Mau irmão gémeo no wi-fi

"With the rise in popularity of WiFi-enabled mobile computing devices and publicly accessible access points, a new kind of WiFi security threat is beginning to emerge. Security researchers are beginning to note increasing instances of so-called "evil twin" attacks, in which a malicious user sets up an open WiFi network and monitors traffic in order to intercept private data."

Artigo completo em Ars Technica

Identidade Digital

Foi publicado pela APDSI um interessante relatório sobre o tema, coordenado pelo Prof. Paulo Veríssimo. Da nota de imprensa:

"Lisboa, 19 de Abril de 2007 – A adopção da identidade digital, como condição essencial para uma adopção plena do mundo digital, tem subjacente um número alargado de perigos que podem ser contornados se for dada resposta a um conjunto de princípios fundamentais, conclui o estudo Identidade Digital elaborado por um grupo de trabalho da APDSI – Associação para a Promoção e Desenvolvimento da Sociedade da Informação e ontem apresentado publicamente em Lisboa."

Relatório
Nota de imprensa

Notes On Vista Forensics (II)

Notes On Vista Forensics, Part Two
By Jamie Morris

In part one of this series we looked at the different editions of Vista available and discussed the various encryption and backup features which might be of interest to forensic examiners. In this article we will look at the user and system features of Vista which may (or may not) present new challenges for investigators and discuss the use of Vista itself as a platform for forensic analysis.
http://www.securityfocus.com/infocus/1890

Confiabilidade, redundância e terramotos

Dois artigos no blog CyTRAP Labs sobre confiabilidade e redundância. Discutem os efeitos de um terramoto de Janeiro de 2007 na Formosa (Taiwan) que danificou diversos cabos submarinos e deixou a China quase sem Internet.


Reliability and dependability of information networks - lessons from the Taiwan earthquake

Reliability and dependability of information networks - Taiwan’s earthquake - are we redundancy compliant?

Routers caseiros seguros?

Muita gente julga que são simples, logo seguros. Um artigo que demonstra a falsidade da suposição...

"In short — change your default user account settings for any router you have. You never know when a website might have some malicious code on it that can be used against you. As we illustrated, it is possible for someone to leverage a XSS attack against your browser and turn it into an attack engine."

Artigo: informit.com

Web 2.0 e segurança nos browsers

Um artigo sobre o tema a propósito de um painel na conferência sobre Web 2.0 este mês em S. Francisco:

Security Remains a Challenge for Browser Developers
By
Peter Galli

Passwords por um chocolate

Um inquérito interessante:

The Infosecurity Europe group surveyed 300 office and IT workers and found that nearly two-thirds of them were prepared to give up their passwords for a chocolate bar and a smile from an attractive “researcher”. IT workers, whom we would consider to be more secretive, fared better than their paper and pencil pushing coworkers, but still fell victim.

Office workers commuting in the London train stations and IT professionals at a local expo were surveyed about their passwords and password habits. One question asked participants to write down their passwords and 40% of office workers complied while 22% of IT workers wrote down their passwords. Many of the participants who refused to write down their passwords in the initial questions still inadvertently revealed enough information to construct a password on later questions. In total, 64% of participants eventually revealed their passwords.

While the workers may have felt relatively anonymous by not putting down their company or names on the forms, the IT professionals were attending a convention that required them to wear a name badge – a badge complete with their names and companies.

The survey also discovered more disturbing habits. Nearly half of all workers use the same password with all of their accounts including personal, financial and work. 29% of those surveyed said they knew other people’s passwords and 39% said they would willingly give their password to someone claiming to be from the IT department.

(....)

Fonte: TG Daily

Maior vaga de virus em 1 ano

Duas novas estirpes do virus "storm worm" apareceram na semana passada e constituem já a maior vaga em mais de um ano. O virus propaga-se por email e transforma os computadores atacados em zombies.

Fonte: ZDNet News

Geração de números aleatórios

Protecção de informação


Têm havido inúmeros casos de perdas de dados pessoais por parte de empresas e outras organizações. As formas como tem acontecido são variadas: perda de laptops, ataques informáticos, etc. Uma lista grande de casos está na Privacy Rights Clearinghouse.

Há dias a Federal Trade Commission americana publicou um documento curto com 5 conselhos para que as empresas sofram esse tipo de perdas. Interessante: http://www.ftc.gov/infosecurity/

Mais um patch fora de horas da Microsoft

Afinal o Vista não parece assim tão seguro...

Patch Tuesday: Vista dinged again

Ryan Naraine: For the second time this month, Microsoft has shipped a security bulletin with patches for a "critical" Vista vulnerability that puts millions of users at risk of code execution attacks.

Fonte: Zero Day

Como se esconder na Internet

Putting Some Circuit Breakers Into DNS to Protect the Net
CircleID (04/03/07) Auerbach, Karl

Smart criminals on the Internet are using viruses to take over computers and are then hiding the location of these computers and preventing the PCs from being shut down by rapidly changing the address data that domain names represent, moving the domain's control point from minute to minute. Changes to the address data normally take several months or longer to occur. But the criminals are quickly changing the DNS records in the authoritative servers for a given domain and then combining this technique with low time-to-live values on DNS information, which causes cached data to be eliminated quickly. In this manner, the criminals are protecting themselves by eliminating a potential audit trail. The criminals are using the same tactic on the name servers used for the domain, making it more difficult to come to grips with the attack. One potential solution to this problem offered by Karl Auerbach is an Internet "circuit breaker" that calls for domain names, such as example.com, to be removed from their zones, such as .com, during an emergency situation. This circuit breaker would prevent domains from being resolved and would prevent the quick shifting of A and NS records.
Click Here to View Full Article

Fonte: ACM TechNews; Monday, April 9, 2007

Ataques contra aplicações e SOs

Um capítulo de livro longo e interessante que apresenta um bom conjunto de ataques, incuindo buffer overflows, passwords e web. Uma boa introdução ao tema.

Gaining System Access Using Application and Operating System Attacks Edward Skoudis, Tom Liston

Notes On Vista Forensics

Notes On Vista Forensics, Part One
Jamie Morris 2007-03-08

In this article we have taken a fairly high level view of some of the new features in Vista which may be of interest to forensic investigators. In part two of this series we will be looking in further detail at these changes and concentrating on the typical user activities which commonly come under the scope of an investigation, such as web browsing and email usage.

Fonte: SecurityFocus

Hacking a fingerprint scanner

Como abrir uma fechadura por impressões digitais, pulso, suor e temperatura... Dá que pensar sobre as maravilhas da autenticação biométrica...

Legislação e crime informático em Portugal

Há dias perguntaram-se sobre o assunto... A lei intitulada "Lei da Criminalidade Informática" é a lei 109/91 de 17 de Agosto. Está disponível aqui no site da PJ. Outra lei relevante é a "Lei da Protecção de Dados Pessoais", 67/98 de 26 de Outubro, disponível aqui. No entanto, a legislação criminal geral pode sempre aplicar-se à criminalidade informática.
Site PJ - Criminalidade informática

Segurança no Mac OS X vs Windows

Qual o mais seguro? Um artigo interessante:
Myth or Fact? Is Mac OS X Really More Secure than Windows?

Apple's ads often promote Mac OS X as a much more secure platform than Windows, and that sense of security and freedom from viruses, spyware, and network attacks is one of the things that often encourages Windows users to buy a Mac. But is Mac OS X's greater security real or just marketing? The truth is that it's a combination of fact and myth. Ryan Faas tells you why.
Fonte: informit.com

Estudo sobre vulnerabilidades em sistemas operativos 2006

While there are an enormous variety of operating systems to choose from, only four "core" lineages exist in the mainstream -- Windows, OS X, Linux and UNIX. Each system carries its own baggage of vulnerabilities ranging from local exploits and user introduced weaknesses to remotely available attack vectors.

As far as "straight-out-of-box" conditions go, both Microsoft's Windows and Apple's OS X are ripe with remotely accessible vulnerabilities. Even before enabling the servers, Windows based machines contain numerous exploitable holes allowing attackers to not only access the system but also execute arbitrary code. Both OS X and Windows were susceptible to additional vulnerabilities after enabling the built-in services. Once patched, however, both companies support a product that is secure, at least from the outside. The UNIX and Linux variants present a much more robust exterior to the outside. Even when the pre-configured server binaries are enabled, each system generally maintained its integrity against remote attacks. Compared with the Microsoft and Apple products, however, UNIX and Linux systems tend to have a higher learning curve for acceptance as desktop platforms.

When it comes to business, most systems have the benefit of trained administrators and IT departments to properly patch and configure the operating systems and their corresponding services. Things are different with home computers. The esoteric nature of the UNIX and Linux systems tend to result in home users with an increased understanding of security concerns. An already "hardened" operating system therefore has the benefit of a knowledgeable user base. The more consumer oriented operating systems made by Microsoft and Apple are each hardened in their own right. As soon as users begin to arbitrarily enable remote services or fiddle with the default configurations, the systems quickly become open to intrusion. Without a diligence for applying the appropriate patches or enabling automatic updates, owners of Windows and OS X systems are the most susceptible to quick and thorough remote violations by hackers.

Fontes: Blog Schneier on Security e o estudo completo em OmniNerd

Partilha ilegal de música

PJ já recebeu 38 queixas da Associação Fonográfica
Público 03.04.2007

A Polícia Judiciária já recebeu 38 queixas-crime da Associação Fonográfica Portuguesa (AFP) por partilha ilegal de música através da Internet, escapando ao pagamento dos respectivos direitos de autor. A primeira leva de queixas (28) foi apresentada há precisamente um ano apenas pela AFP; foi apresentada uma nova queixa em Outubro (mais 10 casos), desta vez subscrita por um conjunto de autores, artistas e produtores.
Segundo o director-geral da AFP, Eduardo Simões, ainda não houve qualquer resposta por parte da PJ, pelo que os casos estarão ainda numa fase muito inicial de averiguação.
As queixas são apresentadas não contra indivíduos mas contra utilizadores dos endereços de IP (Internet Protocol), que identificam o número do computador que está ligado à rede (cada computador tem o seu, mas a identificação do utilizador é anónima). E como foram descobertos? "Procurámos várias músicas em serviços de partilha de ficheiros, vimos quem as estava a oferecer e conferimos se tinha autorização para isso ou não", descreveu ao PÚBLICO Eduardo Simões, acrescentando que havia casos com mais de 15 mil músicas disponíveis. Em Portugal, os únicos serviços autorizados a vender ficheiros de música na Internet são o Sapo, iTunes e MúsicaOnline.
A pena para o crime de usurpação - utilização de uma obra sem autorização dos titulares dos respectivos direitos de autor - pode ir até três anos de cadeia, a que acresce multa e a indemnização aos autores, artistas e produtores lesados. As contas dos prejuízos ainda não estão feitas, acrescenta Eduardo Simões - só deverão sê-lo quando a PJ chamar a AFP a depor. "Em países como a Alemanha, em três ou quatro meses as partes conseguem um acordo; mas em Portugal demora muito mais", lamenta.
A pirataria de música tem normalmente campo farto em feiras, mas com a expansão da banda larga, o crescimento da pirataria na Net tem também sido exponencial. "A velocidade das ligações de banda larga - mais fluidas e sem quebras - propicia este tipo de comportamento", reconhece o director da AFP.
Maria Lopes

Phishing e Pharming

Um documento interessante da McAfee em pdf:

Understanding Phishing and Pharming
White Paper 1 Jan. 2006
McAfee

Mais sobre os cursores assassinos...

A Microsoft lançou um patch para o problema e os CyTRAP Labs fizeram um post em estilo "noite da má língua". A Microsoft gabou-se de já saber da vulnerabilidade desde 28-12-2007.... ou seja há 3,5 meses.... e há 3 "patch on tuesday" atrás...

Fontes: post nos CyTRAP Labs, Update on Microsoft Security Advisory 935423

Perigo nos cursores animados

Mais um exemplo dos sítios recôndidos onde se pode esconder uma vulnerabilidade... que "apenas" permite execução de código na máquina da vítima.


Microsoft Windows ANI header stack buffer overflow
National Cyber Alert System
Technical Cyber Security Alert TA07-089A
Original release date: March 30, 2007

Systems Affected
Microsoft Windows 2000, XP, Server 2003, and Vista are affected.
Applications that provide attack vectors include:
* Microsoft Internet Explorer
* Microsoft Outlook
* Microsoft Outlook Express
* Microsoft Windows Mail
* Microsoft Windows Explorer

A stack buffer overflow exists in the code that Microsoft Windows uses to processes animated cursor files. Specifically, Microsoft Windows fails to properly validate the size of an animated cursor file header supplied in animated cursor files.

Animated cursor files can be included with HTML files. For instance, a web site can use an animated cursor file to specify the icon that the mouse pointer should use when hovering over a hyperlink. Because of this, malicious web pages and HTML email messages can be used to exploit this vulnerability. In addition, animated cursor files are automatically parsed by Windows Explorer when the containing folder is opened or the file is used as a cursor. Because of this, opening a folder that contains a specially crafted animated cursor file will also trigger this vulnerability.

Note that Windows Explorer will process animated cursor files with several different file extensions, such as .ani, .cur, or .ico. Furthermore, Windows will automatically render animated cursor files referenced by HTML documents regardless of the animated cursor file extension. This vulnerability is actively being exploited.
More information is available in Vulnerability Note VU#191609.

A remote, unauthenticated attacker may be able to execute arbitrary code. Exploitation may occur when a user clicks a malicious link, reads or forwards a specially crafted HTML email, or accesses a folder containing a malicious animated cursor file.

Fonte: US-CERT
Documento completo e actualizado:
http://www.us-cert.gov/cas/techalerts/TA07-089A.html

Ataque de Pharming a 50 bancos

Uma notícia já do fim de Fevereiro mas interessante...

Desactivado ataque de pharming dirigido a clientes de 50 bancos em 3 continentes

Foi desactivado com sucesso esta quinta feira um ataque de pharming que envolveu pelo menos 50 instituições financeiras na Europa, nos Estados Unidos e na região Ásia-Pacifico. O ataque, que terá afectado uma média de mil utilizadores por dia, sobretudo nos Estados Unidos e na Austrália, tirava partido de uma falha da Microsoft detectada e corrigida já no ano passado.

Para ser afectado um utilizador teria de aceder a um site com código malicioso onde, caso o seu computador não estivesse actualizado para a falha crítica, era automaticamente descarregado para o seu PC um troiano (num ficheiro iexplorer.exe) que posteriormente descarregaria cinco ficheiros adicionais a partir de um servidor na Rússia.

A concretização desta primeira parte do ataque era imperceptível para o utilizador que apenas via no website em questão uma mensagem de erro que o aconselhava a desligar o firewall e software antivírus.

O sucesso completo do ataque ficava garantido se o utilizador posteriormente visitasse um dos 50 sites de instituições financeiras que os autores do ataque se dedicaram a replicar. Ao contrário do que acontece nos ataques phishing, no pharming o utilizador pode ser conduzido para um site falso, mesmo quando digita directamente no PC o endereço da instituição a que quer aceder.

Nesta situação os utilizadores com PCs já infectados pelo exploit eram conduzidos por momentos para um site falso onde eram recolhidos os dados de acesso ao serviço de banca online. Depois disso voltam ao site verdadeiro, já com as informações confidenciais na posse dos hackers, sem que o utilizador se apercebesse.

O bloqueio dos sites falsos e dos servidores que suportavam este ataque (localizados na Alemanha, Estónia e Reino Unido) - depois de três dias activos - foi divulgado pela empresa de segurança Websense que sublinha a sofisticação do ataque.

Os números recolhidos pela Websense, que apontam para a infecção diária de cerca de mil máquinas foram recolhidos pela empresa através do programa Bot instalado nos PCs infectados que, além de fornecer total controlo das máquinas ao atacante, permitiu o acesso da empresa a informações que este fornecia aos autores do ataque com estatísticas de progresso.

2007-02-22 17:54:00
Casa dos Bits


Fonte: http://tek.sapo.pt/4M0/724762.html

Alerta da Websense: http://www.websense.com/securitylabs/alerts/alert.php?AlertID=743

Datajacking em Portugal

Sequestradores de dados informáticos atacam empresas em Portugal
DN, 16 de Março de 2007, Alexandra Machado

Portugal já se encontra na lista dos países afectados por um novo crime informático que afecta o mundo empresarial. É o chamado data-jacking, em que o criminoso acede às informações da empresa, por via electrónica, e transforma-as num código (encriptação) que é lido com uma chave própria, só conhecido pelo infractor, que em troca dela exige dinheiro.

O número de casos detectados está a subir, ainda que Baltazar Rodrigues, inspector-chefe do Grupo Técnico de Informática, da secção Central de Investigação à Criminalidade de Alta Tecnologia da Polícia Judiciária, refira como preocupante a quantidade de casos não participados. Este inspector calcula em 90% o número de ocorrências destas não denunciadas, o que acontece por vários motivos: além de considerarem que pode dar má imagem, as empresas acreditam que só se pagarem é que conseguirão a chave para 'desencriptar' a informação, não acreditando na capacidade da polícia para o fazer. O fenómeno é mais grave fora de Lisboa, em zonas rurais industrializadas, já que na capital as empresas estão mais atentas.

O ataque é feito, por norma, a empresas grandes, que dependem da tecnologia para guardar a base de trabalho, como sejam os dados dos clientes ou dos vendedores. As empresas optam, em grande parte, por pagar os resgates, mas a opção deveria passar pela denúncia à Polícia Judiciária. O resgate pode ir aos 50 milhões de euros, mas quando os valores pedidos se ficam pelos 100 ou 200 mil euros, as "atacadas" acabam por ceder. "As empresas pagam e muitas vezes não fazem queixas", garantiu Baltazar Rodrigues, no âmbito de uma conferência onde teve estudantes do Instituto Superior Técnico como audiência. O inspector da PJ aproveitou a assistência para lançar alguns alertas, caracterizando actividades vulgarizadas no meio estudantil (como a cópia ilegal de software) como ilegais. O perfil do criminoso tem vindo a alterar-se, sendo caracterizado por uma pessoa introvertida, com alguma formação académica e idade entre os 20 e os 40 anos. Baltazar Rodrigues assegura ainda que há um pico de criminalidade no Verão, altura em que os jovens estudantes estão de férias...

O datajacking é apenas um dos muitos tipos de crime informático que tem uma equipa de 30 pessoas na PJ a investigá-los. "Vamos tendo os meios suficientes para funcionar, a contingência [de pessoal] não tem sido impeditiva para termos resultados." E que resultados? 80% das investigações realizadas em 2006 foram concluídas. No ano passado, dos 655 inquéritos para investigação abertos em Lisboa (na secção central) foram concluídos 526 casos. Para este ano transitaram um total de 522 inquéritos. Em 2005, tinham sido investigados 401 casos. Em 2006 foram vistos minuciosamente dados que ocupavam 10 terabytes (cada terabyte corresponde a mil gigabytes).

Além do datajacking, Baltazar Rodrigues revelou aumentos preocupantes em crimes como o phishing (caça de credenciais de acesso a páginas de banca electrónica), que normalmente é realizado pelo envio aos clientes dos bancos de um correio electrónico onde é pedido o acesso a determinada página de Internet para inserir dados pessoais. Baltazar Rodrigues assegura que os bancos têm estado a aumentar os níveis de segurança, mas há sempre quem caia. Cinco em cada 100 dessas tentativas de crime têm êxito.


http://dn.sapo.pt/2007/03/16/economia/sequestradores_dados_informaticos_at.html

Privacidade



http://solutions.3m.com/wps/portal/3M/en_US/ComputerFilter/Home/?WT.mc_id=www.3m.com/computerfilter