Drone atacado

Assustador:


Grupo da Universidade do Texas alerta para perigos associados aos aviões não tripuladosInvestigadores norte-americanos piratearam um “drone” em pleno voo
Público 29.06.2012

Um grupo de investigadores da Universidade de Austin, no Texas, conseguiu assumir o controlo de um “drone” durante o voo e demonstrar o risco de utilizar este tipo de aparelhos.


Os “drones” são aviões não tripulados e controlados à distância, muitas vezes a milhares de quilómetros, e têm sido usados sobretudo em teatros de guerra, como no conflito no Afeganistão. Um grupo de investigadores do Texas conseguiu agora provar que é possível piratear estes aparelhos e enganá-los através de uma técnica designada por “spoofing”.

Através desta técnica, o aparelho interpreta o sinal enviado por “hackers” como se fosse o dos satélites GPS, o que permite assumir o controlo do avião depois de o seu sistema informático ser “enganado”. O sistema GPS do aparelho recebe um sinal mais poderoso do que aquele que lhe é enviado pelos satélites, explicou à FOX News Todd Humphreys, professor do Laboratório de Radionavegação da Universidade do Texas.

O avião passa assim a responder a informação falsa que lhe parece real, e neste caso passou a ser controlado por um aparelho que Humphreys descreveu como o mais avançado “spoofer” construído até hoje, mas que terá custado apenas cerca de mil dólares.

Esta investigação demonstra os potenciais perigos da utilização de “drones”, sublinhou a BBC. Desta vez foi pirateado o sistema GPS de um aparelho que pertence à Universidade do Texas, mas isso não significa que não existam experiências semelhantes em cenários de conflito. Terá sido um método semelhante que levou à queda de um “drone” norte-americano no Irão, em 2011.

Os resultados desta investigação já foram apresentados ao Departamento de Segurança norte-americano, durante uma experiência num estádio em Austin com um mini-helicóptero não tripulado, adiantou a Fox New. Em declarações à estação norte-americana, Humphreys fez a pergunta que preocupa muitos responsáveis da área de segurança. “E se for possível deitar abaixo um destes ‘drones’ usados para distribuir encomendas, fazendo dele um míssil? É a mesma forma de pensar que tiveram os autores do 11 de Setembro.”

Os investigadores usaram um aparelho que respondia a um sinal de GPS aberto, não codificado, que normalmente é usado na aviação civil, adiantou à BBC Noel Sharkey, responsável do Comité Internacional para o Controlo de Armas Robotizadas, que adiantou ser fácil piratear um “drone” a partir das técnicas que foram usadas pelos investigadores do Texas.

“Alguém com capacidades técnicas pode fazê-lo, com um custo de cerca de 1000 dólares pelo equipamento”, adiantou Sharkey. “E é muito perigoso, porque se um aparelho estiver a dirigir-se para algum sítio usando o seu GPS, um ‘spoofer’ pode desviá-lo para outro sítio e fazê-lo embater num edifício ou noutro local, ou pode roubá-lo e carregá-lo de explosivos para depois o direccionar para algum alvo.”

Nos próximos 5 a 10 anos, deverão existir no espaço aéreo norte-americano cerca de 30.000 drones, disse Todd Humphreys à Fox News, que alertou às autoridades para que estejam atentas a esta questão de forma a melhorar a segurança associada aos “drones”, porque “cada um deles poderá vir a ser usado como um míssil”.

ISACA publica COBIT 5 for Information Security

ver artigo no Finantial Post:

ISACA Issues COBIT 5 for Information Security

Today [25 Jun] at the INSIGHTS 2012 conference, ISACA released COBIT 5 for Information Security, which builds on the recently released COBIT 5 framework to provide practical guidance for those interested in security at all levels of an enterprise. ISACA’s COBIT 5 framework is the only business framework for the governance and management of enterprise IT.

In the past year, close to one in four (22%) enterprises has experienced a security breach and 21% have faced mobile device security issues, according to a global survey of more than 3,700 IT professionals who are members of ISACA. In the next 12 months, data leaks and employee-related issues top the list of hot-button IT issues most likely to challenge an organization’s network security. The threats were ranked in the following order:
  • Data leakage (loss or breach) 17%
  • Inadvertent employee mistakes 16%
  • Incidents related to employees’ personal devices (BYOD) 13%
  • Cloud computing 11%
  • Cyber attacks 7%
  • External hacking 5%
  • Disgruntled employee 5%
  • All of the above 19%
“COBIT 5 for Information Security can help enterprises reduce their risk profile by managing security appropriately. Information and related technologies are increasingly core to the enterprise, but information security is core to stakeholder trust,” said Christos Dimitriadis, CISA, CISM, CRISC, ISACA international vice president. “With professionals from 40 countries gathering at INSIGHTS 2012, this is the ideal venue to release the latest expert advice.”

COBIT 5 for Information Security is available from ISACA, a nonprofit global association of 100,000 IT governance professionals. The guide is divided into three sections: Information Security, Using COBIT 5 Enablers for Implementing Information Security in Practice, and Adapting COBIT 5 for Information Security to the Enterprise Environment.

This latest guide is part of the comprehensive COBIT 5 family of publications. It provides additional guidance on the enablers within the COBIT framework and equips security professionals with the knowledge they need to use COBIT for more effective delivery of business value.

“The governance and management of information and technology is a large and complex topic. COBIT helps counter that complexity through relevant, effective and simple-to-use business guidance on specific areas within information systems. COBIT 5 for Information Security provides the security-specific perspective of this important business tool, and was designed in response to heavy demand for security guidance that integrates other major frameworks and standards,” said Greg Grocholski, CISA, international president of ISACA and chief audit executive at Dow Chemical.

COBIT 5 provides globally accepted principles, practices, analytical tools and models designed to help business and IT leaders maximize trust in, and value from, their enterprise’s information and technology assets. The framework and related documents have been downloaded 70,000 times in the two months since release.

(...)

Boas razões para não deixar a rede wireless desprotegida

Pelo menos se viver nos EUA... Em poucas palavras: uma família em Evansville, Indiana, tinha uma rede wireless desprotegida; um vizinho usou-a para pôr ameaças contra a polícia local no topix; a polícia enviou uma brigada SWAT para entrar na casa. O vídeo vale a pena: fizeram uma triste figura mas com convicção.

A notícia na ArsTechnica e o vídeo.

Operação Card Shop

FBI detém 24 pessoas na maior operação contra pirataria de cartões de crédito
Público

Uma operação realizada em 13 países contra a pirataria de cartões de crédito levou à detenção de 24 pessoas, anunciou o FBI. A Operação Card Shop durou dois anos e envolveu agentes da polícia federal norte-americana infiltrados.


A operação policial decorreu em 13 países de quatro continentes e os detidos são homens entre os 18 e os 25 anos, suspeitos roubo de números e outras informações relativas a cartão de crédito através da Internet. “De Nova Iorque à Noruega, passando pelo Japão e pela Austrália, a Operação Card Shop visou piratas informáticos sofisticados e muito bem organizados, que compravam e vendiam identidades roubadas e informações de cartões de crédito, falsificavam documentos e recorriam a outras formas de pirataria”, adiantou o FBI em comunicado.

Onze pessoas foram detidas nos Estados Unidos, duas delas em Nova Iorque, seis no Reino Unido e duas na Bósnia, mas houve também uma detenção na Bulgária, outra na Noruega e mais uma na Alemanha. Mais duas pessoas foram presas, em Itália e Japão, com base em mandados provisórios - e o "hacker" detido em Itália é aquele contra qual existem as acusações mais graves, que podem levá-lo a passar 37 anos na prisão. Foram também feitas operações na Austrália, Canadá, Dinamarca e ex-República Jugoslávia da Macedónia; em Nova Iorque, há mandados adicionais contra quatro pessoas, que andam a monte, diz um comunicado do FBI.

A operação começou em 2010. “Estas detenções representam um golpe importante contra a economia subterrânea e demonstram que os endereços de IP [ou Internet Protocol, as moradas atribuídas aos sites] dissimulados e os fóruns informáticos privados não mantêm os criminosos a salvo”, adiantou o FBI.

Um dos detidos, um rapaz de 18 anos que se identificava na Internet como “JoshTheGod”, foi acusado de ter roubado e traficado cerca de 50 mil números de cartão de crédito. Ao todo, as autoridades policiais suspeitam que cerca de 400 mil contas poderiam estar comprometidas.

Outro dos detidos, que se identificava como xVisceral, disponibilizava por 50 dólares acesso remoto a ferramenta designadas RATS, que permitem controlar e recolher dados de computadores remotamente, ou accionar webcams para espiar o utilizador e conhecer as suas passwords, vigiando todos os seus movimentos no teclado.

(...)

artigo completo no site do Público

Mega-ataque a bancos: Operation High Roller

Sophisticated bank fraud attempted to steal at least $78 million
fonte: ArsTechnica

McAfee and fellow security firm Guardian Analytics released a report today that detailed a sophisticated type of bank fraud that originated in Italy and spread globally, initiating the transfer of at least $78 million from around 60 financial institutions. Banks in the Netherlands were hit the hardest, with fraudsters attempting to transfer over $44 million worth of funds.

The security firms said the attack was unique because it featured both off-the-shelf and custom malicious code to break into the banks' systems. The firms suggested that the creators of the code knew a lot about internal banking transactions, calling the operation "organized crime."

McAfee and Guardian called their investigation "Operation High Roller" because the fraudsters targeted high-worth individuals and businesses to disguise illegal transfers that were much larger than those in usual bank fraud. Some attempted transfers reached as high as $130,000 (McAfee does not mention whether the transfers were successful or not). As the investigation continued, researchers found the method used by the criminals evolved a little with every incarnation, making it a little more adaptable for each new banking system.

"While at first consistent with other client-based attacks we have seen, this attack showed more automation. Instead of collecting the data and performing the transaction manually on another computer, this attack injected a hidden iFRAME tag and took over the victim’s account—initiating the transaction locally without an attacker’s active participation," the Operation High Roller white paper (PDF) read. In Italy, "the code used by the malware looked for the victim’s highest value account, looked at the balance, and transferred either a fixed percentage (defined on a per campaign basis, such as three percent) or a relatively small, fixed €500 amount [roughly $625] to a prepaid debit card or bank account."

Eventually, the money launderers were able to simulate a two-factor authentication. Where the victim would have to use a SIM card to authenticate a transfer in the system, the thief's system was "able to capture and process the necessary extra information, representing the first known case of fraud being able to bypass this form of two-factor authentication."

Two months later, in the Netherlands attack, the criminals found that they could get around security and monitoring tools by enabling transfers on the server side of the bank accounts. In one instance where servers automating the attacks were found in Brea, California, a criminal was found logging in from Moscow, Russia.

...


relatório da McAffee

Vulnerabilidade nos tokens SecureID 800 da RSA

Depois da intrusão que sofreu o ano passado, mais uma má notícia para a RSA, embora os tokens de várias outras empresas também sejam afectados:

Scientists crack RSA SecurID 800 tokens, steal cryptographic keys
ArsTechnica

"Scientists have devised an attack that takes only minutes to steal the sensitive cryptographic keys stored on a raft of hardened security devices that corporations and government organizations use to access networks, encrypt hard drives, and digitally sign e-mails.

The exploit, described in a paper to be presented at the CRYPTO 2012 conference in August, requires just 13 minutes to extract a secret key from RSA's SecurID 800, which company marketers hold out as a secure way for employees to store credentials needed to access confidential virtual private networks, corporate domains, and other sensitive environments. The attack also works against other widely used devices, including the electronic identification cards the government of Estonia requires all citizens 15 years or older to carry, as well as tokens made by a variety of other companies.
Security experts have long recognized the risks of storing sensitive keys on general purpose computers and servers, because all it takes is a vulnerability in a single piece of hardware or software for adversaries to extract the credentials. Instead, companies such as RSA; Belcamp, Maryland-based SafeNet; and Amsterdam-based Gemalto recommend the use of special-purpose USB sticks that act as a digital Fort Knox that employees can use to safeguard their credentials. In theory, keys can't be removed from the devices except during a highly controlled export process, in which they're sealed in a cryptographic wrapper that is impossible for outsiders to remove.

"They're designed specifically to deal with the case where somebody gets physical access to it or takes control of a computer that has access to it, and they're still supposed to hang onto their secrets and be secure," Matthew Green, a professor specializing in cryptography in the computer science department at Johns Hopkins University, told Ars. "Here, if the malware is very smart, it can actually extract the keys out of the token. That's why it's dangerous." Green has blogged about the attack here.

If devices such as the SecurID 800 are a Fort Knox, the cryptographic wrapper is like an armored car used to protect the digital asset while it's in transit. The attack works by repeatedly exploiting a tiny weakness in the wrapper until its contents are converted into plaintext. One version of the attack uses an improved variation of a technique introduced in 1998 that works against keys using the RSA cryptographic algorithm. By subtly modifying the ciphertext thousands of times and putting each one through the import process, an attacker can gradually reveal the underlying plaintext, D. Bleichenbacher, the original scientist behind the exploit, discovered. Because the technique relies on "padding" inside the cryptographic envelope to produce clues about its contents, cryptographers call it a "padding oracle attack." Such attacks rely on so-called side-channels to see if ciphertext corresponds to a correctly padded plaintext in a targeted system.

It's this version of the attack the scientists used to extract private keys stored on RSA's SecurID 800 and many other devices that use PKCS#11, a programming interface included in a wide variety of commercial cryptographic devices. Under the attack Bleichenbacher devised, it took attackers about 215,000 oracle calls on average to pierce a 1024-bit cryptographic wrapper. That required enough overhead to prevent the attack from posing a practical threat against such devices. By modifying the algorithm used in the original attack, the revised method reduced the number of calls to just 9,400, requiring only about 13 minutes of queries, Green said.

Other devices that store RSA keys that are vulnerable to the same attack include the Aladdin eTokenPro and iKey 2032 made by SafeNet, the CyberFlex manufactured by Gemalto, and Siemens' CardOS, according to the paper.
The researchers also use refinements of an attack introduced in 2002 by Serge Vaudenay that exploits weaknesses in what is known as CBC padding to extract symmetric keys.

The CRYPTO 2012 paper is the latest research to demonstrate serious weaknesses in devices that large numbers of organizations rely on to secure digital certificates. In 2008, a team of hardware engineers and cryptographers cracked the encryption in the Mifare Classic, a wireless card used by transit operators and other organizations in the public and private sectors to control physical access to buildings. Netherlands-based manufacturer NXP Semiconductors said at the time it had sold 1 billion to 2 billion of the devices. Since then, crypto in a steady stream of other devices, including the Keeloq security system and the MiFare DESFire MF3ICD40, has also been seriously compromised.

The latest research comes after RSA warned last year that the effectiveness of the SecurID system its customers use to secure corporate and governmental networks was compromised after hackers broke into RSA networks and stole confidential information concerning the two-factor authentication product. Not long after that, military contractor Lockheed Martin revealed a breach it said was aided by the theft of that confidential RSA data.

RSA didn't return e-mails seeking comment for this article. According to the researchers, RSA officials are aware of the attacks first described by Bleichenbacher and are planning a fix. SafeNet and Siemens are also in the process of fixing the flaws, they said. The researchers also reported that Estonian officials have said the attack is too slow to be practical."

Conversar com um hacker dentro de um virus (!?)

 
Posted 6 days ago by Hynek Blinka 
 
This is an impressive and first-time experience in my anti-virus career. I chatted with a hacker while debugging a virus. Yes, it’s true. It happened when the Threat team were researching key loggers for Diablo III while many game players playing this game found their accounts stolen.  A sample is found in battle .net in Taiwan.

...

artigo completo


Autoria do Flame/Flamer/Skywiper

Parece mesmo ter havido Colaboração entre os criadores dos vírus Flame e Stuxnet. No Público online:

EUA e Israel foram os criadores do vírus Flame

EUA e Israel desenvolveram em conjunto o sofisticado vírus informático Flame, detectado recentemente e considerado uma “ciberarma” global, com o intuito de conduzir uma ciber-sabotagem à capacidade iraniana de desenvolver armas nucleares, avança hoje o “The Washington Post”, que cita “responsáveis ocidentais com conhecimentos acerca desse esforço”.

Este malware alegadamente desenvolvido por Washington e Telavive infiltrou-se secretamente na rede iraniana e monitorizou as actividades do sector nuclear nacional, enviando dados sensíveis para os responsáveis americanos e israelitas, indicaram os mesmos responsáveis que foram a fonte deste artigo daquele jornal.

O esforço de desenvolvimento deste vírus – a cargo da National Security Agency (NSA), da CIA e do Exército israelita, segundo o mesmo diário – incluiu o uso de software destrutivo semelhante ao já conhecido Stuxnet, para causar danos de funcionamento ao equipamento de enriquecimento nuclear iraniano.

Estes novos detalhes acerca do Flame fornecem novas pistas para aquilo que poderá ser considerada a primeira campanha de ciber-sabotagem contra um inimigo comum dos EUA e de Israel.

Pensa-se que este vírus Flame – considerado um dos mais complexos alguma vez detectados – também terá recolhido dados privados de uma série de países para além do Irão, incluindo Sudão, Síria, Líbano, Arábia Saudita e Egipto.

A empresa de segurança informática russa Kaspersky Labs – das primeiras entidades a denunciar a existência do vírus – indicou recentemente à BBC que este malware é muito complexo e que poderá demorar anos a analisar. Actua como uma espécie de “aspirador” de dados estatais sensíveis. A mesma empresa indicou igualmente que os ataques teriam origem num programa governamental.

Até ao momento, quer os EUA quer Israel sempre negaram qualquer envolvimento na criação desta “ciberarma”.

Washington e Telavive não comentam

Apesar da negação, um alto responsável dos serviços secretos norte-americanos disse ao WP que este vírus foi apenas uma forma de preparar terreno para novas acções mais avançadas de espionagem e neutralização que já estão a decorrer e que foram planeadas pelos EUA e Israel.

A CIA, a NSA e o gabinete do Director dos Serviços Secretos Nacionais, bem como a embaixada israelita em Washington, escusaram-se a comentar esta notícia, indica o WP.

O Flame foi criado de forma a operar disfarçado de uma corriqueira actualização da Microsoft e conseguiu durante anos despistar qualquer detecção usando um sofisticado programa envolvendo a encriptação de algoritmos.

“Isto não é algo que a maioria dos programadores tenha a capacidade de fazer”, disse Tom Parker, responsável do FusionX, uma empresa de segurança especialista em simulação de ciberataques levados a cabo por Estados. Parker adianta não saber quem estará por detrás da criação deste vírus, mas adianta que ele é fruto do trabalho de pessoas com conhecimentos avançados em criptografia e matemática, tais como as que trabalham para a NSA.

O WP indica ainda, citando responsáveis americanos familiarizados com as ciber-operações nacionais e peritos que escrutinaram o código do vírus, que o Flame foi desenvolvido há pelo menos cinco anos como parte de uma operação denominada Jogos Olímpicos.

Até ao momento, a mais conhecida ciber-arma usada contra o Irão foi o vírus Stuxnet, que infectou os sistemas nucleares iranianos fazendo com que quase mil centrifugadoras de urânio ficassem fora de controlo. Os estragos foram acontecendo gradualmente, ao longo de meses, e as autoridades iranianas pensaram inicialmente que isso era o resultado da incompetência dos técnicos.

Os esforços para atrasar e causar danos ao programa nuclear iraniano - que Teerão sempre disse ter um fim pacífico - começaram a tomar forma durante o segundo mandato do Presidente George W. Bush.

Nessa altura tratava-se apenas de reunir informações secretas a fim de se identificarem potenciais alvos. Em 2008 - continua o WP - o programa ficou operacional (ainda durante a Presidência de Bush) e passou do controlo militar para a CIA.

Apesar da colaboração entre os EUA e Israel para o desenvolvimento de malware, nem sempre Washington e Telavive coordenaram os seus ataques, o que ficou provado em Abril passado, quando o estado israelita levou a cabo um ataque unilateral contra as infra-estruturas petrolíferas iranianas que causaram apenas problemas menores. Foi precisamente esta acção que levou à descoberta do Flame. 

Colaboração entre os criadores dos vírus Flame e Stuxnet?


Houve colaboração entre os criadores dos vírus Flame e Stuxnet
Público, 12.06.2012

As equipas responsáveis pela criação dos vírus informáticos Flame e Stuxnet, que entre outras coisas permitiam aceder a dados sensíveis sobre o programa nuclear iraniano, colaboraram nos estágios iniciais de desenvolvimento do malware.


Quem o afirma é a empresa de segurança informática russa Kaspersky Labs, explicando que as equipas responsáveis por ambos os vírus cooperaram “pelo menos uma vez” a fim de partilharem código.

“Aquilo que descobrimos sugere que as ciberarmas Stuxnet e Flame estão interligadas”, indicou a Kaspersky Labs.

Citado pela BBC, Alexander Gostev, perito de segurança da empresa russa, afirmou: “Estas descobertas indicam que as equipas partilharam código de um módulo, pelo menos, nos estágios iniciais de desenvolvimento [do malware], o que prova que as equipas cooperaram pelo menos uma vez”.

Vitaly Kamluk, outro perito em malware da Kaspersky Labs, indicou por seu lado: “Fica provada uma ligação. Não se trata apenas de uma cópia. Pensamos que estas equipas são diferentes; duas equipas diferentes que trabalharam em conjunto, ajudando-se uma à outra em fases diferentes”.

A ligação foi descoberta através de um módulo apelidado de “Resource 207”, descoberto em versões iniciais no vírus Stuxnet, mais antigo que o Flame.

Soube-se recentemente que o vírus Stuxnet lançou o caos na central nuclear iraniana de Natanz, destruindo pelo menos 1000 das cerca de 5000 centrifugadoras onde o urânio era depurado e purificado, com fins nucleares. Estes ataques terão sido autorizados pelo próprio Presidente Barack Obama – de acordo com uma reportagem de investigação recente publicada no The New York Times – e o vírus terá sido desenvolvido em colaboração com Israel, segundo a mesma notícia.

Já o vírus Flame – considerado um dos mais complexos alguma vez detectados – recolheu dados privados de uma série de países, incluindo Irão, Sudão, Síria, Líbano, Arábia Saudita e Egipto. Entretanto soube-se que no início deste mês o Flame recebeu ordem dos seus criadores para desaparecer sem deixar rasto.

Até ao momento nenhum país assumiu responsabilidade pela criação destes dois vírus. Mais: quer os EUA quer Israel já negaram qualquer envolvimento na produção deste tipo de ciberarmas.

Na semana passada, o secretário-geral da International Telecommunication Union (ITU) da ONU, Hamadoun Toure, afirmou não acreditar que os EUA estivessem por detrás do Flame e que as notícias que davam conta do envolvimento do país na criação do Stuxnet eram pura “especulação”.

Alan Woodward, um perito em segurança informática da Universidade de Surrey, disse que estas conclusões da Kaspersky Labs são interessantes mas não indicam claramente quem está por detrás dos ataques. “O facto de ter havido partilha de código sugere que não se trata apenas de alguém a copiar ou a reutilizar um pedaço do Stuxnet ou do Flame que encontrou à solta, mas antes que as pessoas que escreveram o código o partilharam”, disse Woodward citado pela BBC.

“Porém, tudo o resto parece indicar que o Flame e o Stuxnet foram criados por grupos separados de programadores. No mínimo, isto sugere que há dois grupos capazes de criar este tipo de código”, indicou ainda.

Flame suicida-se

A notícia original no site da Symantec:
Flamer: Urgent Suicide

(a Symantec que foi quem o descobriu chama-lhe Flamer, não Flame)


Vírus informático Flame recebeu ordem de destruição
Público, 11.06.2012

O vírus informático Flame, detectado recentemente e considerado uma “ciberarma”, recebeu ordem dos seus criadores para desaparecer sem deixar rasto, indicou a empresa de segurança informática Symantec. A missão do vírus era, entre outras coisas, copiar documentos secretos ligados ao programa nuclear iraniano.


De acordo com a Symantec, os criadores do Flame colocaram em acção um “comando suicida” que tem a missão de retirar o malware dos computadores infectados.

Pensa-se que este vírus Flame – considerado um dos mais complexos alguma vez detectados tem recolhido dados privados de uma série de países, incluindo Irão, Sudão, Síria, Líbano, Arábia Saudita e Egipto. Desencadeou um complexo ciberataque à escala mundial.

A empresa de segurança informática russa Kaspersky Labs – das primeiras entidades a denunciar a existência do vírus – indicou recentemente à BBC que o malware é muito complexo e que poderá demorar anos a analisar. Actua como uma espécie de “aspirador” de dados estatais sensíveis. A mesma empresa indicou igualmente que os ataques terão origem num programa governamental, mas não quiseram indicar qual a eventual origem geográfica da ameaça.

Os EUA – que negaram ter qualquer envolvimento na criação desta ameaça, tal como Israel – descreveram o vírus Flame como um instrumento de espionagem que poderia danificar infra-estruturas críticas e emitiu o mais grave alerta de ciber-segurança alguma vez emitido.

Ordem para desaparecer

Depois de a ameaça ter sido detectada e noticiada em todo o mundo, o vírus recebeu recentemente ordem para desaparecer sem deixar rasto.

“No final da semana passada, certos centros de comando do Flame enviarem uma nova ordem a diversos computadores contaminados. Essa ordem tinha por objectivo fazer desaparecer completamente o Flame dos computadores comprometidos”, especificou a Symantec.

Como muitas outras empresas de segurança informática, a Symantec tem monitorizado o vírus Flame usando máquinas apelidadas de honeypot (qualquer coisa como ‘frasco de mel’), que têm precisamente a finalidade de serem infectados intencionalmente a fim de poderem reportar a actuação do programa malicioso.

Foi precisamente através deste método que a Symantec percebeu, no início desta semana, que alguns computadores que supervisionam e controlam a missão Flame enviaram uma “mensagem suicida” aos PC infectados, o que tinha como objectivo “remover completamente o vírus dos computadores comprometidos”, indica a BBC.

Este “comando suicida” localizou todos os ficheiros Flame presentes na rede de computadores na qual o malware se tinha instalado, começou por removê-los e injectou informação sem nexo para ludibriar qualquer exame forense feito posteriormente.

“[O comando suicida] Tenta não deixar quaisquer vestígios de infecção atrás de si”, indicou a Symantec, acrescentando que esta “operação de limpeza” começou no início de Maio.

Alguns peritos em criptografia que analisaram o Flame indicaram entretanto tratar-se de um malware ultra complexo e sofisticado, nomeadamente permitindo ao vírus usar credenciais digitais falsas que o ajudaram a espalhar-se pelo mundo.

Esta conclusão dá ainda mais alento à teoria de que o Flame foi uma criação estatal e não obra de cibercriminosos comuns. Ainda não é claro que nação poderá estar por detrás deste vírus.

Escutas

Tudo sob "escuta"

Pôr um país inteiro sob “escuta”, com intercepção de todas as comunicações desse país, já é possível. Bem-vindos ao admirável mundo novo das tecnologias, agora apresentadas na ISS World Europe – 2012, que esta semana decorreu em Praga. Portanto, quem disponha dos meios (uma entidade estrangeira, por exemplo) pode, à vontade, interceptar tudo o que Portugal comunique. Quem está há muito habituado a estar sob escuta, não se incomoda muito… Mas há, pelo menos, um lado muito sensível: a informação das empresas… Outro tema em destaque na edição de este ano foi o “Social Network Monitoring and Investigations”

do site Inteligência Económica

Se tem LinkedIn mude a palavra-chave... rapidamente

Do Expresso:

Se tem LinkedIn mude a palavra-chave... rapidamente 

Um site norueguês aponta a possibilidade de terem sido roubadas milhões de palavras-chave de contas na rede social LinkedIn. Se tem conta nesta rede, pelo seguro o melhor a fazer é mudar o seu acesso.
   
6,5 milhões de palavra-passe encriptadas de contas na rede social LinkedIn foram roubadas e partilhadas num site russo de hackers. A notícia foi avançada pelo site tecnológico norueguês "Dagens IT" , tendo sido depois propagado por sites como o "The Next Web" ou o "Business Insider" .

O investigador norueguês Per Throsheim , especialista na área da segurança digital, já confirmou pelo Twitter que esta notícia é legítima e que milhões de contas estão em perigo caso não mudem rapidamente o seu acesso à rede social profissional.

O LinkedIn ainda não confirmou o roubo destas palavras-chave mas já afirmou, também via Twitter , que a equipa do site está a investigar esta fuga.

Ainda o Flame e o fim do mistério sobre o Stuxnet

Artigo no Público, baseada num artigo longo do NYT de 6ª feira ("Obama Order Sped Up Wave of Cyberattacks Against Iran"):


Barack Obama, o primeiro cibercomandante dos EUA 

Barack Obama é o primeiro cibercomandante-chefe dos Estados Unidos. Autorizou ataques com vírus informáticos que produziram estragos físicos como se fossem armas analógicas e não digitais nas instalações nucleares de Natanz, onde o Irão enriquece urânio.

O vírus Stuxnet, cuja autoria os especialistas de segurança informática atribuíam a um Estado, muito possivelmente os Estados Unidos, resultou mesmo de uma operação norte-americana, coordenada directamente pelo Presidente, afirma um livro do jornalista do New York Times David Sanger.

Obama é um Presidente sem medo da tecnologia. Aliás, é o Presidente que incorporou a tecnologia de forma decisiva na estratégia que aplicou para prosseguir as guerras que herdou da Administração de George W. Bush, de uma forma profunda e da qual nem os próprios norte-americanos têm ainda bem consciência. A faceta mais conhecida dessa guerra tecnológica é o uso dos drones, as aeronaves operadas remotamente, usadas para ataques cirúrgicos no Afeganistão, no Paquistão, no Iémen e na Somália, mas que por vezes atingem alvos civis. David Sanger, no livro Confront and Conceal: Obama"s Secret Wars and Surprising Use of American Power - que será publicado a 5 de Junho e do qual o New York Times publicou um extracto na sexta-feira -, começou a desfiar parte de uma outra utilização da tecnologia na guerra, mais precisamente da frente da ciberguerra.

O vírus Stuxnet lançou o caos em Natanz, destruindo pelo menos 1000 das cerca de 5000 centrifugadoras onde então o urânio, sob a forma de gás, era depurado, purificado, para obter concentrações mais puras deste elemento radioactivo usado para alimentar centrais nucleares - ou, em concentrações acima de 90%, para produzir armas nucleares. Os problemas em Natanz foram testemunhados pelos inspectores da Agência Internacional de Energia Atómica, que na altura não faziam ideia do que passava - tal como os iranianos, aliás. O que o jornalista do New York Times afirma é que estas avarias sucessivas, que levaram até a despedimentos, foram causadas por uma infecção com um vírus criado à medida das instalações de Natanz, por cientistas norte-americanos e israelitas.

A afirmação de David Sanger não surge do nada. Os analistas da empresa de segurança informática Symantec e um alemão especializado na segurança de sistemas de controlo industriais, como o controlador lógico programável da Siemens que era usado em Natanz para manter em operação as centrifugadoras, chegaram a essa conclusão através de um laborioso trabalho de análise de um código que é 50 vezes maior do que o tradicional vírus de computador, relatava a revista Wired em Julho de 2011.

O vírus é extremamente sofisticado - inclui quatro programas de "dia zero", que se baseiam em encontrar vulnerabilidades que até mesmo os fabricantes ainda não descobriram nas aplicações informáticas. Dos mais de 12 milhões de software danoso que é descoberto anualmente pelos especialistas de segurança informática, só cerca de uma dezena faz ataques de "dia zero", dizia ainda a Wired.

As suspeitas de Bush

Se Obama foi quem lançou em força a operação contra o Irão, a ideia foi iniciada em 2006, com George W. Bush. Nessa altura, o projecto Jogos Olímpicos começou a desenvolver o "bug", como era conhecido quando Bush o passou a Obama, relata David Sanger. Nessa altura, o Presidente Mahmoud Ahmadinejad mostrava aos jornalistas as instalações de Natanz e as suas grandes ambições de ali instalar 50 mil centrifugadoras - o que parecia suspeito para um país com um único reactor nuclear, cujo combustível vem da Rússia e que assegura que o seu programa nuclear tem fins exclusivamente civis. O objectivo seria enriquecer urânio até um nível que pudesse vir a ser usado em armas?

Entre bombardear o Irão, como defendiam os falcões da sua Administração e os israelitas, explica David Sanger, e a nova ideia que lhe foi apresentada pelo general James E. Cartwright, Bush escolheu a aposta na ciberguerra.

O primeiro passo foi conseguir penetrar na rede interna de Natanz, que não está ligada à Internet. Para isso foi precisa a ajuda de Israel. E o primeiro vírus inserido não foi o Stuxnet: foi um outro cuja missão era detalhar o funcionamento interno dos computadores que controlam as centrifugadoras, que giram a velocidades tremendas, e enviar essa informação para os EUA - "telefonar para casa". Só assim se poderia conceber o código adequado para tomar conta das centrifugadoras. O processo foi demorado, relata o jornalista do New York Times, mas resultou. Embora tenha havido um erro grave: o vírus saiu para a Internet, para o mundo, quando isso nunca deveria ter acontecido. Os norte-americanos culpam os israelitas. Mas foi por ter escapado que foi descoberto e deslindada, em grande parte, a sua origem, pelas empresas de antivírus.

Novos riscos

Se o Irão tem sido o alvo primordial da experiência de ciberguerra norte-americana, os resultados têm sido discutíveis - há quem diga que atrasaram o desenvolvimento das suas capacidades de enriquecimento de urânio 18 meses a dois anos, mas também há quem note que o país acelerou o seu desenvolvimento nesta área nos últimos tempos.

Mas os EUA, sobretudo, atravessaram uma fronteira decisiva. Enquanto alguns elementos da Administração pressionam para que a mesma tecnologia seja usada contra a Coreia do Norte, contra a Síria, as operações da Al-Qaeda, ou até para interferir nos planos militares chineses, o Presidente Barack Obama parece manter a consciência de que está a levar o seu país para um novo território, diz David Sanger.

"Obama disse repetidamente aos seus assessores que há riscos em usar - e sobretudo em usar excessivamente - esta arma. Na verdade, nenhum país tem uma infra-estrutura mais dependente dos sistemas informáticos, e por isso mais vulnerável a ataques, do que os EUA", escreve o jornalista. "É só uma questão de tempo, dizem os especialistas, até que [os EUA] se tornem alvo do mesmo tipo de arma que os americanos usaram, secretamente, contra o Irão."

Flame, o espião perfeito

Haverá uma nova arma de ciberguerra à solta na Internet no Médio Oriente por estes dias? O Flame, um outro vírus, 40 vezes mais complexo que o Stuxnet, está a infectar computadores sobretudo naquela região, sendo o Irão o país mais infectado, alertou esta semana a empresa de segurança informática russa Kaspersky.

Embora pareça ter sido escrito por outros programadores, a sua complexidade e raio geográfico da infecção faz de novo suspeitar que haja um Estado por trás, e não apenas cibercriminosos, escreve a Wired. Aliás, a Kaspersky começou a investigar o vírus a pedido da União Internacional de Telecomunicações, um organismo da ONU, diz a empresa. O que desencadeou a investigação foi o facto de estarem a desaparecer dados de computadores do Ministério do Petróleo de Teerão e da Companhia de Petróleo Iraniana.

Se o Stuxnet espantava por ser grande, com 500 kilobytes, o Flame é arrasador, com os seus 20 megabytes. E se o Stuxnet tinha um objectivo muito concreto, o de perturbar o funcionamento das centrifugadoras usadas nas instalações nucleares de Natanz, o Flame é uma espécie de espião perfeito: consegue activar o microfone interno do computador para gravar todas as conversas, ou o bluetooth para se ligar a todos os aparelhos em redor que o tenham activado, e obter números de telefone e passwords, por exemplo. E ao mesmo tempo vai farejando a rede a que está ligado o computador, em busca de coisas que possam ser interessantes. O New York Times diz que a Administração Obama nega que o Flame, cujo código parece ter pelo menos cinco anos, seja parte da operação Jogos Olímpicos. Mas nega-se a comentar se os EUA serão responsáveis pelo ataque actual que, segundo a Kaspersky, afecta 1000 computadores. Serão poucos, mas este vírus "reescreve a definição de ciberguerra e ciberespionagem", escreve Aleks, um especialista da Kaspersky, no blogue da empresa.

Fim do mistério da origem do Stuxnet

Acabou-se o mistério da origem do Stunxnet. A grande dúvida era se seria de origem americana ou israelita. Afinal eram as duas. No entanto sobram algumas questões interessantes, p.ex., se as vulnerabilidades exploradas pelo Stuxnet foram descobertas pelas agências que o criaram ou se foram passadas directamente pela...


Obama ordenou secretamente ciberataques contra o Irão
Público, 01/06/2012

Barack Obama ordenou secretamente que se intensificassem os ataques informáticos contra as instalações nucleares iranianas, uma operação que já tinha sido iniciada pela Administração de George W. Bush e que teve como nome de código “Jogos Olímpicos”.

A notícia foi divulgada nesta sexta-feira pelo New York Times, a partir de entrevistas efectuadas ao longo dos últimos 18 meses a pessoas próximas deste programa, incluindo responsáveis norte-americanos, europeus e israelitas. De acordo com o diário norte-americano, o programa avançou mesmo depois de, em 2010, ter sido acidentalmente lançado na Internet o vírus informático Stuxnet.

O Stuxnet terá sido desenvolvido pelos EUA e por Israel para avariar as centrifugadoras da central de Natanz, onde o Irão enriquece urânio, diz o jornalista David Sanger, que na próxima semana lançará o livro Confront and Conceal: Obama’s Secret Wars and Surprising Use of Americam Power. Mas um erro de programação fez com que se disseminasse acidentalmente pela Internet.

Apesar disso, Obama decidiu intensificar os ataques contra as instalações nucleares iranianas para travar a possibilidade de desenvolvimento de armas nucleares e também para conter os ímpetos de Israel para um ataque militar contra o Irão.

A decisão é descrita com pormenor por David Sanger no avanço de publicação do seu livro no New York Times. Após ter sido descoberto o ciberataque do Stuxnet, no Verão de 2010, Obama encontrou-se na Casa Branca com vários membros da sua Administração e conselheiros, incluindo o vice-presidente Joe Biden e o então chefe da CIA e actual secretário de Estado da Defesa Leon Panetta. Parecia comprometida a tentativa de travar o avanço do programa nuclear iraniano e o Presidente perguntou: “Devemos parar com isto?”.

Foi-lhe dito que não era claro até que ponto os iranianos saberiam qie era o Stuxnet que estava a provocar o caos em Natanz- Por isso, Obama decidiu continuar com os ciberataques e nas semanas seguintes as instalações nucleares de Natanz foram atingidas por uma nova versão do vírus, e depois outra. Estes ataques estragaram 1000 das 5000 centrifugadoras que naquele momento estavam a funcionar. Estes ataques terão causado atrasos no programa nuclear iraniano de 18 meses a dois anos.

Esta revelação surge na mesma semana em que a empresa russa de antivírus e segurança informática Kasperksy anunciou ter identificado um novo vírus com uma capacidade inigualável de causar danos e capturar dados de sistemas informáticos.

O Flame, como foi chamado, desencadeou um complexo ciberataque concentrado na zona do Médio Oriente, e recolheu dados privados numa série de países, incluindo Israel e Irão. As capacidades deste vírus incluem a monitorização do tráfego, a recolha de capturas de ecrã, a gravação de conversas áudio, o registo do que é escrito com o teclado e outras acções. Mais de 600 alvos específicos foram atingidos, desde indivíduos e empresas até governos e instituições académicas.

As revelações sobre a actuação da Administração de Obama no que se refere aos ciberataques surgem também quando faltam cinco meses para as presidenciais norte-americanas, e numa altura em que Obama tem sido acusado pela oposição do Partido Republicano de não assumir uma posição firme em relação ao programa nuclear do Irão.