O top 10 ainda não está compilado, mas a lista de novos ataques web de 2011 já tem 50!
Lista: Top Ten Web Hacking Techniques of 2011
O top 10 de 2010
Anonymous contra-atacam ao fecho do Megaupload
Do site do Público:
Ofensiva deixa sites inacessíveis
Anonymous desencadearam "o maior ataque de sempre"
Os primeiros alvos foram o próprio Departamento de Justiça norte-americano, bem como a RIAA e a MPAA, associações representativas das indústrias da música e do cinema, respectivamente. Justice.org, riaa.com e mpaa.org foram três dos sites que estavam, intermitentemente, em baixo, por volta da meia-noite (hora de Lisboa), tendo o grupo Anonymous reclamado a autoria dessas falhas através da conta no Twitter @YourAnonNews.
Por volta da 1h, também o site do FBI, responsável pela operação que levou ao encerramento do MegaUpload, estava inacessível.
Segundo a conta de Twitter, trata-se de uma resposta "à altura" do grande golpe que o FBI norte-americano deu nesta quarta nos muitos utilizadores do site MegaUpload, extremamente popular em todo o mundo, e que permitia a partilha de todo o tipo de ficheiros. É mesmo "o maior ataque de sempre", com o envolvimento de mais de 5600 pessoas.
"Tragam pipocas, vai ser uma noite longa de 'lulz'", escreveu o grupo no Twitter, quando eram 23 horas em Portugal continental, e usando uma expressão que é na Internet sinónima de "riso" e que foi em tempos adoptada pelo grupo de atacantes informáticos Lulzsec.
"O Governo fecha o MegaUpload? Quinze minutos depois #Anonymous encerra sites governamentais e da indústria. Aguardem por nós", afirmou o grupo, em claro tom de retaliação, pouco tempo depois de ter sido noticiado o encerramento daquele popular site de partilha de ficheiros.
Os Anonymous não são um grupo estruturado. Há um núcleo central de pessoas que normalmente incentiva os ataques, aos quais qualquer cibernauta se pode juntar, passando então a ser designado como Anonymous. Os vários ataques na história do movimento não são levados a cabo sempre pelas mesmas pessoas e o número de participantes varia.
Para tomar parte numa destas acções, basta usar um programa de computador que permite bombardear um site com múltiplos pedidos de acesso. Na sequência disso, o site torna-se lento a responder e pode ficar inacessível. Chamam-se ataques distribuídos de negação de serviço, são tão mais eficazes quanto mais pessoas participarem e não implicam perda ou roubo de dados.
O Departamento de Justiça dos EUA confirmou o problema, cerca de meia-noite, também através do Twitter: "O servidor do DOJ que aloja o justice.gov está a ter um aumento significativo de actividade, resultando numa degradação do serviço. O departamento está a trabalhar para que o site esteja disponível, enquanto investigamos as origens desta actividade, que está a ser tratada como um acto malicioso até que possamos identificar a identidade da causa da perturbação".
O FBI fechou na quarta-feira o MegaUpload e deteve quatro suspeitos de infracções relacionadas com direitos de autor e lavagem de dinheiro. De acordo com uma nota emitida pelo Departamento de Justiça dos EUA, o MegaUpload gerou de forma criminosa mais de 175 milhões de dólares (135 milhões de euros), “causando mais de 500 milhões em prejuízos para os detentores de direitos de autor”.
Os quatro suspeitos foram detidos na Nova Zelândia e o FBI suspeita ainda do envolvimento de três outras pessoas. A resposta, porém, não se fez esperar.
Estas movimentações acontecem numa altura em que nos Estados Unidos se discute a adopção de medidas legais para reforçar a protecção dos direitos de autor.
O encerramento do MegaUpload também sucede um dia após o "apagão" que muitos sites de referência, como a Wikipedia em inglês, por exemplo, puseram em marcha, em protesto contra as propostas legislativas que estavam em cima da mesa no Senado e na Câmara dos Representantes – o Protect IP Act (PIPA) e o Stop Online Piracy Act (SOPA), respectivamente.Nos acontecimentos desta noite, o grupo Anonymous não deixou passar em claro essa disputa entre quem pretende apertar as regras através do SOPA e do PIPA e quem considera que essas propostas legislativas iriam muito para além da protecção dos direitos de autor.
"MegaUpload foi apanhado sem o SOPA estar em vigor. Agora imaginem o que aconteceria se a lei passar. A Internet, tal como a conhecemos, acabará. Reajam!", vincou o grupo, acrescentando: "Não se pode censurar a Internet, não se pode intimar uma hashtag, não se pode deter uma ideia. Mas podem aguardar por nós."
Nos Estados Unidos, este dia 19 de Janeiro é Dia Nacional da Pipoca. Com uma nota de humor, o grupo assinala que ainda bem que assim é, porque "'A Internet contra-ataca' vai passar toda a noite".
Ofensiva deixa sites inacessíveis
Anonymous desencadearam "o maior ataque de sempre"
Os primeiros alvos foram o próprio Departamento de Justiça norte-americano, bem como a RIAA e a MPAA, associações representativas das indústrias da música e do cinema, respectivamente. Justice.org, riaa.com e mpaa.org foram três dos sites que estavam, intermitentemente, em baixo, por volta da meia-noite (hora de Lisboa), tendo o grupo Anonymous reclamado a autoria dessas falhas através da conta no Twitter @YourAnonNews.
Por volta da 1h, também o site do FBI, responsável pela operação que levou ao encerramento do MegaUpload, estava inacessível.
Segundo a conta de Twitter, trata-se de uma resposta "à altura" do grande golpe que o FBI norte-americano deu nesta quarta nos muitos utilizadores do site MegaUpload, extremamente popular em todo o mundo, e que permitia a partilha de todo o tipo de ficheiros. É mesmo "o maior ataque de sempre", com o envolvimento de mais de 5600 pessoas.
"Tragam pipocas, vai ser uma noite longa de 'lulz'", escreveu o grupo no Twitter, quando eram 23 horas em Portugal continental, e usando uma expressão que é na Internet sinónima de "riso" e que foi em tempos adoptada pelo grupo de atacantes informáticos Lulzsec.
"O Governo fecha o MegaUpload? Quinze minutos depois #Anonymous encerra sites governamentais e da indústria. Aguardem por nós", afirmou o grupo, em claro tom de retaliação, pouco tempo depois de ter sido noticiado o encerramento daquele popular site de partilha de ficheiros.
Os Anonymous não são um grupo estruturado. Há um núcleo central de pessoas que normalmente incentiva os ataques, aos quais qualquer cibernauta se pode juntar, passando então a ser designado como Anonymous. Os vários ataques na história do movimento não são levados a cabo sempre pelas mesmas pessoas e o número de participantes varia.
Para tomar parte numa destas acções, basta usar um programa de computador que permite bombardear um site com múltiplos pedidos de acesso. Na sequência disso, o site torna-se lento a responder e pode ficar inacessível. Chamam-se ataques distribuídos de negação de serviço, são tão mais eficazes quanto mais pessoas participarem e não implicam perda ou roubo de dados.
O Departamento de Justiça dos EUA confirmou o problema, cerca de meia-noite, também através do Twitter: "O servidor do DOJ que aloja o justice.gov está a ter um aumento significativo de actividade, resultando numa degradação do serviço. O departamento está a trabalhar para que o site esteja disponível, enquanto investigamos as origens desta actividade, que está a ser tratada como um acto malicioso até que possamos identificar a identidade da causa da perturbação".
O FBI fechou na quarta-feira o MegaUpload e deteve quatro suspeitos de infracções relacionadas com direitos de autor e lavagem de dinheiro. De acordo com uma nota emitida pelo Departamento de Justiça dos EUA, o MegaUpload gerou de forma criminosa mais de 175 milhões de dólares (135 milhões de euros), “causando mais de 500 milhões em prejuízos para os detentores de direitos de autor”.
Os quatro suspeitos foram detidos na Nova Zelândia e o FBI suspeita ainda do envolvimento de três outras pessoas. A resposta, porém, não se fez esperar.
Estas movimentações acontecem numa altura em que nos Estados Unidos se discute a adopção de medidas legais para reforçar a protecção dos direitos de autor.
O encerramento do MegaUpload também sucede um dia após o "apagão" que muitos sites de referência, como a Wikipedia em inglês, por exemplo, puseram em marcha, em protesto contra as propostas legislativas que estavam em cima da mesa no Senado e na Câmara dos Representantes – o Protect IP Act (PIPA) e o Stop Online Piracy Act (SOPA), respectivamente.Nos acontecimentos desta noite, o grupo Anonymous não deixou passar em claro essa disputa entre quem pretende apertar as regras através do SOPA e do PIPA e quem considera que essas propostas legislativas iriam muito para além da protecção dos direitos de autor.
"MegaUpload foi apanhado sem o SOPA estar em vigor. Agora imaginem o que aconteceria se a lei passar. A Internet, tal como a conhecemos, acabará. Reajam!", vincou o grupo, acrescentando: "Não se pode censurar a Internet, não se pode intimar uma hashtag, não se pode deter uma ideia. Mas podem aguardar por nós."
Nos Estados Unidos, este dia 19 de Janeiro é Dia Nacional da Pipoca. Com uma nota de humor, o grupo assinala que ainda bem que assim é, porque "'A Internet contra-ataca' vai passar toda a noite".
Megaupload fechado pelo FBI
um caso curioso, com vários funcionários a serem presos na Nova Zelândia:
Why the feds smashed Megaupload
ArsTechnica
Um pormenor divertido:
"The indictment goes after six individuals, who between them owned 14 Mercedes-Benz automobiles with license plates such as "POLICE," "MAFIA," "V," "STONED," "CEO," "HACKER," GOOD," "EVIL," and—perhaps presciently—"GUILTY." The group also had a 2010 Maserati, a 2008 Rolls-Royce, and a 1989 Lamborghini. They had not one but three Samsung 83" TVs, and two Sharp 108" TVs. Someone owned a "Predator statue." Motor bikes, jet skis, artwork, and even 60 Dell servers could all be forfeit to the government if it can prove its case against the members of the "Mega Conspiracy.""
Why the feds smashed Megaupload
ArsTechnica
Um pormenor divertido:
"The indictment goes after six individuals, who between them owned 14 Mercedes-Benz automobiles with license plates such as "POLICE," "MAFIA," "V," "STONED," "CEO," "HACKER," GOOD," "EVIL," and—perhaps presciently—"GUILTY." The group also had a 2010 Maserati, a 2008 Rolls-Royce, and a 1989 Lamborghini. They had not one but three Samsung 83" TVs, and two Sharp 108" TVs. Someone owned a "Predator statue." Motor bikes, jet skis, artwork, and even 60 Dell servers could all be forfeit to the government if it can prove its case against the members of the "Mega Conspiracy.""
Vulnerabilidade gravíssima detectada no SGBD Oracle
Esta é daquelas que vai ficar para a história.
Uma vulnerabilidade de projecto no SGBD Oracle pode fazer com que sejam efectuados facilmente ataques de DoS a sistemas de informação suportados por instâncias Oracle, sobretudo se estas estiverem interligadas com muitas outras instâncias, como é o caso em organizações de grande dimensão.
A Oracle já lançou patches para as versões 10G e superiores. Mas ainda temos mais de meio mundo a correr em cima de versões inferiores.
O problema pode ser desencadeado por ataques de injecção de SQL e resume-se à existência de um contador que é incrementado em cada transacção e que teoricamente não deveria ultrapassar um determinado limite téorico. Mas as bases de dados Oracle já estão a executar há muitos anos e sempre que é efectuada a ligação entre duas instâncias, ambas passam a usar o máximo do valor actual do tal contador. Esta forma de funcionamento juntamente com a existência de comandos que forçam o incremento do contador em ordens de magnitude resultam numa receita perigosíssima.
Detalhes em http://www.infoworld.com/d/security/revealed-fundamental-oracle-flaw-184163.
Com agradecimentos ao Alexandre Correia
Ciberdúvidas
Não tem nada a ver com segurança, mas de vez em quando sabe bem variar: o site Ciberdúvidas (da Língua Portuguesa) faz 15 anos. Artigo no Público.
Já agora, duas entradas sobre cifrar vs encriptar: primeira e segunda.
Já agora, duas entradas sobre cifrar vs encriptar: primeira e segunda.
EUA promovem combate à pirataria?
Uma história do outro mundo mesmo aqui ao lado: a WikiLeaks publicou um telegrama da embaixada dos EUA em Madrid a explicar a tática para pressionar o governo espanhol a introduzir uma lei contra a pirataria. O interessante era perceber quais os países que sofreram acções semelhantes.
O telegrama:
"We propose to tell the new government that Spain will appear on the Watch List if it does not do three things by October 2008. First, issue a [Government of Spain] announcement stating that Internet piracy is illegal, and that the copyright levy system does not compensate creators for copyrighted material acquired through peer-to-peer file sharing. Second, amend the 2006 “circular” that is widely interpreted in Spain as saying that peer-to-peer file sharing is legal. Third, announce that the GoS [Government of Spain] will adopt measures along the lines of the French and/or UK proposals aimed at curbing Internet piracy by the summer of 2009."
Fonte: ArsTechnica - How the US pressured Spain to adopt unpopular Web blocking law
O telegrama:
"We propose to tell the new government that Spain will appear on the Watch List if it does not do three things by October 2008. First, issue a [Government of Spain] announcement stating that Internet piracy is illegal, and that the copyright levy system does not compensate creators for copyrighted material acquired through peer-to-peer file sharing. Second, amend the 2006 “circular” that is widely interpreted in Spain as saying that peer-to-peer file sharing is legal. Third, announce that the GoS [Government of Spain] will adopt measures along the lines of the French and/or UK proposals aimed at curbing Internet piracy by the summer of 2009."
Fonte: ArsTechnica - How the US pressured Spain to adopt unpopular Web blocking law
Top 10 de histórias de segurança 2011
Interessante, do ZDnet Zero Day:
Top 10 in 2011: An 'explosive' year in security
Costin Raiu looks back at the significant stories that shaped the IT security world in 2011 and points to the thinks we should be looking out for this year.
1. The rise of Hacktivism
2. The HBGary Federal hack
3. The Advanced Persistent Threat
4. The Comodo and DigiNotar incidents
5. Duqu
6. The Sony PlayStation Network hack
7. Fighting cybercrime and botnet takedowns
8. The rise of Android malware
9. The CarrierIQ incident
10. MacOS malware
Artigo completo
Top 10 in 2011: An 'explosive' year in security
Costin Raiu looks back at the significant stories that shaped the IT security world in 2011 and points to the thinks we should be looking out for this year.
1. The rise of Hacktivism
2. The HBGary Federal hack
3. The Advanced Persistent Threat
4. The Comodo and DigiNotar incidents
5. Duqu
6. The Sony PlayStation Network hack
7. Fighting cybercrime and botnet takedowns
8. The rise of Android malware
9. The CarrierIQ incident
10. MacOS malware
Artigo completo
protecção de identidade
Do site da CSID:
CyberAgent
CyberAgent® is our proprietary technology that proactively detects stolen personally identifiable information and compromised confidential data, without regard for nationality or location.
At any point in time, our CyberAgent technology is monitoring thousands of websites and millions of data points, alerting registered members and consumers if we find their personal information being bought or sold online. Using a variety of data gathering techniques, such as chat room monitoring, spidering/crawler/scraping capabilities and forum extraction, CyberAgent locates compromised data on the following:
By default, CyberAgent monitors a potent collection of personally identifiable information, including:
CyberAgent
CyberAgent® is our proprietary technology that proactively detects stolen personally identifiable information and compromised confidential data, without regard for nationality or location.
At any point in time, our CyberAgent technology is monitoring thousands of websites and millions of data points, alerting registered members and consumers if we find their personal information being bought or sold online. Using a variety of data gathering techniques, such as chat room monitoring, spidering/crawler/scraping capabilities and forum extraction, CyberAgent locates compromised data on the following:
- Forums and Websites monitored: 10,000
- Web pages processed per day: 600,000
- IRC channels monitored: 500
- Number of refined PII search engine queries: 10,000
- Twitter Feeds Monitored: 30
- P2P Sources: 114 servers
- Hidden/anonymous web services: 80
- Number of malware samples analyzed per day: 22,000
- Botnets monitored: 268 C&C servers, 200,000 compromised hosts
- Torrent Sources: 320
By default, CyberAgent monitors a potent collection of personally identifiable information, including:
- Social Security numbers
- Phone numbers
- E-mail addresses
- Bank account and routing numbers
- Credit & debit card numbers
- Medical identification numbers
Intel Advanced Encryption Standard Instructions (AES-NI)
The new AES-NI instruction set is comprised of six new instructions that perform several compute intensive parts of the AES algorithm. These instructions can execute using significantly less clock cycles than a software solution. Four of the new instructions are for accelerating the encryption/decryption of a round and two new instructions are for round key generation. The following is a description of the new instructions.
- AESENC. This instruction performs a single round of encryption. The instruction combines the four steps of the AES algorithm - ShiftRows, SubBytes, MixColumns & AddRoundKey into a single instruction.
- AESENCLAST. Instruction for the last round of encryption. Combines the ShiftRows, SubBytes, & AddRoundKey steps into one instruction.
- AESDEC. Instruction for a single round of decryption. This combines the four steps of AES - InvShiftRows, InvSubBytes, InvMixColumns, AddRoundKey into a single instruction
- AESDECLAST. Performs last round of decryption. It combines InvShiftRows, InvSubBytes, AddRoundKey into one instruction.
- AESKEYGENASSIST is used for generating the round keys used for encryption.
- AESIMC is used for converting the encryption round keys to a form usable for decryption using the Equivalent Inverse Cipher.
Suportado por:
- OpenSSL - Direct support in V1.0 (experimental version); 0.9.8k or later via patch
- Intel ® Integrated Performance Primitives (IPP) crypto -V6.1 or later
- Microsoft* Cryptography API: Next Generation - Windows 7
Melhores "hacks" de 2011
The 7 Coolest Hacks Of 2011By Kelly Jackson Higgins
Dark Reading
Um resumo do artigo:
1. Remotely starting a car via text message.
There's war driving, and then there's war texting. Security researcher Don Bailey discovered how simple it is to remotely disarm a car alarm system and control other GSM and cell-connected devices: He showed off his find by remotely starting a car outside Caesars Palace in Las Vegas during the Black Hat USA and DefCon shows.
2. Powering down the power plant -- literally.
Speaking of SCADA, researcher Dillon Beresford this summer at Black Hat USA gave one of the most graphic and alarming public demonstrations of the fragility of security in power control systems. Beresford, a researcher with NSS Labs, demonstrated how a backdoor in Siemens S7-300, S7-400, and S7-1200 devices let him get inside and capture passwords and reprogram PLC logic in such a way that he could shut down the systems altogether or cause them to eventually crash.
3. Mini-hacker time-travels.
A 10-year-old girl who attended the inaugural DefCon Kids conference within the DefCon show this year nearly stole the show with her hack. "CyFi" said she was getting bored with her favorite mobile gaming app, so she came up with a neat trick to switch the time on her device to make it more challenging.
4. Insulin pumps go rogue.
SCADA security expert Jerome Radcliffe, a diabetic, had become curious about the security of the devices that keep his blood sugar in check. So he started studying how continuous glucose monitors (CGM) and insulin pumps could be hacked, and discovered that at least four models of insulin pumps sold by Medtronic can be hacked wirelessly.
5. 'Warflying': Hacking in midair.
For a little more than $6,000, a pair of researchers built a radio-controlled model airplane with an onboard computer and 4G connectivity that could be used as a hacking "drone" to wage aerial attacks on targets that are basically unreachable on land. Mike Tassey and Richard Perkins brought their so-called Wireless Aerial Surveillance Platform (WASP) to Vegas for Defcon to demonstrate the potential threat of "warflying."
6. When laptop batteries turn against you.
You probably don't worry much about your laptop battery until it runs out of juice and you scramble for the power plug. But what if your battery could hack you? Turns out the embedded controllers on laptop batteries are hackable, renowned security researcher Charlie Miller demonstrated this year.
7. Hot 'Diggity' hack.
Remember Google hacking? Well, it's back and it's sexier as a pair of researchers built tools that making Google-hacking yourself faster and more efficient. Fran Brown and Rob Ragan, researchers for Stach & Liu, wrote a series of tools called Diggity that speed up the process of detecting security vulnerabilities via Google or Bing searches. The goal is for enterprises to find those bugs -- SQL injection, cross-site scripting, etc. -- in their servers before attackers do.
Dark Reading
Um resumo do artigo:
1. Remotely starting a car via text message.
There's war driving, and then there's war texting. Security researcher Don Bailey discovered how simple it is to remotely disarm a car alarm system and control other GSM and cell-connected devices: He showed off his find by remotely starting a car outside Caesars Palace in Las Vegas during the Black Hat USA and DefCon shows.
2. Powering down the power plant -- literally.
Speaking of SCADA, researcher Dillon Beresford this summer at Black Hat USA gave one of the most graphic and alarming public demonstrations of the fragility of security in power control systems. Beresford, a researcher with NSS Labs, demonstrated how a backdoor in Siemens S7-300, S7-400, and S7-1200 devices let him get inside and capture passwords and reprogram PLC logic in such a way that he could shut down the systems altogether or cause them to eventually crash.
3. Mini-hacker time-travels.
A 10-year-old girl who attended the inaugural DefCon Kids conference within the DefCon show this year nearly stole the show with her hack. "CyFi" said she was getting bored with her favorite mobile gaming app, so she came up with a neat trick to switch the time on her device to make it more challenging.
4. Insulin pumps go rogue.
SCADA security expert Jerome Radcliffe, a diabetic, had become curious about the security of the devices that keep his blood sugar in check. So he started studying how continuous glucose monitors (CGM) and insulin pumps could be hacked, and discovered that at least four models of insulin pumps sold by Medtronic can be hacked wirelessly.
5. 'Warflying': Hacking in midair.
For a little more than $6,000, a pair of researchers built a radio-controlled model airplane with an onboard computer and 4G connectivity that could be used as a hacking "drone" to wage aerial attacks on targets that are basically unreachable on land. Mike Tassey and Richard Perkins brought their so-called Wireless Aerial Surveillance Platform (WASP) to Vegas for Defcon to demonstrate the potential threat of "warflying."
6. When laptop batteries turn against you.
You probably don't worry much about your laptop battery until it runs out of juice and you scramble for the power plug. But what if your battery could hack you? Turns out the embedded controllers on laptop batteries are hackable, renowned security researcher Charlie Miller demonstrated this year.
7. Hot 'Diggity' hack.
Remember Google hacking? Well, it's back and it's sexier as a pair of researchers built tools that making Google-hacking yourself faster and more efficient. Fran Brown and Rob Ragan, researchers for Stach & Liu, wrote a series of tools called Diggity that speed up the process of detecting security vulnerabilities via Google or Bing searches. The goal is for enterprises to find those bugs -- SQL injection, cross-site scripting, etc. -- in their servers before attackers do.
Anonymous divulga números de cartões de crédito
do ionline:
Anonymous divulga lista com cartões de crédito. Mais de 50 são registos portugueses
Por Ana Tomás e Daniel Marinho, publicado em 27 Dez 2011 - 03:10
O grupo de hackers Anonymous atacou a infra-estrutura digital da Stratfor, uma empresa de global intelligence com publicações diárias de previsões estratégicas e análises do mundo dos negócios, revelando a falta segurança do servidor que alojava a base de dados. Na sequência desse ataque foram divulgadas informações sensíveis sobre os assinantes da publicação, nomeadamente nomes, números de cartões de crédito, códigos de confirmação, moradas e números de telefone. No entanto, antes de as divulgarem, o grupo utilizou alguns desses cartões para doar cerca de um milhão de dólares a várias instituições de solidariedade, como a Cruz Vermelha Americana, a Save The Children e a Care.
Embora o grupo tenha anunciado ser detentor da lista completa, foram divulgadas secções parciais dos A’s e dos D’s aos M’s. Entre os clientes, encontram-se vários nomes portugueses - desde militares a jornalistas, passando por agentes das forças de segurança ou elementos de empresas de consultoria - sem a certeza do total que figura na restante lista. O i entrou em contacto com alguns dos lesados, que acusaram a recepção de um email, por parte da Stratfor, a alertar para o roubo e a lamentar o sucedido. No entanto, uma das pessoas confirmou não ter prestado atenção ao email, não ter conhecimento da exposição dos dados e de só ter decidido contactar a sua intituição bancária após a nossa chamada. Entre os milhares de números disponíveis, é possível que muitos sejam cartões de crédito temporários, enquanto outros já estejam caducados.
Foram os casos do major Mário Tomé e do general Loureiro dos Santos, que souberam através do i que os seus dados pessoais, incluindo morada, endereço de e-mail, número de telefone e de cartão de crédito, tinham sido divulgados. Mário Tomé afirmou que foi o próprio banco que detectou movimentos suspeitos no cartão de crédito e procedeu ao seu cancelamento. “Há uma semana ou duas, o banco cancelou o meu cartão devido a uma compra, no valor de 79 cêntimos, de uma aplicação para iPhone”, revelou ao i o major, confirmando, no entanto, que o número divulgado pelos hackers correspondia, de facto, ao do cartão de crédito, entretanto cancelado. Já Loureiro dos Santos desvalorizou a informação publicada na sequência dos ataques do grupo Anonymous, uma vez que à excepção do endereço de e-mail e do número do cartão de crédito, expirado em Maio de 2009, os restantes dados são “de conhecimento público”, explicou. Segundo o general, não houve, por isso, qualquer consequência financeira pela publicação destes dados.
MARINHA NA LISTA A Marinha Portuguesa é uma das empresas incluídas na lista confidencial dos clientes da Stratfor, que os Anonymous divulgaram na internet.
Contactada pelo i, a instituição militar preferiu não fazer, para já, qualquer declaração oficial, adiantando que se encontra neste momento “a investigar a situação e a reunir a informação necessária” antes de fazer qualquer esclarecimento público. Além da divulgação deste departamento do Ministério da Defesa Nacional como cliente da agência norte-americana, houve elementos da instituição que foram visados individualmente, vendo publicados os seus dados pessoais, o número e código do cartão de crédito.
Juntam-se à Marinha Portuguesa, na lista de clientes da Stratfor, diversas instituições governamentais internacionais, departamentos das Nações Unidas, da defesa norte-americana, embaixadas, companhias aéreas e de transportes ferroviários, empresas petrolíferas, como a brasileira Petrobras, e multinacionais dos mais variados sectores, como a Sony, a Phillips, a Pfizer, a Microsoft, a Wester Union, a American Express, a Visa, o Crédito Suíço ou o BNP Paribas.
Anonymous divulga lista com cartões de crédito. Mais de 50 são registos portugueses
Por Ana Tomás e Daniel Marinho, publicado em 27 Dez 2011 - 03:10
O grupo de hackers Anonymous atacou a infra-estrutura digital da Stratfor, uma empresa de global intelligence com publicações diárias de previsões estratégicas e análises do mundo dos negócios, revelando a falta segurança do servidor que alojava a base de dados. Na sequência desse ataque foram divulgadas informações sensíveis sobre os assinantes da publicação, nomeadamente nomes, números de cartões de crédito, códigos de confirmação, moradas e números de telefone. No entanto, antes de as divulgarem, o grupo utilizou alguns desses cartões para doar cerca de um milhão de dólares a várias instituições de solidariedade, como a Cruz Vermelha Americana, a Save The Children e a Care.
Embora o grupo tenha anunciado ser detentor da lista completa, foram divulgadas secções parciais dos A’s e dos D’s aos M’s. Entre os clientes, encontram-se vários nomes portugueses - desde militares a jornalistas, passando por agentes das forças de segurança ou elementos de empresas de consultoria - sem a certeza do total que figura na restante lista. O i entrou em contacto com alguns dos lesados, que acusaram a recepção de um email, por parte da Stratfor, a alertar para o roubo e a lamentar o sucedido. No entanto, uma das pessoas confirmou não ter prestado atenção ao email, não ter conhecimento da exposição dos dados e de só ter decidido contactar a sua intituição bancária após a nossa chamada. Entre os milhares de números disponíveis, é possível que muitos sejam cartões de crédito temporários, enquanto outros já estejam caducados.
Foram os casos do major Mário Tomé e do general Loureiro dos Santos, que souberam através do i que os seus dados pessoais, incluindo morada, endereço de e-mail, número de telefone e de cartão de crédito, tinham sido divulgados. Mário Tomé afirmou que foi o próprio banco que detectou movimentos suspeitos no cartão de crédito e procedeu ao seu cancelamento. “Há uma semana ou duas, o banco cancelou o meu cartão devido a uma compra, no valor de 79 cêntimos, de uma aplicação para iPhone”, revelou ao i o major, confirmando, no entanto, que o número divulgado pelos hackers correspondia, de facto, ao do cartão de crédito, entretanto cancelado. Já Loureiro dos Santos desvalorizou a informação publicada na sequência dos ataques do grupo Anonymous, uma vez que à excepção do endereço de e-mail e do número do cartão de crédito, expirado em Maio de 2009, os restantes dados são “de conhecimento público”, explicou. Segundo o general, não houve, por isso, qualquer consequência financeira pela publicação destes dados.
MARINHA NA LISTA A Marinha Portuguesa é uma das empresas incluídas na lista confidencial dos clientes da Stratfor, que os Anonymous divulgaram na internet.
Contactada pelo i, a instituição militar preferiu não fazer, para já, qualquer declaração oficial, adiantando que se encontra neste momento “a investigar a situação e a reunir a informação necessária” antes de fazer qualquer esclarecimento público. Além da divulgação deste departamento do Ministério da Defesa Nacional como cliente da agência norte-americana, houve elementos da instituição que foram visados individualmente, vendo publicados os seus dados pessoais, o número e código do cartão de crédito.
Juntam-se à Marinha Portuguesa, na lista de clientes da Stratfor, diversas instituições governamentais internacionais, departamentos das Nações Unidas, da defesa norte-americana, embaixadas, companhias aéreas e de transportes ferroviários, empresas petrolíferas, como a brasileira Petrobras, e multinacionais dos mais variados sectores, como a Sony, a Phillips, a Pfizer, a Microsoft, a Wester Union, a American Express, a Visa, o Crédito Suíço ou o BNP Paribas.
Tempestades geomagnéticas
UE preocupada com falhas tecnológicas resultantes de tempestades geomagnéticas
21.12.2011 - 10:54 Por PÚBLICO
Este alerta da Comissão Europeia junta-se a outros dois já feitos há algum tempo pelos governos norte-americano e britânico Este alerta da Comissão Europeia junta-se a outros dois já feitos há algum tempo pelos governos norte-americano e britânico (DR)
A Comissão Europeia está preocupada com a eventualidade de se produzirem falhas tecnológicas de dimensões “catastróficas” causadas por tempestades geomagnéticas.
Essas tempestades geomagnéticas - resultantes de erupções solares - ocorrem quando um grande fluxo de radiação emitida pelo Sol atinge o campo magnético e a atmosfera da Terra. Em casos extremos estas tempestades podem causar interrupções nas redes de electricidade, interferências no funcionamento dos satélites de comunicações e dos instrumentos de navegação e até podem até ter efeitos imprevisíveis sobre o clima.
Todas estas falhas poderão ter consequências imprevistas na vida quotidiana dos cidadãos, muitos dos quais poderão até sofrer graves consequências a nível de segurança.
Este alerta da Comissão Europeia junta-se a outros dois já feitos há algum tempo pelos governos norte-americano e britânico.
Precisamente para debater estes problemas foi realizada em Bruxelas nos dias 25 e 26 de Outubro deste ano o evento The Space-Weather Awareness Dialogue: Findings and Outlook que teve por objectivo identificar os desafios de uma situação do género e apontar as respectivas soluções.
(...)
artigo completo
Estado da segurança do software
interessante:
2011: The State of Software Security and Quality
It’s the end of the year. Time to look back on what you’ve done, what you’ve learned, your successes and mistakes, and what you learned from them. I also like to look at the big picture: not just my team and the projects that I manage, or even the company that I work for, but software development in general. How are we doing as an industry, are we getting better, where are we falling behind, what are the main drivers for developers and development managers?
Besides the usual analysis from InformationWeek, and from Forrester and Gartner (if you can afford them), there’s some interesting data available from software quality and software security vendors.
CAST Software, a vendor of code structural analysis tools, publishes an annual Report on Application Software Health based on an analysis of 745 applications from 160 companies (365 million lines of code) using CAST's static analysis platform. A 25-page executive summary of the report is available free with registration – registration also provides you access to some interesting research from Gartner and Forrester Research, including a pretty good paper from Forrester Research on application development metrics.
...
The same goes for the State of Software Security Report from Veracode, a company that supplies static and dynamic software security testing services. Like the CAST study, this report attempts to draw wide-ranging conclusions from a limited data set – in this case, the analysis of almost 10,000 “application builds” over the last 18 months (which is a lot less than 10,000 applications, as the same application may be analyzed at least twice if not more in this time window). The analysis focused on web apps (75% of the applications reviewed were web apps). Approximately half of the code was in Java, one quarter in .NET, the rest in C/C++, PHP, etc.
Their key findings:
2011: The State of Software Security and Quality
It’s the end of the year. Time to look back on what you’ve done, what you’ve learned, your successes and mistakes, and what you learned from them. I also like to look at the big picture: not just my team and the projects that I manage, or even the company that I work for, but software development in general. How are we doing as an industry, are we getting better, where are we falling behind, what are the main drivers for developers and development managers?
Besides the usual analysis from InformationWeek, and from Forrester and Gartner (if you can afford them), there’s some interesting data available from software quality and software security vendors.
CAST Software, a vendor of code structural analysis tools, publishes an annual Report on Application Software Health based on an analysis of 745 applications from 160 companies (365 million lines of code) using CAST's static analysis platform. A 25-page executive summary of the report is available free with registration – registration also provides you access to some interesting research from Gartner and Forrester Research, including a pretty good paper from Forrester Research on application development metrics.
...
The same goes for the State of Software Security Report from Veracode, a company that supplies static and dynamic software security testing services. Like the CAST study, this report attempts to draw wide-ranging conclusions from a limited data set – in this case, the analysis of almost 10,000 “application builds” over the last 18 months (which is a lot less than 10,000 applications, as the same application may be analyzed at least twice if not more in this time window). The analysis focused on web apps (75% of the applications reviewed were web apps). Approximately half of the code was in Java, one quarter in .NET, the rest in C/C++, PHP, etc.
Their key findings:
- 8 out of 10 apps fail to pass Veracode’s security tests on the first pass - the app contains at least 1 high-risk vulnerability.
- For web apps, the top vulnerability is still XSS. More than half of the vulnerabilities found are XSS, and 68% of web apps are vulnerable to XSS attacks.
- 32% of web apps were vulnerable to SQL Injection, even though only 5% of all vulnerabilities found were SQL Injection issues.
- For other apps, the most common problems were in error handling (19% of all issues found) and cryptographic mistakes (more than 46% of these apps had issues with crypto).
Ciber-ataques ameaçam fornecimento de pretróleo?
Cyber attacks threaten global oil supply
Reuters Dec 8, 2011 – 5:03 PM ET | Last Updated: Dec 8, 2011 5:25 PM ET
Reuters Dec 8, 2011 – 5:03 PM ET | Last Updated: Dec 8, 2011 5:25 PM ET
By Daniel Fineren
DOHA – Hackers are bombarding the world’s computer controlled energy sector, conducting industrial espionage and threatening potential global havoc through oil supply disruption.
Oil company executives warned that attacks were becoming more frequent and more carefully planned.
“If anybody gets into the area where you can control opening and closing of valves, or release valves, you can imagine what happens,” said Ludolf Luehmann, an IT manager at Shell Europe’s biggest company .
“It will cost lives and it will cost production, it will cost money, cause fires and cause loss of containment, environmental damage – huge, huge damage,” he told the World Petroleum Congress in Doha.
Computers control nearly all the world’s energy production and distribution in systems that are increasingly vulnerable to cyber attacks that could put cutting-edge fuel production technology in rival company hands.
“We see an increasing number of attacks on our IT systems and information and there are various motivations behind it – criminal and commercial,” said Luehmann. “We see an increasing number of attacks with clear commercial interests, focusing on research and development, to gain the competitive advantage.”
He said the Stuxnet computer worm discovered in 2010, the first found that was specifically designed to subvert industrial systems, changed the world of international oil companies because it was the first visible attack to have a significant impact on process control.
Sexta feira negra?
Do jornal I / inonline:
Vêm aí os piratas. Portugal pode ficar offline?
Por Sílvia Caneco, publicado em 9 Dez 2011 - 03:00 | Actualizado há 55 minutos 51 segundos
Os movimentos de “hacktivistas” portugueses deixaram a promessa: hoje começa mais um surto de ataques informáticos. O pior cenário possível seria o de um ataque em massa às infra-estruturas críticas, ou seja, aquelas que permitem que a economia funcione e que, se forem “abaixo”, podem afectar gravemente a vida das pessoas. Neste rol entrariam, por exemplo, os sistemas da Águas de Portugal, EDP, SIBS (gestora de multibancos), telecomunicações e companhias aéreas.
Mas o mais provável, uma vez que agem por princípios românticos como a luta contra a corrupção e o combate à falência da democracia, é que estes grupos se concentrem nos ataques a sites de instituições do Estado como ministérios, empresas públicas em que há gestores com ordenados mais chorudos, SIS, Polícia Judiciária (PJ), Procuradoria-Geral da República (PGR), Banco de Portugal, Caixa Geral de Depósitos e, mais uma vez, portais dos partidos políticos.
O surto inédito de ataques informáticos em Portugal começou no final de Novembro, como resposta aos incidentes com a polícia na manifestação do dia da greve geral. O grupo Lulzec Portugal inaugurou a onda de ataques, mas já se juntaram outros dois movimentos. Para hoje e amanhã deixaram a ameaça de um mega-ataque: nas suas páginas de internet e chats apelaram à participação de todos os anónimos com conhecimentos de informática num ataque em massa a redes e instituições do Estado.
Os grupos já prometeram a divulgação de mais dados confidenciais na página do Tugaleaks – inspirada na Wikileaks –, mas João Barreto, responsável por uma empresa de segurança informática, acredita que a acção dos “hacktivistas” vai voltar a concentrar-se mais em indisponibilizar páginas – colocando-as temporariamente offline – do que em intrusões nos sistemas que permitam “roubar” documentos ou bases de dados confidenciais.
Isto porque fazer uma intrusão num sistema – técnica que permite entrar num site, apagar dados, fazer download dos mesmos ou substituí-los – é mais difícil, mais demorado e implica que estes hackers tenham mais e melhores qualidades técnicas. “Se o objectivo é causar maior impacto, o que vão tentar fazer é afectar o maior número de sites. Indisponibilizar uma página é muito fácil e, se não conseguem desligar uma, desligam outra”, afirma o especialista em segurança informática.
Além disso, estes hackers dificilmente avançarão para acções que os transformem em criminosos profissionais. Enquanto se limitam a indisponibilizar páginas de instituições públicas em nome de uma propagada luta contra o governo e contra a corrupção, “vão beneficiando de um sentimento de impunidade até por parte da opinião pública”, entende João Barreto, professor de Segurança na pós-graduação da Católica em segurança de sistemas de informação.
Para indisponibilizar uma página basta bombardear um site com pedidos de acesso: o servidor não aguenta e a página fica inacessível. Para um pirata informático, nada mais fácil: “Se tiver cem computadores e cada computador fizer cem pedidos de acesso, são logo 10 mil pedidos.” E nem sequer é necessário que cem pessoas disponibilizem os seus computadores de forma voluntária para haver um ataque concertado. “Se o meu computador pessoal foi infectado por um vírus, ele pode ser controlado à distância. É por isso que boa parte das máquinas usadas nestes ataques estão em residências, e muitas no estrangeiro”, explica João Barreto.
E se “deitar abaixo” um site está à distância de alguns cliques em poucos minutos, descobrir os autores destes ataques é missão quase impossível. “Os únicos crimes cibernéticos fáceis de investigar são os roubos de dinheiro, porque o sistema financeiro mundial está muito bem preparado”, esclarece João Barreto.
Na semana passada, o grupo AntiSec deu no seu chat uma aula sobre anonimato, ensinando aos interessados como podiam actuar sem deixar provas. O i sabe que a PJ está com muitas dificuldades em chegar aos autores dos ataques e até Maria José Morgado, directora do Departamento de Investigação e Acção Penal (DIAP), classificou os meios para investigar crimes informáticos como “ridiculamente escassos”.
A Procuradoria-Geral da República (PGR) está em alerta máximo e vai reforçar ainda mais as políticas de segurança dos seus sistemas de informação para se prevenir da ameaça dos hackers. Quando o espaço de tempo entre a ameaça e a acção é curto, a solução é fazer correr testes rápidos nestes sites para encontrar as falhas mais evidentes: ou seja, fazer os mesmos testes que os hackers, mas antes deles. A PT, por exemplo, tem um centro de detecção de intrusões. “Se os organismos tiverem acordos com a PT, esta vai analisar se há um tráfego anormalmente elevado naquele site a partir do estrangeiro. Se verificar que sim, vai perguntar ao cliente se quer que bloqueie”, explica João Barreto. Se optar por bloquear, uma organização pode proteger-se de ataques cortando o tráfego internacional, mas mantendo-se online em Portugal.
A PSP, por exemplo, já optou por colocar o seu site temporariamente offline para evitar uma intrusão. Ao fazê-lo, as entidades não estão a corrigir falhas de segurança, apenas a impedir que durante aquelas horas “hacktivistas” entrem nas suas páginas. Hoje e amanhã, o cenário pode repetir-se: umas páginas offline porque foram alvo dos piratas, outras offline porque tiveram “medo” deles.
Vêm aí os piratas. Portugal pode ficar offline?
Por Sílvia Caneco, publicado em 9 Dez 2011 - 03:00 | Actualizado há 55 minutos 51 segundos
Os movimentos de “hacktivistas” portugueses deixaram a promessa: hoje começa mais um surto de ataques informáticos. O pior cenário possível seria o de um ataque em massa às infra-estruturas críticas, ou seja, aquelas que permitem que a economia funcione e que, se forem “abaixo”, podem afectar gravemente a vida das pessoas. Neste rol entrariam, por exemplo, os sistemas da Águas de Portugal, EDP, SIBS (gestora de multibancos), telecomunicações e companhias aéreas.
Mas o mais provável, uma vez que agem por princípios românticos como a luta contra a corrupção e o combate à falência da democracia, é que estes grupos se concentrem nos ataques a sites de instituições do Estado como ministérios, empresas públicas em que há gestores com ordenados mais chorudos, SIS, Polícia Judiciária (PJ), Procuradoria-Geral da República (PGR), Banco de Portugal, Caixa Geral de Depósitos e, mais uma vez, portais dos partidos políticos.
O surto inédito de ataques informáticos em Portugal começou no final de Novembro, como resposta aos incidentes com a polícia na manifestação do dia da greve geral. O grupo Lulzec Portugal inaugurou a onda de ataques, mas já se juntaram outros dois movimentos. Para hoje e amanhã deixaram a ameaça de um mega-ataque: nas suas páginas de internet e chats apelaram à participação de todos os anónimos com conhecimentos de informática num ataque em massa a redes e instituições do Estado.
Os grupos já prometeram a divulgação de mais dados confidenciais na página do Tugaleaks – inspirada na Wikileaks –, mas João Barreto, responsável por uma empresa de segurança informática, acredita que a acção dos “hacktivistas” vai voltar a concentrar-se mais em indisponibilizar páginas – colocando-as temporariamente offline – do que em intrusões nos sistemas que permitam “roubar” documentos ou bases de dados confidenciais.
Isto porque fazer uma intrusão num sistema – técnica que permite entrar num site, apagar dados, fazer download dos mesmos ou substituí-los – é mais difícil, mais demorado e implica que estes hackers tenham mais e melhores qualidades técnicas. “Se o objectivo é causar maior impacto, o que vão tentar fazer é afectar o maior número de sites. Indisponibilizar uma página é muito fácil e, se não conseguem desligar uma, desligam outra”, afirma o especialista em segurança informática.
Além disso, estes hackers dificilmente avançarão para acções que os transformem em criminosos profissionais. Enquanto se limitam a indisponibilizar páginas de instituições públicas em nome de uma propagada luta contra o governo e contra a corrupção, “vão beneficiando de um sentimento de impunidade até por parte da opinião pública”, entende João Barreto, professor de Segurança na pós-graduação da Católica em segurança de sistemas de informação.
Para indisponibilizar uma página basta bombardear um site com pedidos de acesso: o servidor não aguenta e a página fica inacessível. Para um pirata informático, nada mais fácil: “Se tiver cem computadores e cada computador fizer cem pedidos de acesso, são logo 10 mil pedidos.” E nem sequer é necessário que cem pessoas disponibilizem os seus computadores de forma voluntária para haver um ataque concertado. “Se o meu computador pessoal foi infectado por um vírus, ele pode ser controlado à distância. É por isso que boa parte das máquinas usadas nestes ataques estão em residências, e muitas no estrangeiro”, explica João Barreto.
E se “deitar abaixo” um site está à distância de alguns cliques em poucos minutos, descobrir os autores destes ataques é missão quase impossível. “Os únicos crimes cibernéticos fáceis de investigar são os roubos de dinheiro, porque o sistema financeiro mundial está muito bem preparado”, esclarece João Barreto.
Na semana passada, o grupo AntiSec deu no seu chat uma aula sobre anonimato, ensinando aos interessados como podiam actuar sem deixar provas. O i sabe que a PJ está com muitas dificuldades em chegar aos autores dos ataques e até Maria José Morgado, directora do Departamento de Investigação e Acção Penal (DIAP), classificou os meios para investigar crimes informáticos como “ridiculamente escassos”.
A Procuradoria-Geral da República (PGR) está em alerta máximo e vai reforçar ainda mais as políticas de segurança dos seus sistemas de informação para se prevenir da ameaça dos hackers. Quando o espaço de tempo entre a ameaça e a acção é curto, a solução é fazer correr testes rápidos nestes sites para encontrar as falhas mais evidentes: ou seja, fazer os mesmos testes que os hackers, mas antes deles. A PT, por exemplo, tem um centro de detecção de intrusões. “Se os organismos tiverem acordos com a PT, esta vai analisar se há um tráfego anormalmente elevado naquele site a partir do estrangeiro. Se verificar que sim, vai perguntar ao cliente se quer que bloqueie”, explica João Barreto. Se optar por bloquear, uma organização pode proteger-se de ataques cortando o tráfego internacional, mas mantendo-se online em Portugal.
A PSP, por exemplo, já optou por colocar o seu site temporariamente offline para evitar uma intrusão. Ao fazê-lo, as entidades não estão a corrigir falhas de segurança, apenas a impedir que durante aquelas horas “hacktivistas” entrem nas suas páginas. Hoje e amanhã, o cenário pode repetir-se: umas páginas offline porque foram alvo dos piratas, outras offline porque tiveram “medo” deles.
Perigo: oferta de emprego
Com a crise convém recordar que existe este tipo de golpes, muitas vezes baseado em ofertas de emprego ("trabalhe a partir de casa", "horário versátil",...).A vítima é a "mula", que se torna sem querer um cúmplice de um ou mais crimes (de phishing etc.). Acontece em Portugal e quem vai preso é mesmo a "mula".
da Wikipedia:
A money mule is a person who transfers stolen money or merchandise from one country to another, either in person, through a courier service, or electronically. The term is commonly used to describe on-line scams that prey on victims who are unaware that the money or merchandise they are transferring is stolen. In these scams, the stolen money or merchandise is transferred from the victim's country to the scam operator's country.
Online money mule scams typically exist as a result of other types of online fraud, such as phishing scams, malware scams or scams that operate around auction sites like eBay. After money or merchandise has been stolen using any of those methods, a scammer will employ a mule to relay the money or goods to the scammer. This process obscures the scammer's true identity and location from the initial victim.[1] Money mules may be subject to criminal prosecution for their actions.[2]
Money mules are commonly recruited with job advertisements for "payment processing agents," "money transfer agents," "local processors," and other similar titles. Some money mules are recruited by a scammer posing as an attractive member of the opposite sex. Candidates are asked to accept payments and to remit most of the funds to a third party — a job which can be done from one's own home. Legitimate companies use escrow services for this kind of work.[3] Scammers trading in stolen goods use similar tactics to recruit mules who receive packages and then forward them to mail drops in the scammer's home country.[4]
da Wikipedia:
A money mule is a person who transfers stolen money or merchandise from one country to another, either in person, through a courier service, or electronically. The term is commonly used to describe on-line scams that prey on victims who are unaware that the money or merchandise they are transferring is stolen. In these scams, the stolen money or merchandise is transferred from the victim's country to the scam operator's country.
Online money mule scams typically exist as a result of other types of online fraud, such as phishing scams, malware scams or scams that operate around auction sites like eBay. After money or merchandise has been stolen using any of those methods, a scammer will employ a mule to relay the money or goods to the scammer. This process obscures the scammer's true identity and location from the initial victim.[1] Money mules may be subject to criminal prosecution for their actions.[2]
Money mules are commonly recruited with job advertisements for "payment processing agents," "money transfer agents," "local processors," and other similar titles. Some money mules are recruited by a scammer posing as an attractive member of the opposite sex. Candidates are asked to accept payments and to remit most of the funds to a third party — a job which can be done from one's own home. Legitimate companies use escrow services for this kind of work.[3] Scammers trading in stolen goods use similar tactics to recruit mules who receive packages and then forward them to mail drops in the scammer's home country.[4]
Luzsec Portugal ataca ainda mais
Segundo o site TugaLeaks, foi feito um defacement ao site do PS (que neste momento está inacessível).
O site do Público tem também um artigo que resume bem os acontecimentos dos últimos dias. Alguns excertos:
Hackers: atrás do ecrã para "elevar a voz do povo"
04.12.2011 - 16:07 Por João Pedro Pereira
Nas últimas semanas assistiu-se em Portugal a um surto inédito de ataques informáticos. Foram atacados sites do PSD, das Águas de Portugal, do Governo, da Assembleia da República e do Hospital da Cruz Vermelha. Uns ficaram inacessíveis, outros foram modificados e exibiam mensagens dos atacantes.
Um dos ataques mais graves foi diferente: uma intrusão em sistemas informáticos, que culminou na divulgação de dois ficheiros com dados de agentes da polícia. Um deles, retirado de computadores governamentais, divulgou o posto, email, nome e número de telefone de 107 agentes da PSP. O outro, retirado dos computadores de um sindicato, continha informação (em muitos casos, incluindo a morada) de 67 polícias. Foi apresentado como uma represália pelos incidentes em S. Bento, no dia da greve geral.
Os atacantes já disseram que os ataques vão continuar. No início desta semana, num texto publicado online, apelaram à união de "autodidactas e hackers" e convidaram as pessoas "com conhecimentos de informática" a sentarem-se aos computadores. Prometeram um novo surto de ataques e, inspirados numa acção internacional, chamaram-lhe operação #AntiSec PT.
O apelo foi publicado no site TugaLeaks, que tem divulgado informação sobre este género de acções em Portugal e foi lançado em Dezembro de 2010 por Rui Cruz, um informático que decidiu criar uma réplica do site da WikiLeaks.
Desde então, o TugaLeaks tornou-se num site de divulgação de várias acções de protesto, dentro e fora da Internet: desde o movimento dos "indignados" ao grupo que está acampado frente ao Parlamento, até aos ciberataques recentes. Ao PÚBLICO Rui Cruz explica que "o Tugaleaks nasceu porque era - e é - o único canal de media alternativo a publicar notícias sobre movimentos activistas e hacktivistas".
O TugaLeaks parece funcionar quase como órgão oficial dos movimentos por detrás dos ataques informáticos, mas Rui Cruz nega a associação: "O Tugaleaks não está nem a favor nem contra os alegados ataques." Mas acrescenta, com aparente simpatia pelas acções dos hackers: "Os grupos de hacktivistas estão a impulsionar o acordar do povo com ataques a alvos cada vez mais notórios."
(...)
Os ataques feitos até agora são de três tipos. O mais comum chama-se "ataque distribuído de negação de serviço" e consiste em bombardear um site com pedidos de acesso. Em consequência, o site torna-se mais lento e, eventualmente, fica inacessível.Outro tipo de ataque é o que afectou as Águas de Portugal. O site passou a exibir o boneco com ar aristocrata que é o símbolo dos LulzSec. Abaixo da imagem estavam as remunerações do conselho de administração da empresa, acompanhada do comentário: "E que tal começarem a fazer cortes nesses salários de luxo? Já é tempo de acabarem com essa palhaçada de o povo ter que "apertar o cinto", quando os salários desta gente são milionários." Por fim, houve os ataques que expõem informação, como foi o caso dos dados da PSP.
A actividade dos LulzSec surge depois de o chamado "hacktivismo" ter sido trazido à ribalta em 2010, quando um grupo chamado Anonymous decidiu apoiar a WikiLeaks e atacar sites de empresas ou autoridades que dificultavam o trabalho de Julian Assange.
Diferente do LulzSec, o movimento Anonymous é mais distribuído e menos organizado, podendo qualquer pessoa fazer um ataque e simplesmente assinar Anonymous. O movimento assume-se como não tendo liderança. Quando simpatizantes saem à rua, o que acontece em protestos vários, usam uma máscara. Os Anonymous estenderam-se a vários países. Cá, surgiram os Anonymous Portugal. E uma variante original: os Anonymous Adolescentes, que reivindicaram vários ataques, desde o site do PSD-Lisboa até sites de alguns governos civis. São também os autores de um ataque ao sitedo Hospital da Cruz Vermelha, várias vezes criticado na Internet.
(...)
O site do Público tem também um artigo que resume bem os acontecimentos dos últimos dias. Alguns excertos:
Hackers: atrás do ecrã para "elevar a voz do povo"
04.12.2011 - 16:07 Por João Pedro Pereira
Nas últimas semanas assistiu-se em Portugal a um surto inédito de ataques informáticos. Foram atacados sites do PSD, das Águas de Portugal, do Governo, da Assembleia da República e do Hospital da Cruz Vermelha. Uns ficaram inacessíveis, outros foram modificados e exibiam mensagens dos atacantes.
Um dos ataques mais graves foi diferente: uma intrusão em sistemas informáticos, que culminou na divulgação de dois ficheiros com dados de agentes da polícia. Um deles, retirado de computadores governamentais, divulgou o posto, email, nome e número de telefone de 107 agentes da PSP. O outro, retirado dos computadores de um sindicato, continha informação (em muitos casos, incluindo a morada) de 67 polícias. Foi apresentado como uma represália pelos incidentes em S. Bento, no dia da greve geral.
Os atacantes já disseram que os ataques vão continuar. No início desta semana, num texto publicado online, apelaram à união de "autodidactas e hackers" e convidaram as pessoas "com conhecimentos de informática" a sentarem-se aos computadores. Prometeram um novo surto de ataques e, inspirados numa acção internacional, chamaram-lhe operação #AntiSec PT.
O apelo foi publicado no site TugaLeaks, que tem divulgado informação sobre este género de acções em Portugal e foi lançado em Dezembro de 2010 por Rui Cruz, um informático que decidiu criar uma réplica do site da WikiLeaks.
Desde então, o TugaLeaks tornou-se num site de divulgação de várias acções de protesto, dentro e fora da Internet: desde o movimento dos "indignados" ao grupo que está acampado frente ao Parlamento, até aos ciberataques recentes. Ao PÚBLICO Rui Cruz explica que "o Tugaleaks nasceu porque era - e é - o único canal de media alternativo a publicar notícias sobre movimentos activistas e hacktivistas".
O TugaLeaks parece funcionar quase como órgão oficial dos movimentos por detrás dos ataques informáticos, mas Rui Cruz nega a associação: "O Tugaleaks não está nem a favor nem contra os alegados ataques." Mas acrescenta, com aparente simpatia pelas acções dos hackers: "Os grupos de hacktivistas estão a impulsionar o acordar do povo com ataques a alvos cada vez mais notórios."
(...)
Os ataques feitos até agora são de três tipos. O mais comum chama-se "ataque distribuído de negação de serviço" e consiste em bombardear um site com pedidos de acesso. Em consequência, o site torna-se mais lento e, eventualmente, fica inacessível.Outro tipo de ataque é o que afectou as Águas de Portugal. O site passou a exibir o boneco com ar aristocrata que é o símbolo dos LulzSec. Abaixo da imagem estavam as remunerações do conselho de administração da empresa, acompanhada do comentário: "E que tal começarem a fazer cortes nesses salários de luxo? Já é tempo de acabarem com essa palhaçada de o povo ter que "apertar o cinto", quando os salários desta gente são milionários." Por fim, houve os ataques que expõem informação, como foi o caso dos dados da PSP.
A actividade dos LulzSec surge depois de o chamado "hacktivismo" ter sido trazido à ribalta em 2010, quando um grupo chamado Anonymous decidiu apoiar a WikiLeaks e atacar sites de empresas ou autoridades que dificultavam o trabalho de Julian Assange.
Diferente do LulzSec, o movimento Anonymous é mais distribuído e menos organizado, podendo qualquer pessoa fazer um ataque e simplesmente assinar Anonymous. O movimento assume-se como não tendo liderança. Quando simpatizantes saem à rua, o que acontece em protestos vários, usam uma máscara. Os Anonymous estenderam-se a vários países. Cá, surgiram os Anonymous Portugal. E uma variante original: os Anonymous Adolescentes, que reivindicaram vários ataques, desde o site do PSD-Lisboa até sites de alguns governos civis. São também os autores de um ataque ao sitedo Hospital da Cruz Vermelha, várias vezes criticado na Internet.
(...)
Privacidade em smartphones
(actualizado a 02/12)
A notícia é um escândalo de grandes proporções: muitos smartphones (Android, Blackberry, iPhones...) trazem instalado um iqagent, de uma empresa chamada Carrier IQ, que captura todas as teclas carregadas, URLs acedidos, SMSs recebidos,...
Alguém sabe se o iqagent está instalado nos smartphones vendidos em Portugal?
O relatório original: http://androidsecuritytest.com/features/logs-and-services/loggers/carrieriq/
O vídeo:
Notícias:
BUSTED! Secret app on millions of phones logs key taps (The Register)
Update: Mobile "rootkit" maker apologizes to Android dev it threatened (ArsTechnica)
Apple: Carrier IQ still on iPhone 4, but we don't read your e-mail and texts
AT&T, Sprint confirm use of Carrier IQ software on handsets
A notícia é um escândalo de grandes proporções: muitos smartphones (Android, Blackberry, iPhones...) trazem instalado um iqagent, de uma empresa chamada Carrier IQ, que captura todas as teclas carregadas, URLs acedidos, SMSs recebidos,...
Alguém sabe se o iqagent está instalado nos smartphones vendidos em Portugal?
O relatório original: http://androidsecuritytest.com/features/logs-and-services/loggers/carrieriq/
O vídeo:
Notícias:
BUSTED! Secret app on millions of phones logs key taps (The Register)
Update: Mobile "rootkit" maker apologizes to Android dev it threatened (ArsTechnica)
Apple: Carrier IQ still on iPhone 4, but we don't read your e-mail and texts
AT&T, Sprint confirm use of Carrier IQ software on handsets
LuzSec Portugal deixa site do Banco de Portugal em baixo
Mais uma do Público:
Ataque deixa site do Banco de Portugal em baixo
O site do Banco de Portugal (BdP) deixou de estar acessível depois de o grupo de hackers LulzSec Portugal, que nos últimos dias ordenou uma série de ataques contra serviços do Estado, ter prometido um ataque ao portal do supervisor bancário. (...)
Mais dois links interessantes:
LuzSec Portugal no Twitter: http://twitter.com/#!/lulzsecportugal
Entrevista com LulzSec Portugal: http://www.tugaleaks.com/entrevista-lulzsecportugal.html#more-1867
Ataque deixa site do Banco de Portugal em baixo
O site do Banco de Portugal (BdP) deixou de estar acessível depois de o grupo de hackers LulzSec Portugal, que nos últimos dias ordenou uma série de ataques contra serviços do Estado, ter prometido um ataque ao portal do supervisor bancário. (...)
Mais dois links interessantes:
LuzSec Portugal no Twitter: http://twitter.com/#!/lulzsecportugal
Entrevista com LulzSec Portugal: http://www.tugaleaks.com/entrevista-lulzsecportugal.html#more-1867
Subscribe to:
Posts (Atom)
Posts
