Info Seg

Complexidade de senhas

noreply@blogger.com (Anonymous) — Tue, 25 Jun 2013 22:35:00 +0000

No post anterior demos uma introdução segurança de senhas, mostrando sua importância e suas fragilidades. Vamos olhar hoje o conceito de senhas fortes, e como podemos criar senhas que vão realmente proteger nossas informações.

Quando vamos criar uma senha temos de nos preocupar se ela vai ser fácil ou difícil de ser adivinhada. Obviamente senhas que tem nossa data de nascimento, nome ou palavras comuns como base são fáceis de serem adivinhadas. Mas e quanto aquelas senhas aleatórias?

Essas podem ser fáceis ou difíceis de serem adivinhadas.

O ideal é que nossa senha seja uma dentre várias, que não permita a um atacante adivinha-la facilmente. Quando criamos uma senha, o número de possíveis senhas é dado pela quantidade de caracteres possíveis elevado ao número de caracteres da senha. Ou seja, se fossemos fazer uma senha de quatro caracteres numéricos (de 0 a 9) nos poderíamos ter no máximo 10^4 senhas, ou seja: 10.000 senhas diferentes. Se fossemos tentar adivinhar essas senhas manualmente essa poderia ser até uma quantidade segura, mas com a tecnologia disponível hoje em dia isso é pouco.

Quando criamos uma senha que tem somente letras minúsculas nós temos um total de 26 caracteres disponíveis, veja na tabela abaixo o número de senhas possíveis, a depender do comprimento da senha:

#Caracteres	#Senhas
4	456.976
5	11.881.376
6	308.915.776
7	8.031.810.176
8	208.827.064.576

Note o aumento do número de senhas. Cada vez que colocamos mais um carácter em nossa senha, multiplicamos o número de possíveis senhas por 26. Quando vamos de 4 caracteres para 8 nós aumentamos o número de senhas em mais de 405.000 vezes!!!

Agora vamos ver o que acontece quando passamos a usar letras maiúsculas, além das minusculas, para compor nossa senha:

#Caracteres	#Senhas
4	7.311.616
5	380.204.032
6	19.770.609.664
7	1.028.071.702.528
8	53.459.728.531.456

Com oito caracteres temos mais de 53 TRILHÕES de possíveis senhas. Que diferença das cerca de 450.000 mil senhas que tínhamos no começo, não?

Quanto mais tipos de caracteres compõe nossas senhas, mais aumentamos a dificuldade de ataques, ou seja, devemos tornar nossas senhas o mais “complexas” possível. Senhas complexas são aquelas compostas por diversos “conjunto de caracteres”. Os conjuntos de caracteres são: letras minúsculas, letras maiúsculas, números e caracteres especiais (!, @, #, $, etc).

Vejam o número possível de senhas quando usamos todos esses conjunto de caracteres:

#Caracteres	#Senhas
4	18.974.736
5	1.252.332.576
6	82.653.950.016
7	5.455.160.701.056
8	360.040.606.269.696

Como vamos ver na seção que trata de ataques de força bruta, mesmo tendo 360 trilhões de senha, senhas de 8 caracteres podem ser quebradas em menos de 15 dias, usando os recursos computacionais comuns, disponíveis atualmente.

Senhas ditas seguras, hoje em dia, possuem pelo menos, 20 caracteres. Mas isso são senhas de padrão militar, que preveem ataques e que se comprometidas podem causar a perda de vidas. Para o nosso uso diário, senhas de 10 a 12 caracteres são suficientemente seguras e também não são difíceis de lembrarmos.

Uma dica para criar senhas complexas

Uma dica que eu costumo sempre usar para criar novas senhas é fazê-las baseadas nas iniciais de uma frase, que eu sei que vou lembrar.

Por exemplo, se eu precisasse hoje de uma nova senha eu podia criar uma frase simples como.

Esse blog de Segurança está dando muitas Informações uteis!

Com base nessa frase eu pegaria as iniciais de cada palavra (eu coloquei as palavras Segurança e Informações em maiúsculas de proposito, para termos letras maiúsculas na nossa senha), para compor a senha. Então teríamos a seguinte senha:

EbdSedmIu!

A senha está bem aleatória e tem 3 conjuntos de caracteres, mas ainda falta colocar números nessa senha. Para fazer isso podemos trocar algumas letras por números. Normalmente essa troca é feita trocando letras por números que se parecem com elas. Substituições comuns são trocar o E pelo 3 e o S pelo 5, e o A pelo 4, por exemplo. Se aplicarmos essa ideia na nossa senha acima acabamos com a seguinte senha:

EbdS3dmIu!

Note que essa senha atende todos os requisitos que colocamos acima: tem vários tipos de caracteres, é aleatória (para quem vê de fora), e tem 10 caracteres. Do mesmo jeito que criamos essa senha podemos criar muitas outras.

No próximo post vou falar sobre os possíveis ataques as senhas, e aí sim, vamos ver o quão fracas senhas mal pensadas realmente são.

Introdução à segurança de senhas

noreply@blogger.com (Anonymous) — Fri, 21 Jun 2013 23:03:00 +0000

O uso de senhas como meio de controle de acesso as informações é o mais difundido no mundo digital nos tempos atuais. No entanto, de maneira geral, o uso de senhas não é "levado à sério" pela maioria dos usuários. Muitos acham que somente por colocar uma senha seus arquivos/sites/documentos estão protegidos.

Ainda hoje existem muitos usuários que anotam suas senhas em pedaços de papel e colocam esse papel colado no monitor, ou embaixo do teclado! Outros, para nem se darem ao trabalho de anotar suas senhas, usam senhas fracas, como a data de nascimento ou o próprio nome.

Quando usamos senhas como método de controle de acesso, basta que algum atacante "adivinhe" a senha para ter acesso aos dados que deveriam estar seguros. As técnicas para adivinhar as senhas são variadas, a mais básica delas envolve convencer o próprio usuário a entregar a senha (a chamada engenharia social).

Quando usamos senhas fracas, nos tornamos o trabalho dos atacantes ainda mais fácil. As primeiras senhas que são testadas são as mais óbvias (data de nascimento, CPF, nome de filhos, mãe, esposa, etc). E o número de acertos é grande!

Existem também aquelas palavras comuns, que muitos usam. Uma pesquisa publicada em 2012 (http://splashdata.com/press/pr121023.htm) mostram os passwors mais usados (entenda-se hackeados) no mundo, no top da lista está a senha password, seguido de perto por 123456. Jesus está em 21º lugar!

No entanto existem outras técnicas usadas para tentar se descobrir as senhas usando os computadores, técnicas automatizadas. As duas mais comuns são a força bruta, e os ataques de dicionário (vamos falar sobre elas depois...).

Nos próximos posts vamos ver que se usarmos senhas simples, ou pequenas, nós estamos tornando o trabalho dos atacantes mais fácil, pois, dado o poder computacional de hoje em dia, as senhas podem ser quebradas em pouco tempo (horas, ou dias).

Depois vamos estudar como funciona a complexidade de senhas (porque senhas "complexas" são mais seguras), além de analisar ferramentas para quebra de senhas.

No final vamos passar por algumas dicas de como tornar o uso de senhas mais seguro.

Hardenização - O que é?

noreply@blogger.com (Anonymous) — Sun, 16 Jun 2013 04:24:00 +0000

Nesse post, vou fazer uma rápida introdução sobre o que é hardenização. A palavra pode não ser tão comum, nem tão conhecida, mas todo mundo que se preocupa com segurança já fez hardenização alguma vez na vida.
Hardenização é a técnica de deixar os sistemas mais seguros contra ataques. Essa técnica consiste em desabilitar os serviços não necessários no sistema, deixando somente o essencial ao funcionamento que desejamos. A ideia aqui é diminuir a “superfície de ataque” que um sistema possui.
A superfície de ataque consiste em todos os elementos passiveis de ataque em um sistema, sejam eles contas de usuários, aplicativos em execução, funcionalidades habilitadas, permissões de acesso “abertas” demais, entre outras.
Existem diversas técnicas para se alcançar esse resultado, e alguns sistemas são mais facilmente hardenizados do que outros. O Windows Server, desde sua versão 2008, adotou mais profundamente a ideia de hardenização oferecendo diversas possibilidades para reduzir sua superfície de ataque. A mais “radical” implementação foi a disponibilização do modo “server core”.
Nessa modalidade de instalação o Windows é removido de todos os componentes não indispensáveis para o funcionamento do sistema, incluindo todas as interfaces gráficas de configuração.
Além disso, a instalação padrão do Windows 2008 vem sem nenhum serviço instalado por padrão. Melhor do que isso: ele vem sem nenhum serviço instalado! Isso quer dizer que não existe o risco de habilitarmos algum serviço, a não ser que realmente desejemos fazê-lo.
Uma técnica comum para a implementação de hardenização é a do privilégio mínimo. A ideia dessa técnica é que somente devemos conceder permissões que realmente serão necessárias para a execução de uma tarefa, e nada além disso.
Por exemplo, se formos instalar um servidor Web, é obvio que esse serviço não precisa ser executado com permissões de administrador, embora essa seja uma prática comum, por questões de facilidade. No entanto, se o servidor apresenta alguma vulnerabilidade, os ataques que exploram essa vulnerabilidade terão acesso de administrador a máquina.
As melhores práticas ditam que devemos criar um novo usuário, com permissões restritas as pastas que contenham os arquivos que serão servidos, e usar esse usuário para executar o servidor web. Dessa maneira garantimos que, caso o serviço seja comprometido, somente a pasta que esse usuário tenha acesso estará exposta. O resto do servidor continuará seguro.
Em um próximo post, vou falar de algumas técnicas para a hardenização de servidores Windows 2008 e Linux.

Firefox 2 não será mais atualizado

noreply@blogger.com (Anonymous) — Wed, 17 Dec 2008 16:00:00 +0000

Foram lançadas hoje as versões 3.0.5 e 2.0.0.19 do Firefox, que corrigem inúmeras vulnerabilidades detectadas nos últimos tempos.

Um fato importante com esse lançamento é que o Firefox 2 não receberá mais nenhuma atualização de segurança ou de estabilidade. O recurso de antiphishing não estará mais disponível para os usuários do Firefox 2. Com isso todos aqueles que ainda usam o FF2 tem de correr para se atualizar.

É bom notar que segundo a Net Applications 4,8% dos internautas ainda usam o FF2 hoje, contra 15,75% que usam o FF3.
Levando isso em conta acho que a Mozilla tinha de fazer uma campanha mais massiva para incentivar as atualizações.

Fonte: LWN

Microsoft lança patch de emergência para falha no IE

noreply@blogger.com (Anonymous) — Wed, 17 Dec 2008 12:50:00 +0000

A Microsoft vai lançar hoje (17/12) um patch para uma vulnerabilidade crítica do IE que permite que crackers tomem conta de computadores de usuários através de sites forjados.

A falha, aparentemente, foi divulgada por uma firma de segurança Chinesa, que acreditava que a M$ já havia corrigido a vulnerabilidade. Ledo engano!

Depois da divulgação a vulnerabilidade se espalhou e hoje estimasse que já hajam mais de 2 milhões de computadores dominados no mundo.

No que só pode ser uma piada, a Microsoft anunciou que, equipes de segurança do mundo todo foram acionadas para disponibilizar o patch no "prazo sem precedentes de oito dias". Oito dias para consertar um zero-day exploit... realmente sem precedentes!

Anyway... o patch deve ser lançado hoje e é recomendado que todos instalem ele o mais breve possível.
O Security Advisory que fala sobre a vulnerabilidade é o 961051.

Fontes: The Inquirer, AFP e Security Focus

Google Chrome: O pior em gerenciamento de senhas

noreply@blogger.com (Anonymous) — Mon, 15 Dec 2008 11:49:00 +0000

Você usa o seu browser pra guardar as senhas de todos aqueles sites que você visita? Você também usa o Google Chrome? Então, segundo uma pesquisa da Chapin Information Services você pode estar em grande perigo.

O que acontece é que, segundo os pesquisadores, vários browsers não fazem checagens "básicas" para garantir que eles estão enviando a sua senha para o site correto, o que pode causar uma grave falha de segurança quando você tenta acessar uma página que foi feita para pedir uma senha especifica (como a do Orkut, por exemplo).

Ainda segundo o site a vulnerabilidade já havia sido identificada dois anos atrás no Firefox, e já foi corrigida. Ainda no quesito "gerenciamento de senhas", os browsers mais bem classificados foram o Opera e o Firefox, com o IE 7 vindo em terceiro e por último o Safari e o Chrome.

Fonte: The Inquirer

IE tem menos bugs que o Firefox?

noreply@blogger.com (Anonymous) — Thu, 11 Dec 2008 19:20:00 +0000

É o que um teste realizado pelo uTest revela.
Antes de mais nada, o que é o uTest? Basicamente? Uma "Bug Party" :)
Não... sério... Pelo que entendi é uma empresa que usa bug testers ao redor do mundo para testar softwares. Essa empresa pode ser contratada para fazer o beta test de softwares antes desses atingirem o mercado.

Agora, qual a razão deles terem feito esses testes com os navegadores vai além do meu conhecimento.
Mas enfim... os resultados!

IE8: 356 testadores, 168 bugs (9% críticos)
FF 3.1b: 514 testadores, 207 bugs (24% críticos)
Chrome: 461 testadores, 297 bugs (12% críticos)

Os testes foram realizados por equipes diferentes, de tamanhos diferentes, então o resultado não é nada "cientifico" (o Firefox foi o que tinha mais gente procurando bugs).
Será que o IE8 ta ficando bom mesmo? Só espero que eles mandem esses bugs para as empresas desenvolvedores pra que todos sejam resolvidos o mais breve possível.

Google Handbook para segurança de navegadores

noreply@blogger.com (Anonymous) — Thu, 11 Dec 2008 12:34:00 +0000

A Google lançou recentemente um livro online sobre segurança de navegadores. O livro é indicado "para prover os desenvolvedores de aplicações web, desenvolvedores de browsers e pesquisadores de segurança da informação com uma fonte única de referência para aspectos chave das propriedades de segurança de browsers atuais".

Dei uma rápida olhada e eles fornecem comparações de como o IE (6 e 7), Firefox (2 e 3), Opera, Chrome e Safari executam e verificam várias opções para navegação. Documento realmente interessante para quem quer escrever aplicações seguras para todos os navegadores disponíveis.

O livro tem cerca de 60 páginas, é atualizado constantemente (é Wiki), e está disponível gratuitamente aqui.

Modulo do Iptables permite regras baseadas no SO

noreply@blogger.com (Anonymous) — Tue, 09 Dec 2008 13:31:00 +0000

Descobri hoje um projeto que parece ser bem interessante, chamado osf, que permite que usemos o tipo do sistema operacional para criar regras no Iptables. Assim podemos, por exemplo, impedir qualquer comunicação vinda da porta 445 de uma máquina Windows se chegue a nossa rede interna (afinal, existe uma grande chance disso ser um vírus ;) ). Brincadeiras a parte as possibilidades são grandes, e fica a cargo da imaginação de cada um.

O que o OSF faz é usar uma técnica conhecida como passive finger printing para descobrir qual o sistema operacional está originando a comunicação. Ele faz isso usando vários campos do protocolo TCP/IP que, a depender do valor, identificam (de forma aproximada), um sistema operacional. Essa mesma técnica é usada em outros programas como o p0f, mas a implementação para o iptables é única.

O osf usa uma lista de assinaturas disponível pelo pessoal do OpenBSD, mas a lista parece não ser atualizada a mais de dois anos, então alguns sistemas novos talvez não sejam reconhecidos.

No site do projeto tem um passo a passo explicando como instalar/usar a ferramenta. Vou tentar brincar com ela esses dias daí posto uma mensagem aqui explicando como o bixinho funciona.

Número de novos virus para Mac cai

noreply@blogger.com (Anonymous) — Mon, 08 Dec 2008 17:22:00 +0000

Mas isso não torna o Mac seguro. É o que diz Andy Greenberg da Forbes.

Tudo começou recentemente, quando houve um grande estardalhaço na mídia graças a um anúncio no site da Apple recomendando a instalação de antivírus nos Macs. Claro que a mídia caiu em cima dizendo que isso era um sinal que o OS-X não era mais tão seguro. De imediato a Apple tirou o anúncio do ar e disse, para todo mundo ouvir, que usuários de Mac não tinham com o que se preocupar, que o Mac era seguro por natureza.

Para completar recentemente a F-Secure anunciou que o número de vírus detectados para Mac nos últimos seis meses havia caído. Nos últimos meses foram detectados 17 novas ameaças, contra 61 e 107 nas últimas avaliações.

Seria então o Mac realmente seguro? Claro que não!
A grande justificativa dessa "falta de vírus" para Macs é a mesma de não existirem muitos vírus para Linux: eles ainda não dominam o mercado. Hoje em dia o Mac é responsável por 9% do mercado global de micros, o que ainda é pouco . No dia em que ele ou o Linux ocuparem uma marca expressiva do mercado (25% ou mais), pode ter certeza que você vai ouvir falar de vírus para esses sistemas. Se eles vão ser efetivos já são outros 500...

Fonte: Forbes

Trojan para Firefox se passa pelo Greasemonkey

noreply@blogger.com (Anonymous) — Mon, 08 Dec 2008 14:49:00 +0000

A BitDefender divulgou a descoberta de um novo Trojan (que ela chama de Trojan.PWS.ChromeInject.A), que foi criado visando explorar o Firefox.

Não existe uma informação clara de como acontece a infecção, mas o fato é que, depois de infectado, o browser do usuário vai exibir um complemento chamado Greasemonkey e vai capturar as senhas e informações de logins de mais de 100 sites de bancos Americanos, Italianos e Espanhóis e também tentar roubar sua senha de World of Warcraft. Depois de tudo coletado o trojan vai então enviar as informações coletadas para um site na Rússia (sempre eles...).

A Mozilla garantiu que a versão do Greasemonkey disponível em seu site não está contaminada, informação confirmada pela BitDefender.

Adicionalmente, não a razão para pânico. Quem quiser instalar qualquer plugin/complemento para o Firefox pode fazê-lo sem medo, desde que esteja usando um site confiável (como o da própria Mozilla).

Para fim de conversa, a BitDefender já lançou uma assinatura de detecção para o bixinho, e daqui a alguns dias outras fabricantes de antivírus devem fazer a mesma coisa.

Mais informações:
CWorld
ArsTechnica
BitDefender

Bloqueando o acesso de root ao Linux

noreply@blogger.com (Anonymous) — Sat, 21 Jun 2008 21:36:00 +0000

Essa é para aqueles que querem tornar seus sistemas Linux o mais seguro possível.
A dica aqui passada surgiu depois de uma discussão na lista do Linux-SE sobre segurança, e como o BSD e o Linux se comparavam.

A idéia aqui é fazer o Linux se comportar como o FreeBSD já se comporta out of the box, e que traz muito mais segurança a um ambiente.
O que faremos aqui é simplesmente bloquear o acesso do root ao sistema através de console, além de proibir que qualquer usuário possa rodar o su ou o sudo para ganhar uma shell com poderes de root. Grande parte disso é possível de ser implementado, e de forma bem simples, graças ao PAM.

Antes de continuar uma observação: eu testei as dicas abaixo no KUbuntu 8.04. Pode ser que os detalhes variem na sua distribuição! Bom, vamos lá.
O primeiro passo é verificar que o arquivo /etc/pam.d/login, possui a seguintes linha:
auth required /lib/security/pam_securetty.soOque o modulo pam_securitty faz é dizer que o root só pode se autenticar nas seriais definidas no arquivo /etc/securetty. O próximo passo é então dizer que nenhuma serial é segura para login do root, executando o seguinte comando:cp /etc/securetty /etc/securetty-BACKUP
echo "null" > /etc/securetty

Pronto! O root não pode mais logar em nenhuma shell.
E agora, como garantir que somente alguns usuários podem "virar" root?
Existem duas maneiras para isso: executando o comando su -, e fornecendo a senha de root, ou então usando o comando sudo bash. Em ambos os casos o usuário termina com uma shell com poderes de root.

Primeiro vamos impedir que todo usuário possa executar o comando su. Para iso basta adicionar a seguinte linha no arquivo /etc/pam.d/su
auth required /lib/security/pam_wheel.so
Agora somente os usuários do grupo root podem usar o su. Para adicionar um usuário a esse grupo basta usar o comando usermod -G root joe. Se quisermos usar um outro grupo para restringir o acesso ao su (o BSD usa classicamente o grupo wheel) devemos adicionar ao final da linha de configuração acima a opção group="wheel", por exemplo.Para restringir o poder do comando sudo, nos temos de editar o arquivo /etc/sudoers. Isso é feito usando o comando visudo -f /etc/sudoers. No Ubuntu, por padrão, somente membros do grupo admin e o root podem executar comandos usando o sudo. Isso é garantido pela presença, unicamente, das seguintes três linhas:Defaults env_reset root ALL=(ALL) ALL %admin ALL=(ALL) ALLSe quisessemos que somente membros do grupo wheel pudessem executar comandos usando o sudo, poderiamos alterar a última linha de forma que ela ficasse:%wheel ALL=(ALL) ALLUma outra opção interessante é impedir que qualquer pessoa de executar o bash usando o sudo. Isso pode ser conseguido adicional a seguinte linha ao arquivo sudoers:ALL ALL=!/bin/bashPara mais detalhes da sintaxe do arquivo sudoers, recomendo uma lida no manual (man sudoers), em especial a sessão de exemplos, que mostra de forma bem resumida tudo que da pra fazer :) Por último, para garantir que o root não vai poder acessar seu sistema através de SSH, basta ter certeza que a linha abaixo existe no /etc/ssh/sshd_config:
PermitRootLogin noPronto! Seu sistema já está a prova de root. ;) Claro que, se houverem outros meios de acesso ao sistema, como telnet ou uma sessão X, medidas adicionais são necessárias.Para os interessados, mais dicas de hardenização Linux/BSD podem ser encontradas aqui: http://www.cromwell-intl.com/security/linux-hardening.html

Firefox 3.0.1 a caminho?

noreply@blogger.com (Anonymous) — Thu, 19 Jun 2008 10:53:00 +0000

Ryan Naraine Zero Day Blog, anunciou hoje que a primeira falha critica do Firefox 3.0 pode já ter sido descoberta.
Segundo relatos um pequisador desconhecido vendeu uma vulnerabilidade para o site TippingPoint, uma empresa aparentemente especializada em adquirir vulnerabilidades e a discuti-las junto com os fabricantes.

A vulnerabilidade em questão pode permitr a execução remota de código, desde que o usuário acesse uma página que contém o exploit, e afeta a versão mais recente do browser lançada ontem e versões 2.0.x.
A TippingPoint avisou que já avisou a Mozilla do acontecimento e só vai publicar a vulnerabilidade após ser lançada uma correção.

Mais informações:
http://blogs.zdnet.com/security/?p=1288
http://dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firefox-30

Firefox 2.0.0.8 introduziu cinco novas falhas, diz Mozilla

noreply@blogger.com (Anonymous) — Tue, 30 Oct 2007 20:44:00 +0000

A última versão do Firefox, lançada a cerca de duas semanas, oferece para os usuários, além da correção de 200 problemas, um bônus: 5 novos bugs :)

A regressão (nome dado quando uma versão de um software contém um bug que havia sido anteriormente corrigido), foi anunciado no último dia 22. Os desenvolvedores estão trabalhando o mais rápido possível para corrigir os problemas.
No tocante a segurança todos podem ficar tranquilos: pelo que eu vi nenhum dos bugs são de segurança, e sim de funcionalidade. Mas como tudo nesse mundo nunca se sabe o que os hackers podem fazer para transformar esses bugs em grandes ameaças.

O anúncio da Mozilla se encontra aqui.

Ronaldinho: quase vítima de um golpe on-line

noreply@blogger.com (Anonymous) — Mon, 29 Oct 2007 12:17:00 +0000

Não tem muito haver com segurança propriamente dita, mas mostra um exemplo dos absurdos que existem hoje em dia: pedido de transações através de e-mails!
Em diversos aspectos o sistema bancário Europeu ainda tem muito o que aprender com o brasileiro, considerado por muitos, um dos melhores do mundo.

Segundo o jornal espanhol La Vanguardia, o jogador Ronaldinho quase foi vítima de um golpe on-line que poderia ter lhe causado um prejuízo de 800 mil euros. Tudo porque um brasileiro de 33 anos que mora em Barcelona conseguiu acessar as contas de e-mail da mãe, da irmã e do irmão do jogador.

Explorando os e-mails, o brasileiro obteve dados importantes de uma conta bancária de Ronaldinho. Com essas informações, tratou de conseguir um "laranja" que lhe emprestasse sua conta bancária. Quando conseguiu, mandou um mensagem ao banco através do e-mail da irmã de Ronaldinho pedindo duas transferências no valor de 400 mil euros para a conta do "laranja". O banco ia efetuar as operações, mas acabou tendo que entrar em contato com a irmã do jogador por constatar saldo insuficiente.

Foi nesse contato que o banco descobriu que tudo não passava de uma tentativa de golpe. A irmã de Ronaldinho, é claro, informou que não havia feito pedido de transferência de dinheiro algum. Após isso, a polícia local começou a investigar o caso e localizou o brasileiro, cujo nome é Ewerton C.R.

Para conhecer mais detalhes da história, acesse a página http://www.lavanguardia.es/lv24h/20071027/53406126833.html (em espanhol). A pergunta que fica no ar, é: como é que um banco permite uma transação desse porte por e-mail?

Virtualização e segurança: Phoeninx e OpenBSD

noreply@blogger.com (Anonymous) — Fri, 26 Oct 2007 10:44:00 +0000

A Darkreading anunciou hoje que a Phoenix (aquela que, provavelmente, fez a BIOS do seu computador...), vai estar trabalhando junto com Joanna Rutkowska, uma expert de segurança e desenvolvedora do Blue Pill (um prova de conceito de um rootkit que utiliza técnicas de virtualização para se esconder), para criar um novo supervisor que, pelo que eu entendi, vai "substituir" a BIOS de alguns computadores. Com isso os usuários poderiam rodar nativamente o Windows Vista e outro sistema operacional mais seguro, no qual eles podiam fazer suas transações bancárias, por exemplo. A troca entre os sistemas seria feita através de teclas de atalho, e tudo seria o mais transparente possível para o usuário.

O objetivo do trabalho em conjunto é fazer o supervisor de máquinas virtuais o menor possível, já que, segundo Joanna, um dos problemas com as soluções de virtualização atuais é que elas são extremamente complexas, e portando sujeitas a bugs e falhas de segurança.

Falando de falhas de segurança em virtualização, Theo de Raadt, criador do Open BSD, postou um ponto de vista interessante em uma lista de discussão do OpenBSD. Segundo ele a idéia de que virtualização vai aumentar segurança é simplesmente estúpida. A explicação é que o hardware do x86 simplesmente não oferece recursos suficiente para garantir um perfeito isolamento entre os sistemas operacionais (um dos pontos mais comentados sobre virtualização). No posto ele diz:

"Virtualização em X86 consiste basicamente colocar outro kernel, cheio de novos bugs, para rodar sobre uma a terrível arquitetura do x86, que mal tem um esquema de proteção de páginas bom. Você então roda seu sistema operacional sobre essa nova pilha de merda. Você está completamente enganado, ou então é um estúpido, se pensa que tantos engenheiros de software ao redor do mundo, que não conseguem nem escrever um sistema operacional ou uma aplicação sem uma falha de segurança, podem magicamente escrever camadas de virtualização sem falhas de segurança."

Matérias originais: http://www.darkreading.com/document.asp?doc_id=137368 e http://kerneltrap.org/OpenBSD/Virtualization_Security

Quebrando passwords com sua placa de vídeo

noreply@blogger.com (Anonymous) — Thu, 25 Oct 2007 11:31:00 +0000

O inevitável aconteceu! Pesquisadores Russos anunciaram avanços no uso de placas de vídeo para quebrar passwords. Segundo o site New Scientist os pesquisadores usaram uma nVidia 8800 para tornar o processo de quebra de senhas 25 vezes mais rápido que através do uso de computadores normais.

Como é explicado no site, placas de vídeo são ótimas para esse tipo de trabalho, graças ao seu grande poder de processamento paralelo. Uma analogia feita no site explica bem a questão: Enquanto um computador normal (sem múltiplos núcleos, claro), para encontrar uma palavra num livro, deve "ler" o livro do começo até o final, de forma seqüencial, a placa de vídeo pode dividir o livro em 100.000 pedaços e procurar em cada um deles em paralelo.

Os Russos usaram o CUDA da nVidia para realizar sua experiências.
Eu já havia pensado nisso a algum tempo atrás, mas não tinha nem o tempo nem o conhecimento para fazê-lo.

A matéria original pode ser encontrada aqui: http://technology.newscientist.com/article.ns?id=dn12825&feedId=online-news_rss20

Storn Worm coloca medo em pesquisadores

noreply@blogger.com (Anonymous) — Thu, 25 Oct 2007 11:02:00 +0000

Uma notícia publicada ontem na Networld me deixou um tanto surpreso. Aparentemente alguns pesquisadores simplesmente desistiram de publicar suas pesquisas e descobertas sobre o Storm Worm (segundo alguns a maior bot net da história). A razão? Medo de retaliação!

Aparentemente todos que publicaram algum artigo sobre a botnet ou tentaram se infiltrar nela sofreram retaliação da própria botnet, através de ataques de negação de serviço, destinado aos micros dos pesquisadores.
Ainda não se sabe se a ação da botnet é automática (quando se tenta explorá-la), ou se são pessoas que lançam os ataques. O fato é: muitos estão com medo. E isso só vai dar mais poder a botnet, já que, como ninguém quer divulgar o que sabe sobre a rede ninguém vai saber como destruí-la.
Essa é uma situação grave e inédita, já que, sem pessoas para combate-la a rede de máquinas infectadas só tende a crescer.

Um outro fato interessante é que, segundo descobertas recentes, o Storm pode "lobotomizar" aplicações rodando na máquina das vitimas, deixando os programas, que parecem estar rodando, inúteis. O que quer dizer isso? Você acha que está rodando o antivirus, mas quando na verdade ele não está fazendo verificação nenhuma! Segundo os pesquisadores essa é uma ação fácil de ser realizada.

Um último ponto importante presente na matéria (quanta coisa!): aparentemente pedaços da rede estão sendo vendidos para quem tiver interesse. Isso quer dizer que spammers ou mesmo cyberterroristas podem comprar/alugar uma rede de mais de 10 milhões de máquinas, para fazer o que bem entenderem.

Parece que a situação está cada dia mais feia...

A matéria original pode ser encontrada em: http://www.networkworld.com/news/2007/102407-storm-worm-security.html

Spammers inventam mais uma vez: SPAM em MP3

noreply@blogger.com (Anonymous) — Wed, 24 Oct 2007 10:33:00 +0000

A Darknet anunciou que a GFI descobriu um novo tipo de spam rodando na internet: spam contendo MP3!
Os spammers, depois dos PDFs, decidiram usar MP3 para controlar o mercado de ações. O objetivo é fazer propaganda de algumas ações, incentivando a compra da mesma, para que depois eles possam vender as ações mais caras.

Segundo o site a MP3 tem 30 segundos, e é uma voz sintética feminina distorcida (para evitar identificação do seu conteúdo por analisadores automático) que faz a propaganda da ação.

A pergunta que não quer calar é a mesma de sempre: o que será que eles vão inventar depois?!

As matérias originais estão aqui: http://www.darknet.org.uk/2007/10/the-next-evolution-gfi-uncovers-mp3-spam/ e http://www.gfi.com/news/en/mp3spam.htm

Mais um tutorial do Nmap

noreply@blogger.com (Anonymous) — Mon, 03 Sep 2007 18:02:00 +0000

A Ethical Hacker Network, publicou um artigo bem interessante sobre o Nmap.
Intitulado "Nmap from an Ethical Hacker's View" (Nmap do ponto de vista de um Hacker ético) tem duas partes e vai tentar abordar o nmap de uma visão "nova", de como um hacker ético, pen tester ou adminsitrador deve usar a ferramenta para detectar buracos antes que os hackers do mal o façam.

Essa é a primeira parte do artigo e cobre os comandos básicos do Nmap. Na segunda parte o autor promete mostrar como usar opções avançadas do nmap para burlar firewalls, IDS e afins. É uma boa leitura para aqueles que sempre querem saber algo mais sobre o nmap.

stormworm.blogspot.com

noreply@blogger.com (Anonymous) — Fri, 31 Aug 2007 01:58:00 +0000

Não é exatamente esse o endereço, mas tome cuidado ao visitar alguns blogs do Blogger do Google. O Storm achou um novo meio de se difundir.

Aparentemente o Worm andou "criando" alguns blogs por aí e postando conteúdo malicioso nos seus posts. Uma prática conhecida era a divulgação de spam através de comentários em alguns posts, mas esse comportamento do Sotrm deixou os pesquisadores sem saber o que dizer.

Está sendo feito um trabalho junto com o google para tentar erradicar essa praga do Blogger, mas ainda nada definitivo.

Um exemplo de blog "infeccioso" é esse: http://www.visionbuzz.blogspot.com/ (cuidado onde você abrir e/ou clicar!).

A matéria completa está aqui: http://www.darkreading.com/document.asp?doc_id=132793

Velhas ameaças nunca morrem

noreply@blogger.com (Anonymous) — Thu, 23 Aug 2007 17:21:00 +0000

Essa semana o diretor de segurança estratégica da IBM ISS, Gunter Ollmann, publicou um artigo falando sobre como velhas ameaças nunca morrem.

Os pesquisadores do ISS anunciaram que eles o Slammer (aquele Worm de 2003...) está, hoje em dia, com mais hosts infectados do que houveram durante seu pico de infecções 4 anos atrás.

A razão dada para isso é que alguns dispositivos de segurança (como IDS/IPS e Antivirs), quando são atualizados, acabam removendo assinaturas de ameaças "erradicas" de suas rotinas de detecção, para não haver uma perda de performance por causa das várias assinaturas. Muitos produtos fazem isso sem o conhecimento do usuários.
O problema é que ao mesmo tempo que a verificação para de ser feita, existem várias máquinas antigas na internet que estão sem atualização, e até mesmo alguns ativos de rede (impressoras, roteadores, etc) que também são vulneráveis a ameaça, mas que nunca foram atualizados. O resultado vocês já podem imaginar né?

A solução que Ollmann dá é que mais mecanismos de detecção usem mecanismos baseados em comportamento estranho (behavioral-based) para detectar ameaças ao invés de assinaturas. Além disso é bom manter todos os dispositivos atualizados, e, quando possível, usar assinaturas antigas E novas para detecção de ameaças.

Mais informações: http://www.darkreading.com/document.asp?doc_id=132301 , http://blogs.iss.net/archive/OldThreatsNeverDie.html
O artigo de Ollmann está em : http://www.iss.net/documents/whitepapers/old_threats_never_die_wp.pdf

Encontrada botnet com mais de 1,4 mil números de cartão de crédito

noreply@blogger.com (Anonymous) — Wed, 22 Aug 2007 18:31:00 +0000

Direto da PC World:

Crackers capturam número de cartão de 1,4 mil internautas
A empresa de segurança Panda identificou uma nova bot net (rede de computadores controlada remotamente por criminosos) destinada ao roubo de dados pessoais.

Ao decodificar as informações em um dos servidores da rede, batizada como Apophis, a companhia identificou dados sobre mais de 1,4 mil pessoas de vários países.

O arquivo em formato Excel tinha nomes completos, endereços, telefones, números de cartões de crédito (com data de validade) e dados bancários, entre outras informações. A empresa afirma que está entrando em contato com os bancos citados para comunicar o caso.

Fica a pergunta: como eles conseguiram essas informações? Há várias maneiras para isso, começando pela invasão de computadores de internautas ao roubo do banco de dados de alguma loja online. Seja qual for a resposta, as notícias cada vez mais freqüentes de roubos de dados pessoais assustam.

Me pergunto quantos e quantos números de cartão não estão rodando internet a fora...
E mais... porque essa informação estava em uma botnet? Será que os hackers estavam usando a botnet como uma rede anônima, tipo o TOR?

Storm-Worm mais uma vez no CERT

noreply@blogger.com (Anonymous) — Tue, 21 Aug 2007 20:37:00 +0000

O CERT mais uma vez lança um anuncio sobre o Storm-Worm. Dessa vez eles alertam de novas técnicas de propagação da praga: e-mails prometendo conteúdo adulto e pedindo ao usuário para se logar em algum site, e mudar o usuário e senha.

O CERT também reforça a necessidade do usuário e administradores tomarem as medidas possíveis para evitar a disseminação da praga. As medidas são as mesmas que eu já havia posto num post anterior.

Tamanha preocupação com essa praga deve ser justificada. Será mesmo que a Internet está para vir a baixo? :)

Mais informações: http://www.us-cert.gov/current/index.html#several_new_storm_worm_variants

Exploit que explora MS07-042 está disponivel

noreply@blogger.com (Anonymous) — Tue, 21 Aug 2007 08:58:00 +0000

A InforWord anunciou ontem o "lançamento" do primeiro exploit que explora a vulnerabilidade MS07-042, anunciada pela Microsoft no dia 14 desse mês junto com sua correção (durante o "Patch Tuesday").

O exploit permite que um JavaScript explore uma vulnerabilidade no parser XML da MS, permitindo matar o IE. ~~Todas as versões, sem o patch, são vulneráveis ao ataque.~~ Segundo o autor o exploit funciona no IE6 para Windows 2000 e XP.

O exploit foi disponibilizado na lista Full Disclosure, dedicada exclusivamente ao anuncio de tais ameaças. Eu faço parte da mesma, mas dado o tempo que ando tendo nem vi esse anúncio :)

O código em questão é bem simples:

var xmlDoc = new ActiveXObject("Microsoft.XMLDOM");
xmlDoc.loadXML("<dummy></dummy>");
var txt = xmlDoc.createTextNode("huh");
var out = txt.substringData(1,0x7fffffff);

Não pude testa-lo pois a única versão do IE que tenho no momento já esta atualizada, mas acredito na informação passada na lista. Se alguém puder testar e me informar eu agradeço ;)

A InfoWord alertou que, talvez dentro de pouco tempo, atualizações desse código podem estar a solta, permitindo inclusive a execução remota de comandos. Por tanto a regra é clara: Mantenham-se atualizados!

Atualização: Testei o exploit no IE7 para Windows Server 2003 e não funcionou :(
Mas no IE6 no XP realmente derrubou o IE :)