desenvolvedores de Android, com o objetivo de capturar suas credenciais e enviar malware dentro de aplicativos legítimos.




Para mais informações sobre esta pesquisa veja o relatório aqui.

Fonte: Net-security

Read More

Ataques de malvertising estão cada vez mais constantes

Provavelmente você já deve ter acessado um website onde diversas propagandas aparecem no site, e muitas vezes seu antivirus ou navegador mostra uma mensagem de que a página contem algo que pode danificar seu computador. As vezes também o navegador fica lento e o processamento da máquina sobre ao acessar tal website.

Provavelmente se isso aconteceu com você talvez você tenha sido alvo de malvertising.

O conceito de malvertising é colocar malwares ou exploits em banners de propaganda, e através destes atacar os browsers quando a propaganda é interpretada pelo navegador.

Estes malwares usam em boa parte dos casos, os mesmos sistemas de propagação de anúncios que propagandas legítimas, o que dificulta a identificação. Bons antivirus já estão conseguindo identificar e barra boa parte destes casos, então a melhor solução seria obter algum destes.

Então fica a dica, mantenha sempre seus softwares atualizados e adquira uma solução de proteção. A extensão Adblock e noscript também ajudam nestes casos.

Read More

A maioria das violações de dados podem ser evitadas

A esmagadora maioria das violações de dados em 2014 poderiam ter sido evitadas se as empresas afetadas tivessem aderido a uma dúzia de práticas de segurança, segundo um novo estudo do Online Trust Alliance (OTA).

Ao contrário do que se imagina, apenas cerca de 40% dos incidentes registrados no primeiro semestre do ano passado foram resultado de um elemento externo, sendo que as outras razões revelam causas ​​acidentais ou deliberadas de empregados (29%), dispositivos perdidos ou roubados (18%) e fraude de engenharia social (11%).

Embora as violações sejam vistas como quase que inevitáveis em alguns setores, o levantamento do OTA sugere tornar o gerenciamento de senhas uma prioridade na organização, sendo seguido de perto através da implementação de um projeto de rede de privilégios mínimos, garantindo a segurança em pontos vulneráveis e realizando testes de penetração regulares.

Outras recomendações incluem exigir autenticação de e-mail, tanto interno quanto externo, utilizar o gerenciamento de dispositivo móvel, monitoramento e logging centralizado, usar aplicativos de firewalls na web, bloquear a conectividade Wi-Fi, implementar Always On Secure Sockets Layer (AOSSL) e avaliar constantemente os certificados do servidor.

Esta é uma longa lista. A maioria das empresas vai empregar apenas algumas dessas medidas, mas poucos adotarão todas, especialmente o gerenciamento de senhas e controle de privilégio mínimo. Os endpoints e contas de usuários muitas vezes têm muito poder e alcance como a Sony Pictures recentemente descobriu quando uma única conta de administrador foi responsável por se infiltrar em sua rede e gerar consequências desastrosas.

As empresas estão sobrecarregadas com os crescentes riscos e ameaças, mas ainda assim, muitas não conseguem adotar conceitos básicos de segurança.

Educar empresas sobre os riscos que podem ocorrer em uma estrutura de redes vulnerável, é um trabalho contínuo, mas que ajuda a aumentar a consciência dos executivos sobre a seriedade da situação. Um sistema de gerenciamento de segurança da informação, quando combinado com outros controles, contribui para prevenir, detectar, conter e remediar violações de dados que podem custar a empresa prejuízos graves e irremediáveis.

Fonte: Crimes pela internet

Read More

Hackers vendem informações de saúde no mercado negro

Com o crescente do cyber crime, a indústria da saúde se torna um potencial alvo para os hackers. A segurança dos pacientes pode não esta diretamente ligada com proteção de dados, mas em um documento médico pode ser encontrado informações como endereço, informações médicas e até informações de cartão de crédito. Desde 2009, cerca de 29.3 milhões de fichas de pacientes foram comprometidas.

Custo da informação roubada

Mais e mais informações pessoais de saúde aparecem na deep web. Algumas coisas não podem ser mudadas, como data de nascimento e registro de pessoa. Cada cadastro de saúde pode valer até $363 dólares na Deep Web.

Já ocorreram mais de 270 vazamentos documentados. "Estes vazamentos vão continuar ocorrendo porque a indústria da saúde construiu muitos sistemas com diversos pontos de falha", disse Dra. Deborah Peel, fundadora dos direitos de privacidade dos pacientes em Austin, Texas. 

Estes dados podem ser utilizados para diversos fins, e podem ser classificados como:

- Credenciais: Nome, nascimento, telefone, tipo de plano, e outras informações de cadastro. 

- Completos dossies eletrônicos: Valem muito mais, contam com praticamente todas as informações de uma pessoa, muito utilizada para roubo de identidade. Além de credenciais também contam com email e talvez senhas, números de documentos, ID da empresa/hospital, informações bancárias e de cartão de crédito.

- Kit completo de identificação: Conta com todas as informações das categorias acima, inclusive com cópias físicas e falsificadas de documentos, cartões e identificações.

A indústria da saúde como um todo no momento não leva segurança dos dados no nível que deveria, o que causa cada vez mais problemas, já que lidam com informações críticas. De acordo com as falhas e vazamentos notificados, é claro que a indústria necessita adotar medidas de segurança digital.

Link da notícia completa: http://resources.infosecinstitute.com/hackers-selling-healthcare-data-in-the-black-market/

Read More

Podcast: Hacking Team Hackeada!

E ai pessoal!

Saiu esses dias o novo episódio do podcast Segurança Legal, e o tema é algo muito interessante, o assunto do podcast todo é o caso da empresa Hacking Team que foi hackeada. A polêmica empresa que vendia exploits e 0days para governos e empresas.

De todas as matérias, podcasts e artigos que eu vi sobre o assunto, sem dúvida o Segurança Legal é o que foi mais a fundo e com uma abordagem interessante.

Fica ai a dica, passem lá e escutem este e os outros podcasts do Segurança Legal!

Link: http://www.segurancalegal.com/2015/07/episodio-80-hackingteam.html

Read More

Deseja saber se foi hackeado?

E ai pessoal!

Dando uma volta pela interwebs encontrei um serviço interessante.

Embora não seja uma ferramenta nova, está em uso crescente pela sua capacidade de nos informarem, automaticamente, se a nossa informação (username ou e-mail) for “leakada” na Internet por algum hacker. Isto é bastante útil porque desta forma podemos alterar a password ou assegurarmo-nos de que aquela password leakada não irá funcionar em qualquer outro site (lembra-te: o uso de passwords iguais em vários sites é desaconselhado!).

A ferramenta chama-se “have i been pwned?” (a tradução será algo como “será que fui invadido?”) e permite procurar por mais de 49 sites, 185.229.998 contas, 24.776 publicações de dados e 15.515.025 publicações de contas.

Veja abaixo uma busca por um usuário de um conhecido meu. Esta ferramenta pode ser usada tanto para descobrir se alguma credencial sua foi comprometida e também para descobrir gostos e outras atividades estranhas hehehe :D

Read More

Google Play hospeda falsos aplicativos de Bancos brasileiros

Demorou, mas aconteceu. Cibercriminosos brasileiros já miram seus ataques aos usuários de internet banking móvel, e como esperado, o Android foi a plataforma escolhida. Depois de páginas de phishing em formato móvel, chegou a vez de aplicativos maliciosos publicados na loja do Google Play. Depois da denúncia de um usuário encontramos 2 delas na Play Store, ambas usando o nome de Bancos locais, com funções de roubar credenciais de acesso dos usuários que instalassem esses aplicativos. Esses são tecnicamente os primeiros trojans desenvolvidos por cibercriminosos brasileiros atacando a plataforma Android.

Os aplicativos podiam ser encontradas junto aos aplicativos legítimos - um deles estava hospedado na loja desde o dia 31 de Outubro e registrou mais de 80 instalações, já o segundo estava publicado desde o dia 10 de Novembro e registrava apenas 1 instalação.

Ambos os apps estavam publicados em nome do usuário “Governo Federal”:



Ambos os aplicativos foram desenvolvidos usando o framework "App Inventor", que permite facilmente a qualquer usuário, mesmo os que não possuem conhecimento em programação Java de criar uma aplicação ativa. O resultado geralmente são apps de tamanho grande, com muito "código lixo". Os apps desenvolvido nesse framework contém diversas funções suspeitas, mas para os 2 aplicativos maliciosos encontrados ambos possuiam apenas as funções de carregar figuras e uma URL.

Depois de instalados ambos aplicativos ativam funções de acesso TELNET ao dispositivo, além de realizar o comando de se conectar a um site legítimo de uma empresa, mas que foi alterado para hospedar as páginas de phishing em formato móvel.


A página de phishing em questão seriam abertas pelos aplicativos maliciosos como um iframe, porém algum bom samaritano as removeu do ar, deixando um aviso bastante interessante no site, que era exibido dentro dos apps quando abertos:








Tal fato obviamente tornou o golpe não funcional, mas o fato da publicação de apps maliciosas usando o nome de bancos conhecidos, na loja oficial do Google demonstra a facilidade com que cibercriminosos possuem para publicar conteúdos maliciosos por lá.

Fonte: Kaspersky

Read More

Detento é solto após enviar ordem falsa por e-mail para equipe da prisão

Um detento que estava na prisão por múltiplas acusações de fraude aparentemente voltou a usar seus velhos truques. Neil Moore, 28, obteve um celular ilícito, fingiu ser funcionário do tribunal e enviou um e-mail com instruções falsas de fiança para a equipe da prisão – e foi solto.

Segundo a BBC, Moore estava detido na prisão de Wandsworth, Reino Unido, por fingir ser funcionário dos bancos Barclays, Lloyds e Santander, convencendo organizações a lhe darem quase US$ 3 milhões.

Em sua artimanha mais recente, que um juiz de primeira instância descreve como “engenhosa”, Moore configurou um domínio web falso muito parecido com o endereço oficial do tribunal. Ele registrou o site falso em nome de um investigador; o endereço e detalhes de contato eram dos Tribunais Reais de Justiça.

Moore usou o domínio para enviar e-mails à prisão com instruções para a sua soltura. O engano foi descoberto três dias depois, quando procuradores foram entrevistar o detento, apenas para descobrir que ele não estava mais lá.

E onde está Moore? Bem, parece que ele se sentiu culpado, porque se entregou apenas três dias depois de descobrirem sua ausência. Ele será sentenciado em 20 de abril por oito crimes de fraude e uma acusação de fuga.

Fonte: Gizmodo

Read More

Sirius: Assistente pessoal open source

Programas como o Google Now, a Siri e a Cortana se tornaram bem populares por trazer uma experiência de uso de um gadget de maneira quase que natural, afinal, dar comandos de voz é uma coisa muito simples, além de ser muito útil.

Eu não sei você, mas eu aos poucos fui adaptando-me aos recursos e requintes que um assistente pessoal, especialmente baseado em voz, traz para o usuários de Smartphone, como atual usuário de Android é bem comum eu usar o Google Now para fazer anotações, consultar a previsão  do tempo e até mesmo fazer ligações para algumas pessoas.

Se você procurar um pouco vai encontrar vários artigos que defendem o uso de um assistente ou outro, comparativos entre Siri, Cortana e Google Now são até comuns hoje em dia, porém, todos eles tem uma característica em comum que os faz "farinha do mesmo saco", todos são de propriedade intelectual das empresas que os desenvolvem.

Pensando nisso foi que Jason Mars, um doutorando Universidade de Michigan nos EUA, juntamente com alguns colegas desenvolveu o projeto que eles estão chamando de Sirius, este que seria uma espécie de "paródia" open source da Siri para iDevices.

Veja o vídeo comentando sobre o assunto:

Se você estiver interessado em acessar o projeto para forkear ou ajudar o código está todo no GitHub e você pode acessar clicando aqui.

Fonte: Dio Linux

Read More

VeraCrypt: O sucessor do TrueCrypt

Olá leitores!

Muitos se sentiram órfãos quando receberam a notícia de que a ferramenta de criptografia mais famosa e usada, TrueCrypt tinha sido descontinuada e era considerada insegura pelos próprios desenvolvedores.

Eis que a algum tempo atrás, em quanto o código do TrueCrypt ainda era auditado, um grupo de desenvolvedores de uma tal de CodePlex criou um fork do TrueCrypt.

O grupo garante que resolveu alguns problemas encontrados na primeira parte da auditoria do TrueCrypt em seu fork e também comentaram que vai se manter de graça e open source. O software também mantém seu suporte original a todas as plataformas, Windows, Linux, Mac, Android e iOS.

O fork também suporta todos os algoritmos criptográficos que o TrueCrypt suportava, são eles AES (o mais conhecido e usado), TwoFish, e Serpent.

O VeraCrypt até o momento não suporta os volumes antigos do TrueCrypt, mas tem uma opção para converter seus volumes antigos para o novo formato.

Se olharmos algumas telas do VeraCrypt podemos ver que a aparência e funcionalidade são exatamentes originais ao TrueCrypt.

Veja algumas:

Eu pelo menos não conheço a empresa CodePlex, mas não custa testar o software mesmo assim. O pessoal do podcast Segurança Legal no último episódio comentou que o TrueCrypt ainda pode ser considerado seguro, mas a idéia do VeraCrypt é boa.

Ainda estou testando a ferramenta, logo logo mais novidades.

Se você se interessou segue o link do site oficial.

Read More

Falhas em sites limitam ampliação do acesso digital a bancos

O governo sempre pensou no uso do celular como ferramenta para ampliar a bancarização da população de baixa renda, mas os sites dos quatro maiores bancos do País - Banco do Brasil, Caixa, Bradesco e Itaú - apresentam erros graves que inviabilizam a navegação justamente para os mais pobres.

Pesquisa da empresa deviceLab apontou falhas que inviabilizaram o uso dos sites, como alerta de site não confiável exibida nos navegadores Chrome e Firefox, botões sem função ao toque e teclado do aparelho que sobrepunha campos e áreas de clique.

Das 552 falhas encontradas, 31,2% foram no site do Bradesco, 26% do BB e 25,2% da Caixa. O Itaú ficou com uma parcela menor de erros (17,6%) por ter um sistema mais eficaz de busca de agências no site quando acessados por celular ou tablet. Nenhum dos quatro bancos usam o recurso da geolocalização para indicar, pelo site, a agência mais próxima de onde o cliente está.

A avaliação foi feita, de 23 a 28 de janeiro, com um software especializado em testes automatizados em dispositivos reais, chamado blink. O estudo analisou simulação de crédito imobiliário, busca por agência, página inicial e acesso ao internet banking.

Um dos problemas apontados foi a lentidão para o carregamento da página principal do recém lançado site da Caixa. Em geral, o site leva mais do que um minuto para carregar independentemente do aparelho e do navegador utilizado - de 10 a 20 segundos já é acima do limite considerado aceitável.

Ao digitar o nome do banco direto no navegador, os outros três bancos - BB, Bradesco e Itaú, sugerem com insistência o download do aplicativo do internet banking. O pior é que os bancos públicos não permitem que o cliente acesse sua conta pelo navegador do smartphone e avisam que isso só é permitido pelo aplicativo.

A sugestão de download de um aplicativo de forma tão incisiva torna-se arriscada à medida que o usuário médio brasileiro possui aparelhos antigos e conexão de péssima qualidade, concluiu o estudo.

Para Leandro Ginane, presidente da deviceLab, faltam aos bancos planejamento e testes antes de lançar uma nova versão dos sites.

Ele explica que geralmente os testes são feitos em aparelhos de última geração, com conexão wifi e grande capacidade de memória para suportar cinco ou seis aplicativos rodando simultaneamente em segundo plano.

"A realidade do País é totalmente distinta: a maioria da população pertence à classe C e utiliza celulares menos modernos para acessar bancos, e-commerce e ao mesmo tempo conversar com amigos pelas redes sociais, tudo isso com uma conexão precária", afirma Ginane.

Fonte: Info

Read More

Megachat: O serviço de chat e vídeo criptografado e gratuito

Preocupado com privacidade? É bem possível que se um hacker do governo quiser obter acesso a seus emails e outras comunicações ele vai ter.

O famoso empresário Kim Dotcom, que criou os famosos serviços de compartilhamento Megaupload e Mega, liberou dessa vez um serviço de comunicação criptografado.

O serviço chamado MegaChat tem suporte a chamadas de áudio e vídeo criptografadas ponto-a-ponto. O serviço garante que tem uma proteção muito melhor que seus concorrentes Skype e Google Hangouts.

O MegaChat é gratuito e está disponível no momento apenas direto no navegador.

Para usar o MegaChat basta apenas criar uma conta no Mega, logar no serviço e ir no botão "Conversations", adicionar seus amigos através da conta Mega e sair falando.

Read More

Deseja contratar um hacker? Conheça o Hacker's List

Deseja hackear o Facebook de alguém? Ou conta do Gmail? Invadir a rede de alguém? Mas não tem as habilidades para isso. Não precisa se preocupar. Um novo serviço está disponível para você que quer contratar um profissional para fazer alguma tarefa sobre hacking.

Conhecido como Hacker's List, o novo serviço oferece conectar clientes com "hackers profissionais" para contratação. O serviço permite que qualquer pessoa sem grandes capacidades técnicas e com dinheiro, pode invadir a conta de email do chefe. Isto parece bem com o que aconteceria em um filme. Basicamente contratando hackers para cometer crimes por você.

"Contratar um hacker não precisa ser um processo difícil, nós acreditamos que encontrar hackers profissionais de confiança pode ser sem problemas," diz a descrição do site.

"No Hacker's List nós queremos prover a você a melhor oportunidade de encontrar o hacker ideal para sua necessidade"

O Hacker's List, site com apenas 3 meses de vida - lançado em novembro - já recebeu mais de 500 pedidos de trabalhos. Tem também cerca de 70 hackers anônimos cadastrados, mas a maioria inativo.

O site cobra uma taxa nos projetos quando são finalizados e pagos, bem como serviços de freelancing por ai. Baseado em horas de trabalho, os preços dos hackers variam de US$ 28 até US$ 300 e grandes projetos podem variar de US$ 100 até US$ 5000. Como você pode imaginar, isso é feito de forma anônima, ninguém tem acesso a identidade das partes envolvidas.

Os projetos variam de "Hackear conta do Facebook","Hackear conta do Gmail","Hackear site" até "Hackear contas empresariais". Impressionantemente, muitas oportunidades são para hackear sistemas escolares e de universidades para mudar notas dos clientes.

Veja abaixo alguns exemplos de anúncios que podem ser encontrados no site e os respectivos valores que os clientes estão dispostos a pagar:

• US$ 300 - US$ 500: Preciso de um hack para um jogo de Android chamado "Iron Force" desenvolvido pela "Clillingo". É um jogo com servidor dinâmico, frequentemente atualizado. Bem difícil de hackear. Preciso de um hack que de diamantes e dinheiro do jogo, e se possível um bot na minha conta.
• US$ 10 - US$ 350: Preciso de informações e mensagens de uma conta do Facebook. Outros serviços disponíveis se esse for completo.
• US$ 300 - US$ 600: Preciso de um hacker que mude minha nota. Precisa ser feito em 1 semana.
• US$ 200 - US$ 300: Hackear uma conta de email empresarial. Copiar todos os emails da conta. Enviar spam difamando o empregado dono da conta para uma lista de emails.

O site foi registrado na Nova Zelândia, e se tornou o primeiro site a oferecer serviços de hacking. Mesmo vendo que a maioria das atividades é claramente ilegal, a página de termos e condições do site pede aos usuários que não usem para propósitos ilegais.

Outra possibilidade, apenas especulando aqui, é que este serviço é mantido por alguma agência governamental em busca de novos talentos, ou até mesmo querendo apenas tirar esses caras da internet, muito cuidado com esse tipo de proposta. Vou avaliar o site por um tempo antes de qualquer coisa e recomendo vocês ficarem de olho também.

Read More

Malware misterioso usado para espionar governos e indústrias pode estar ligado à NSA

Descoberta no final do ano passado pela Symantec, uma misteriosa ameaça chamada de Regin pode realmente estar ligada à NSA. Especialistas da Kaspersky chegaram à conclusão após compararem o vírus à parte do código-fonte de um malware da agência norte-americana, o Qwerty, divulgado na última semana pelo jornal alemão Spiegel.

O software malicioso foi usado entre 2008 e 2014 em campanhas de ciberespionagem e ciberataques, que tinham como alvos governos e empresas de telecomunicações, entre outras companhias. Ainda não dá para cravar quem foram os responsáveis pelo desenvolvimento da ferramenta, mas o grau de complexidade da estrutura já apontava mesmo para algum órgão nacional.

Estados Unidos e China já estavam, em novembro, entre os principais suspeitos, e a conclusão tirada pela empresa russa de segurança coloca agora os norte-americanos em “vantagem”.

O código-fonte do malware Qwerty divulgado pelo Spiegel ocupava onze páginas e foi vazado, junto de outros documentos, por Edward Snowden. A ferramenta é, na verdade, um keylogger – tipo de programa capaz de detectar entradas no teclado – que parece fazer parte do “pacote” Regin, segundo a análise da Kaserpsky.

“A maior parte dos componentes do Qwerty usa plugins do mesmo pacote, e há um pedaço do código que se refere a extensões da plataforma Regin”, diz o texto no blog da empresa de segurança. “Uma parte em especial do código é usada tanto no módulo 20123 do Qwerty quanto no 50251 do Regin, e faz referência ao plugin 50225, encontrado no sistema de arquivos virtual da plataforma.”

Então, conforme conclui o estudo da Kaspersky, essas semelhanças entre os códigos são provas concretas de que “o plugin Qwerty pode operar apenas como parte da plataforma Regin” – e é, de fato, um módulo do pacote como um todo. Além disso, segundo o Spiegel, essa “caixa de ferramentas” ainda pode ser usada por diferentes órgãos de diferentes países.

Por estar diretamente relacionada ao desenvolvimento do keylogger, a NSA – e seus aliados do Canadá, do Reino Unido, da Nova Zelândia e da Austrália – se torna, na visão da publicação alemã, a principal suspeita de ser a responsável pela plataforma de ciberespionagem. Mas ainda há descobertas por vir – segundo a reportagem, a própria Kaspersky já encontrou rastros do Regin “em computadores pertencentes a 27 multinacionais, governos e pessoas”.

Fonte: Info

Read More

Cyanogen quer criar a sua própria versão do Android

A Cyanogen começou como apenas uma modificação da ROM do Android original para alguns aparelhos com a intenção de melhorar o desempenho dos dispositivos e de eliminar o "entulho" que algumas operadoras e fabricantes colocam nele.

Com a popularização da modificação a então CyanogenMod passou a se chamar apenas Cyanogen e produzir versões regulares dos Androids para mais e mais aparelhos e conseguiu até mesmo vir como padrão em alguns dispositivos no lugar do Android original, entretanto, parece que esta parceria entre a Cyanogen e o Google está um pouco desgastada pelo olhar de Kirt McMaster, CEO da Cyanogen.

Segundo ele a Google não deixa o Android tão aberto quanto poderia o que impede que determinados recursos possam ser acessados e melhorados, segundo ele o acesso ao "núcleo" do Android somente o Google tem e é por isso que aplicações de terceiros não conseguem usar recursos como o Google Now e seus comandos de voz a não ser os apps do Google.

A ideia inicial da Cyanogen é criar um fork do Android, o Google permite isso, a licença open source do Android permite isso, mas o que o Google não permite é que seus aplicativos rodem em sistemas forkeados, ou seja, um possível Cyanogem ROM independente do Google não poderia trazer a Google Play, Gmail ou qualquer outro App do Google, o que dificulta um pouco as coisas.

Mesmo assim o CEO da Cyanogen se mostra otimista e cogita a possibilidade de criar uma loja de Apps própria, desta forma gerando mais receita para a empresa.

E você leitor, o que achou da declaração, você acha que a Cyanogen produz um Android mais bem acabado do que o Google? Deixe sua opinião nos comentários.

Fonte: Android Authority

Read More

Serviço do Lizard Squad que vendia ataques DDoS sofre vazamento de dados

Lançado no final do ano passado pelos hackers do Lizard Squad, o serviço de venda de ataques DDoS (sigla para "ataques de negação de serviço distribuídos") LizardStresser foi invadido e dados de seus clientes foram vazados. A informação foi confirmada pelo especialista em segurança Brian Krebs, que afirmou em seu blog ter obtido acesso a todo o banco de dados de usuários cadastrados no site – pouco mais de 14 200 pessoas.

O LizardStresser foi lançado no final do ano passado, depois que seus fundadores ganharam notoriedade por derrubar (e manter fora do ar) as redes da Xbox Live e da PlayStation Network. Os ataques DDoS serviram como uma vitrine para o grupo, que, no fim das contas, não era exatamente tão profissional quanto aparentava.

Além de ter o próprio site invadido, o grupo mantinha logins e senhas dos possíveis clientes em plain text -- ou seja, sem proteção alguma, como se estivessem em um bloco de notas. Fora esses deslizes, um dos membros do esquadrão ainda foi detido na semana passada no Reino Unido, e outros dois tiveram a mesma sorte entre a virada do ano e o começo de janeiro.

No “mercado de ataques DDoS”, interessados podiam contratar golpes do tipo por preços que iam de 6 a 500 dólares, segundo o The Guardian. Os valores eram pagos em bitcoins, e de acordo com Krebs, mais de 11 mil dólares -- vindos de algumas centenas de usuários cadastrados -- foram arrecadados com as vendas de ataques.

Também segundo informações do especialista em segurança, o tráfego usado para derrubar páginas e redes vinha de uma botnet formada por milhares de roteadores hackeados. O grupo dizia, na descrição do serviço, que tinha entre 100 e 125 Gbps de “poder de fogo” disponível para saturar os alvos e tirá-los do ar.

Fonte: Info

Read More

Programadores trabalham em nova geração de e-mail totalmente criptografado

As empresas Silent Circle e Lavabit se juntaram para criar o Dark Mail Technical Alliance, um grupo que está trabalhando em uma nova geração de e-mail totalmente criptografado.

Segundo o próprio Dark Mail diz em seu site oficial, sua missão é “trazer ao mundo nosso protocolo e nossa arquitetura criptografados que são a 'próxima geração de e-mail privado e seguro"."Silent Circle e Lavabit estão desenvolvendo uma nova forma de fazer e-mail com criptografia end-to-end. Damos as boas vindas a organizações semelhantes que queiram se juntar à nossa aliança".

A empresa diz, ainda, que a Silent Circle e a Lavabit agora trabalham para trazer outros membros para a aliança e auxiliá-los na implementação do novo protocolo e, em conjunto trabalhar para proliferar o primeiro ‘“-mail 3.0’ criptografado do mundo por meio de provedores de e-mail do mundo todo.

"Nosso objetivo é abrir o código do protocolo e da arquitetura e ajudar os outros a implementar esta nova tecnologia para responder às preocupações de privacidade contra a vigilância e as ameaças de back door de qualquer tipo”. 

Os interessados podem deixar seu e-mail na Mailing List do site para receber novidades sobre o Dark Mail.

Fonte: Info

Read More

Hacker vazam SKD do Xbox One, o que pode permitir a criação de apps para o console

A algumas semanas atras, no natal, as empresas Sony e Microsoft sofreram um ataque DDoS que tirou e deixou instável por várias horas as redes de jogos do Playstation e do Xbox, mas esse não foi o fim das preocupações da Microsoft.

Desta vez, não foram serviços, mas sim o software de desenvolvimento (SDK) do Xbox One, que já está circulando pela internet. Com o SDK disponível é possível que diversos aplicativos "caseiros" para o console.

O grupo divulgou o SDK no Twitter oficial e o vazamento conta com o SDK, as ferramentas e plugins auxiliares, firmwares e documentação.

O grupo H4LT alegou que a divulgação do SDK serve para permitir "mais criatividade e pesquisa, pelos aplicativos caseiros"

Veja explicação que o grupo deu ao TechGame, via direct message do Twitter:

Nós vazamos para a comunidade porque se alguma coisa é compartilhada, o progresso é alcançado mais rápido que sozinho. Compartilhar com a comunidade = criatividade e pesquisa. O SDK vai basicamente permitir que a comunidade abra portas e criem funcionalidades que ainda não estavam disponíveis no Xbox One.

O grupo também falou que não estava envolvido nos ataques de DDoS do Lizard Squad, e em um tweet direto ao grupo o H4LT atacou: "Vocês se divertem em derrubar servidores. Porque não nos divertir vaz-*COF COF* dando isso?"

Fonte: The Hacker News

Read More