scareware

interessante:

The ultimate guide to scareware protection
no blog ZeroDay

excerto:

"Throughout the last two years, scareware (fake security software), quickly emerged as the single most profitable monetization strategy for cybercriminals to take advantage of. Due to the aggressive advertising practices applied by the cybercrime gangs, thousands of users fall victim to the scam on a daily basis, with the gangs themselves earning hundreds of thousands of dollars in the process.

Not surprisingly, Q3 of 2009 was prone to mark the peak of the scareware business model, whose affiliate program revenue sharing scheme is not only attracting new cybercriminals due to its high pay-out rates, but also, is directly driving innovation within the cybercrime underground acting as a reliable financial incentive.

This end user-friendly guide aims to educate the Internet user on what scareware is, the risks posed by installing it, how it looks like, its delivery channels, and most importantly, how to recognize, avoid and report it to the security community taking into consideration the fact that 99% of the current releases rely on social engineering tactics."

proibido fazer "testes de prenetração" ... sem licença

A Polícia Judiciária publicou ontem um comunicado sobre uma apreensão de computadores alegadamente relacionados com "testes de segurança" ilegais -- operação Ghostbuster. Apesar de o comunicado não o referir, um dos telejornais das 20h de ontem disse que a empresa da qual foram apreendidos os computadores foi a que recentemente fez um relatório sobre a penetração da Ghostnet em computadores de organismos do Estado.

O comunicado diz que "os chamados - na gíria da comunidade informática internacional,- "tiger teams" e "white hat hackers" não têm acolhimento legal, sendo, por isso, passíveis de perseguição penal." Sem ser especialista em assuntos jurídicos, parece-me que o que é ilegal é fazer "testes de segurança" sem permissão do organismo ou empresa testada (e bem). Já, por exemplo, o teste de uma empresa por parte de uma tiger team contratada para o efeito pela própria empresa não me parece ser ilegal. Ou pelo menos não devia.

O comunicado da PJ:

Criminalidade informática e de alta tecnologia - Operação "Ghostbuster"

A Policia Judiciária, através da Directoria de Lisboa e Vale do Tejo, desencadeou durante o dia de ontem uma operação em que foram efectuadas buscas simultâneas a quatro residências e a uma empresa, sedeadas na área de Lisboa, tendo por objectivo identificar e recolher elementos probatórios da eventual prática organizada de crimes informáticos de natureza transnacional, designadamente acesso ilegítimo, acesso indevido e dano informático, tendo sido constituídos dois arguidos, que cooperaram com a acção da Justiça.

No decurso da operação foram aprendidos dispositivos electrónicos, dados informáticos e software de cifra e encriptação, bem como outros elementos probatórios que foram preservados e serão sujeitos a posterior análise no âmbito da investigação em curso.

A investigação, que já decorre há já algum tempo, reporta-se a notícias sobre eventuais fragilidades de segurança em redes informáticas do Estado Português e que teriam por base um relatório elaborado por uma empresa que fazia referência à obtenção e à posse de informação sensível de diversos organismos do Estado e empresas privadas, entre os quais o Ministério da Justiça.

Face à sensibilidade e complexidade da matéria em causa, a operação contou com a participação do Juiz de TCIC e dos Procuradores do DCIAP titulares do inquérito, que emitiram as competentes ordens judiciais, visando, não só a preservação da prova, como também a neutralização imediata dos meios que permitiriam a continuação da actividade criminosa.


* A POLÍCIA JUDICIÁRIA ALERTA para o facto de, à luz da legislação vigente, constituir um ilícito criminal punido com pena de prisão qualquer acto de pretenso ou eventual teste de segurança sem consentimento expresso dos titulares e proprietários dos sistemas e das redes informáticas visadas.

Nestas circunstâncias, os chamados - na gíria da comunidade informática internacional,- "tiger teams" e "white hat hackers" não têm acolhimento legal, sendo, por isso, passíveis de perseguição penal.

23 de Outubro de 2009

DNS.PT mais seguro

press release da FCCN:

FCCN, Fundação para a Computação Científica Nacional, a entidade que gere o sistema DNS de atribuição de nomes de domínios na Internet sob .PT adopta a norma DNSSEC, juntando Portugal ao pequeno conjunto de países que já adoptaram esta norma nos seus domínios de topo.

A norma DNSSEC consiste em extensões de segurança ao protocolo DNS, introduzindo desta forma mecanismos de segurança que permitem resolver vários dos principais problemas nesta área.

O DNSSEC garante respostas DNS assinadas, independência dos algoritmos criptográficos e confiança no serviço, com vista a suprimir fragilidades, prevenir ataques, reduzir o risco de manipulação, prestar um serviço seguro e aumentar a segurança.

Entre as vantagens desta norma, destaca-se a autenticação da origem, a integridade dos dados, e a verificação segura da não existência de um domínio ou de registos DNS a ele associados. Além disso, permite evitar intrusões como a corrupção da memória de cache (pharming, phishing,..) e proteger contra transmissões modificadas (spoofing).

Numa linguagem simples, o DNSSEC permite garantir aos utilizadores da Internet que o domínio a que estão a aceder está assinado digitalmente e não foi alvo de adulteração por terceiros, desde que disponham de um programa que verifique esta assinatura digital.

O .PT é, assim, um dos primeiros códigos de domínios de topo para países (ccTLD - country code Top Level Domais) a utilizar esta nova tecnologia, tendo a FCCN já assinado nomes de domínio da sua responsabilidade aplicando as extensões DNSSEC a zonas DNS como: fccn.pt, cert.pt, zappiens.pt, rcts.pt e dnssec.pt .

O sucesso da implementação desta solução técnica está também dependente da intervenção activa por parte da comunidade Internet nacional. Este primeiro passo da FCCN cria as condições de partida para a adesão de outras entidades, nomeadamente as titulares de nomes de domínio críticos (entidades judiciais, banca, e outros), fornecedores de serviços de Internet (ISPs) e Agentes de Registo, e disponibiliza o apoio técnico necessário para esse efeito. Para mais informações, foi criada uma plataforma de testes e de respostas a questões frequentes em www.dnssec.pt.

(...)

duas notícias: Citius e GhostNet

do site do Público:

Erros informáticos fazem desaparecer despachos de juízes dos tribunais

Conselho Superior da Magistratura tem recebido "inúmeros" protestos de juízes, mas o ministério nega problemas graves e garante que o Citius é usado sem problemas

Despachos judiciais já desapareceram da aplicação informáticaCitius Magistrados Judiciais devido a erros no sistema. Desde Janeiro que o uso desta aplicação se tornou obrigatório para os processos cíveis, o que tem posto muitos juízes à beira de um ataque de nervos. A lentidão do sistema e o frequente bloqueio da aplicação são as queixas mais frequentes.

O Conselho Superior da Magistratura (CSM) diz que desde então "têm sido inúmeras as queixas por parte dos utilizadores juízes", mas assegura que o desaparecimento de despachos do sistema corresponde "a situações raras" relacionadas com quebras do sistema. O Ministério da Justiça nega a existência de problemas graves e insiste que a "larga maioria dos magistrados utiliza oCitius quotidianamente sem problemas".

O Tribunal Judicial de Ponta Delgada é um dos que têm sentido os problemas mais graves. "Consigno que o presente despacho foi redigido por duas vezes (após ter desaparecido do sistema, por razões informáticas que desconhecemos) e que o acesso aoCitiuspara nele o integrar foi tentado ao longo de mais de uma hora e 10 minutos, sem sucesso", lê-se num despacho de 24 de Setembro. "O mau funcionamento do sistemaCitius", acrescenta-se "vem[-se] repetindo diariamente e prejudicando o nosso desempenho".

(...)

Mas há queixas um pouco por todo o país. "Desde o início do ano judicial [1 de Setembro], o sistema Citiusdeixou de funcionar em condições normais, o que tem vindo a prejudicar gravemente o serviço", denunciou por carta Marlene Rodrigues, juíza-presidente do Tribunal Judicial de Barcelos. A lentidão do sistema, a impossibilidade de abrir determinados documentos e de os remeter internamente para as respectivas secções (que tratam da parte administrativa) e a activação obrigatória do processador em inglês foram os principais problemas referidos. Marlene Rodrigues insiste que é uma adepta da informatização dos tribunais. "Fui das primeiras a trabalhar noCitius, em Novembro de 2007, porque acho que traz transparência", argumenta. "Mas não podem continuar a alterar o sistema sem testar previamente as mudanças", realça. "Estes erros todos não se compadecem com o volume de serviço que temos", sustenta. As últimas alterações noCitius custaram a Jorge Teixeira, juiz de círculo em Barcelos, um mês sem trabalhar na aplicação e o regresso ao papel.

(...)


Empresa diz que encontrou dados do Estado em rede de ciber-espionagem chinesa

Um relatório divulgado esta semana afirma que informação sensível do Estado português foi roubada por uma rede informática sediada na China. Esta rede chama-se GhostNet e já em Março tinha sido alvo de um trabalho de investigadores da Universidade de Toronto, no Canadá, que concluíram que era usada para espiar computadores de mais de 100 países, entre os quais Portugal. Mas o documento levanta dúvidas.

O relatório foi publicado por uma empresa de segurança informática portuguesa, chamada Trusted Technologies e que é praticamente desconhecida. Os autores dizem ter entrado nos servidores da GhostNet e encontrado, entre outros dados, informação capaz de facultar o acesso a bases de dados do Ministério da Justiça, ficheiros sobre o sistema que gere as eleições em Portugal, documentos da Polícia Judiciária e informação sobre juízes e magistrados. A empresa diz ter uma cópia de toda esta informação, que só divulgará se existir “autorização expressa pelas entidades competentes”.

A própria Trusted Technologies enviou o documento às redacções e a instituições como a Presidência da República, a Procuradoria Geral da República, o Sindicato dos Magistrados e a Ordem dos Advogados. Hoje ao final da tarde, Bruno Vieira, engenheiro na Trusted e co-autor do relatório, disse ao PÚBLICO que não tinha tido qualquer resposta por parte destas entidades. Bruno Vieira contou que a investigação se desenrolou ao longo de cerca de seis meses e que foi motivada por notícias do início deste ano, que davam conta que vários computadores de organismos do Estado tinham sido alvo de ataques informáticos.

“Em teoria”, garantiu Vieira, a informação encontrada nos computadores chineses “põe em causa a segurança das instituições” e permite alterar bases de dados como as do Registo Predial ou até interferir com a contagem de votos numa eleição.

O PÚBLICO tentou sem sucesso contactar o Instituto de Tecnologias de Informação na Justiça, entidade que gere os sistemas informáticos associados a este ministério.

Muitos especialistas acreditam que a GhostNet possa ser operada por serviços de espionagem chineses, mas Vieira admitiu que, embora seja possível localizar geograficamente os computadores, não é possível ligá-los ao Governo de Pequim.

Já o director técnico da Symantec em Portugal, Timóteo Menezes, disse ao PÚBLICO haver casos conhecidos de redes que tentam roubar informação de computadores de organismos estatais (os EUA queixam-se frequentemente de serem espiados pela China). Mas argumentou que o relatório levanta “muitas dúvidas”, não oferece uma explicação cabal da investigação e parece ser “uma história em que se pode querer acreditar”.

Segundo a Trusted, o processo de roubo de informação implica aquilo a que se chama engenharia social – ou seja, é necessário que um utilizador (como um funcionário) abra um ficheiro num e-mail ou aceda a um site controlado pelos atacantes. Depois, a GhostNet explora vulnerabilidades e instala software malicioso, com o qual é possível controlar à distância os computadores. As máquinas infectadas são então instruídas para enviar ficheiros para os computadores da rede espiã.

(...)

tentativas de intrusão na rede do governo

notícia da Lusa e no site do Público de hoje (com ref. a outra do Expresso):

Tentativas de intrusão no sistema informático do governo duplicaram após comunicação do PR

excertos:

"As tentativas de intrusão no sistema informático do Governo intensificaram-se “a níveis preocupantes” nos últimos dias, depois de Cavaco Silva ter admitido “vulnerabilidades” no sistema da Presidência, revela hoje a Presidência do Conselho de Ministros.

Numa nota enviada às redacções, a Presidência do Conselho de Ministros garante a eficácia do sistema informático do Governo que “rejeitou, com sucesso, 12 tentativas graves de intrusão entre os dias 27 e 29 de Setembro, tendo esse número mais do que duplicado (32 tentativas graves de intrusão) entre os dias 30 de Setembro e 2 de Outubro”.

(...)

A Presidência do Conselho de Ministros salienta hoje que, “se necessário”, o Governo irá participar criminalmente contra os autores de ilícitos criminais ao abrigo da lei do cibercrime e avisa que o Centro de Gestão da Rede Informática do Governo (CEGER) já iniciou “diligências tendo em vista detectar a origem das tentativas de intrusão”.

O CEGER está também a reavaliar os “mecanismos de prevenção disponíveis para contrariar a intensificação dos ataques informáticos, incluindo ao nível dos servidores que disponibilizam conteúdo de acesso público pela Internet”.

O semanário "Expresso" afirma hoje em manchete que conseguiu entrar na rede informática do Governo. “O Expresso entrou na rede informática de São Bento, mas a de Belém mostrou-se inviolável”, destacou o semanário.

(...)

“Da notícia do Expresso, o que resulta é a constatação da possibilidade de eventual acesso apenas a uma zona de registo de nomes dos subdomínios ‘gov.pt’, que são meros endereços para acesso a sítios da Internet, nos quais apenas residem conteúdos de divulgação pública”, realça.
"

De facto, apesar do título ("Conseguimos entrar na rede informática do Governo", a notícia do Expresso refere apenas um ataque de DNS poisoning ao qual é estranho chamar "entrar".

best student paper award - DISC'09

Este trabalho ainda não tem a ver com segurança mas virá a ter. Seja como for, aqui fica o resultado dado 2 dos autores do blog estarem envolvidos:

Henrique Moniz, aluno de doutoramento do DI-FCUL, obteve o "best student paper award" no 23rd International Symposium on Distributed Computing (DISC 2009) com o artigo:

Randomization Can Be a Healer: Consensus with Dynamic Omission Failures
Henrique Moniz, Nuno F. Neves, Miguel Correia, Paulo Verissimo

o artigo

notícia na info-Ciências digital

entrevista com o Henrique Moniz

o sítio da conferência

vulnerabilidades na Presidência da República

toda a gente ouviu e leu, mas aqui fica:

"8. A segunda interrogação que a publicação do referido e-mail me suscitou foi a seguinte: “será possível alguém do exterior entrar no meu computador e conhecer os meus e-mails? Estará a informação confidencial contida nos computadores da Presidência da República suficientemente protegida?”

Foi para esclarecer esta questão que hoje ouvi várias entidades com responsabilidades na área da segurança. Fiquei a saber que existem vulnerabilidades e pedi que se estudasse a forma de as reduzir."

Declaração do Presidente da República

Palácio de Belém, 29 de Setembro de 2009