Mais uma batalha na Internet

Literalmente. Spammer lançam ataque de negação de serviço distribuído (DDoS) contra serviços anti-spam, usando uma variante do troiano Storm Worm:

Botnet assault: Spammers launch DDoS offensive

Ryan Naraine, Zero Day

Java seguro vs C/C++ inseguros?

Como toda a gente sabe o Java foi projectado tendo em vista ser a linguagem da web, applets etc., logo com grandes preocupações de segurança (sandbox, políticas de segurança, etc.). O C e o C++ pelo contrário são linguagens mais antigas, muito anteriores aos problemas de segurança actuais, logo não fazem coisas tão básicas como verificar se não se está a escrever fora dos limites de uma zona de memória. Mudar de C/C++ para Java resolve tudo? Nem por isso. Há cada vez mais preocupações com a segurança dos programas escritos em Java:

Java Security Traps Getting Worse
Lisa Vaas

Contagem do número de vulnerabilidades

Se alguma prova de que é preciso encarar esse tipo de números com cuidado, uma recente notícia só vem confirmá-lo: a Microsoft em alguns patchs tem corrigido mais vulnerabilidades do que as que anuncia. Dois artigos interessantes:

Skeletons in Microsoft’s Patch Day closet

Flaw counting comparisons useful but fall short of true picture

Ryan Naraine, Zero Day

Don't Look a Leopard in the Eye, and Other Security Advice

Um artigo de Bruce Schneier na Wired. Alguns excertos:

If you encounter an aggressive lion, stare him down. But not a leopard; avoid his gaze at all costs. In both cases, back away slowly; don't run. If you stumble on a pack of hyenas, run and climb a tree; hyenas can't climb trees. But don't do that if you're being chased by an elephant; he'll just knock the tree down. Stand still until he forgets about you. (...)

Lions and leopards learn tactics that work for them, and I was taught tactics to defend myself. Humans are intelligent, and that means we are more adaptable than animals. But we're also, generally speaking, lazy and stupid; and, like a lion or hyena, we will repeat tactics that work. Pickpockets use the same tricks over and over again. So do phishers, and school shooters. If improvised explosive devices didn't work often enough, Iraqi insurgents would do something else.

So security against people generally focuses on tactics as well. (...)

This is the arms race of security. Common attack tactics result in common countermeasures. Eventually, those countermeasures will be evaded and new attack tactics developed. These, in turn, require new countermeasures. You can easily see this in the constant arms race that is credit card fraud, ATM fraud or automobile theft. (...)

We should only apply specific countermeasures when the cost-benefit ratio makes sense (reinforcing airplane cockpit doors) or when a specific tactic is repeatedly observed (lions attacking people who don't stare them down). Otherwise, general countermeasures are far more effective a defense.

Redes sem fios em Lisboa desprotegidas

Os números são interessantes mas provavelmente não contam com as redes mais seguras, que não propagam o ssid. Também classificar as redes como seguras/inseguras por usarem cifra é no mínimo simplista (redes protegidas com Wep são seguras?!). Traduzir "encriptadas" para "protegidas por códigos" deve ser gozo. Como qualquer dicionário de português pode esclarecer, encriptar significa "colocar numa cripta" (uma forma de funeral). Mas mesmo que fosse "cifradas", "protegidas por códigos" também está errado...


Lisboa: “hacker” diz que um terço das redes sem fios têm problemas de segurança
Público on-line, 04/06/2007

Um teste feito por um “hacker” profissional nas ruas de Lisboa mostrou que cerca de um terço das redes de acesso à internet sem fios (“wireless”) detectadas têm problemas de segurança, entre as quais a do Partido Socialista (PS). Nos cerca de 70 minutos que durou a viagem pela baixa de Lisboa, o director-geral da empresa de segurança informática SySS GmbH, Sebastian Schreiber, que fez os testes, encontrou 704 redes sem fios de acesso à Internet de empresas, famílias e hotéis.

Destas, Schreiber, um perito em intrusão de redes (“hacker”), diz que cerca de um terço apresentava níveis de segurança baixos.

Das redes que apresentavam vulnerabilidades ao nível da segurança dos conteúdos informáticos, estava uma identificada como sendo da sede do PS.

A Lusa tentou contar o PS para comentar esta situação, mas não foi possível obter qualquer informação.

Lisboa com nível médio de segurança

“Se as redes não estiverem encriptadas [protegidas por códigos], toda a gente pode ver a informação sem problemas”, explicou.

“Nestas condições, é possível ver o conteúdos dos “e-mails”, ter acesso às palavras passe e ao conteúdo das conversas tidas em 'chats'”, acrescentou.

Para o perito em segurança informática, Lisboa é uma cidade de “qualidade média”, quando comparada com outras cidades europeias em que já foi efectuado este tipo de análise.

De acordo com os dados apresentados por Sebastian Schreiber, Varsóvia é a cidade em que as redes sem fios apresentam menos deficiências de segurança, sendo que apenas 25 por cento das redes não está protegida, enquanto Belgrado é a cidade que apresenta piores resultados.

“Não estou surpreendido com o nível de segurança das redes, o que me surpreendeu foi a densidade dos pontos de acesso da cidade, que é muito elevada”, disse Sebastian Schreiber, acrescentando que “Lisboa é uma cidade cheia de pontos de acesso”.

Os dados recolhidos hoje serão compilados num mapa e apresentados amanhã, durante a 2ª edição do IT & Internet Security, um evento organizado pela empresa de consultadoria IDC, no Centro Cultural de Belém, em Lisboa.