vulnerabilidades em sistemas SCADA

Assustador: "The following are almost all the vulnerabilities I found for a quick experiment some months ago in certain well known server-side SCADA softwares still vulnerable in this moment."

O mail completo apareceu na Bugtraq e contém ligações para os proof-of-concept: http://seclists.org/bugtraq/2011/Mar/187

emissão de certificados fraudulentos

Microsoft warns: Fraudulent digital certificates issued for high-value websites

"Microsoft today warned that Comodo has issued nine fraudulent digital certificates to a third party whose identity could not be sufficiently validated, a scenario that could allow attackers to spoof content, perform phishing attacks, or perform man-in-the-middle attacks against all Web surfers. According to the Microsoft advisory, the fraudulent Web certificates affect the Microsoft Live service, Google’s mail system, Yahoo and Skype log-ins.

    * login.live.com
    * mail.google.com
    * www.google.com
    * login.yahoo.com (3 certificates)
    * login.skype.com
    * addons.mozilla.org
    * “Global Trustee”"

fonte: ZeroDay http://www.zdnet.com/blog/security/

Ciber-crime dá mais dinheiro do que qualquer outra actividade

Professor John Williams, director of the Geospatial Data Centre, said: "Cyber-physical security is now considered the number one threat to national security, being deemed more critical than conventional nuclear attacks.
"Last year alone, the US logged over 300,000 virus attacks on their networks and noted that organised crime now makes more money from cyber crime than any other activity."

Fonte: BBC News

Novos ataques Web 2010

Alguns posts atrás escrevi sobre um top 10 de novos ataques web 2010. Agora descobri o post original (ou o que parece ser o post original), que lista não apenas 10 mas 69 novos ataques e contém também links para os novos ataques de anos anteriores:

Top Ten Web Hacking Techniques of 2010 (Official)

Sistema informático dos tribunais vulnerável

O Citius volta a dar que falar. A notícia de hoje do Público não é inesperada mas é de extrema gravidade. A possibilidade de aceder a dados confidenciais nos tribunais ou até modificar sentenças e outras peças de processos pode ter um efeito devastador. Os sublinhados são meus:

Auditoria detectou 21 falhas de segurança no sistema informático dos tribunais

Por Mariana Oliveira Ministério da Justiça não explicita quais os problemas que já foram resolvidos, adiantando apenas que corrigiu as falhas que a tecnologia do actual sistema permitiu

Uma auditoria encomendada pelo Ministério da Justiça à empresa Critical Software detectou 21 falhas na segurança do sistema informático dos tribunais, o Citius, composto por várias aplicações. Do conjunto, seis deficiências foram classificadas com risco máximo, face à probabilidade e impacto dos problemas. A auditoria é de Julho de 2009, tendo sido concluído um aditamento em Março do ano passado que confirmou 14 das falhas de segurança, não tendo, até agora, os resultados de qualquer uma delas sido conhecidos publicamente.

O Ministério da Justiça (MJ) recusa-se a explicitar quais os problemas já resolvidos, alegando razões de segurança, mas precisa que corrigiu as falhas "permitidas pelas possibilidades tecnológicas do actual sistema". Neste momento, o Citius está a ser transformado, tendo a Critical Software sido contratada em Junho do ano passado para reescrever as aplicações numa nova linguagem, que, segundo o MJ, permitirá melhorar a segurança e a eficiência do Citius. O MJ revela que o novo Citius Plus entrará em testes a partir de Setembro, na comarca-piloto de Lisboa-Noroeste.

Descobrir passwords
A auditoria dá conta da possibilidade de alterar ou remover gravações de audiências em tribunais, do risco de subverter dados no envio de peças processuais e da fraca qualidade das passwords (ver caixa). "Com recurso a ferramentas de fácil acesso (disponíveis na Internet), a equipa de auditoria, através da exploração de uma vulnerabilidade e apenas em duas horas, teve acesso a 53 por cento das passwords dos mandatários", lê-se no documento.

José Tribolet, presidente do INESC- - Instituto de Engenharia de Sistemas e Computadores e consultor da Procuradoria-Geral da República, considera que a mudança tecnológica que está a ser feita era "imprescindível" e explica que esta vai "permitir melhorar significativamente os atributos de segurança global do sistema". Contudo, salienta que tal intervenção não vai permitir resolver todos os problemas detectados, já que alguns não estão relacionados com as aplicações, mas com a arquitectura do sistema (que não vai ser alterada para já), a rede da Justiça e a forma como a informação é guardada. O professor estima que a maioria dos problemas técnicos deverá estar ultrapassada até ao final de 2012. "Mas só dentro de uma década deveremos ter um novo sistema de Justiça, que implica mudanças de hardware, software, redes e, acima de tudo, mudança de mentalidades e de comportamentos", afirma.

A auditoria da Critical Software seguiu-se a uma outra realizada em Março de 2009 pela Faculdade de Engenharia da Universidade do Porto, que também detectou inúmeras fragilidades no sistema. Apesar disso, considerou que o sistema oferecia um "nível superior de segurança e consistência" relativamente à utilização do papel, aconselhando, por isso, a manutenção da obrigatoriedade da utilização do Citius nos processos cíveis, uma regra que entrara em vigor em Janeiro desse ano.

As auditorias foram pedidas após queixas de juízes, que denunciaram, por exemplo, o desaparecimento electrónico de um processo e o arquivamento de outro sem intervenção do juiz. No início da semana o sindicato dos juízes ameaçou boicotar a utilização do Citius Plus se os problemas de segurança não forem resolvidos.

Empresa atribuiu risco máximo a seis problemas

- Possibilidade de aceder, alterar ou remover gravações de audiências em tribunais sem controlo de acesso.

- Possibilidade de qualquer utilizador no interior da rede da justiça alterar ficheiros de forma maliciosa antes de chegarem ao seu destinatário.

- A possibilidade de subverter dados no envio de peças processuais na aplicação utilizada pelos advogados.

- Acesso não-autorizado ao Habilus sem necessidade de introduzir credenciais.

- Livre acesso às credenciais de administração da base de dados da produção do Habilus.

- Fraca qualidade das passwords na base de dados central e no sistema de atribuição de senhas (que podem ser iguais ao login).

- Autentificação no Habilus é possível utilizando um cartão (usado pelos juízes para assinar despachos de forma digital) forjado.

- Possibilidade dos magistrados (com credenciais de administradores) poderem instalar software malicioso de forma não-intencional.