um bot independente da plataforma

maravilhas da framework Java:

A cross-platform java-bot
Anton Ivanov
Kaspersky Lab Expert

Early this year, we received a malicious Java application for analysis, which turned out to be a multi-platform bot capable of running on Windows, Mac OS and Linux. The bot was written entirely in Java. The attackers used vulnerability CVE-2013-2465 to infect users with the malware.

(...)

The bot is designed to conduct DDoS attacks from infected user machines.

The bot supports two flood types:

  • HTTP
  • UDP

Which attack type is to be used is specified by an attacker in the IRC channel for zombie machines. In addition, the following parameters are specified:

  • Address of the computer to be attacked
  • Port number
  • Attack duration
  • Number of threads to be used in the attack
(...)

Pássaros furiosos...

A Agência de Segurança Nacional dos EUA (NSA) e a sua homóloga britânica (GCHQ) terão retirado informações pessoais através de aplicações como o jogo Angry Birds.
DN

A idade, o género e a localização de utilizadores terão sido algumas das informações recolhidas pela NSA e pela GCHQ, através do popular jogo Angry Birds ou da aplicação Google Maps.

Esta notícia foi divulgada pelo 'New York Times' e pelo site 'ProPublica', que tiveram acesso a documentos que foram divulgados por Edward Snowden, que se encontra atualmente na Rússia.

Segundo estes relatórios agora tornados públicos, este sistema desenvolvido pela NSA e pela GCHQ, que permite retirar dados através de aplicações que sejam descarregadas para smartphones, possibilita até saber qual o alinhamento político ou a orientação sexual dos utilizadores que estejam a ser vigiados.

O 'site' do jornal britânico 'The Guardian' avança ainda que só a NSA terá gasto à volta de mil milhões de dólares (cerca de 731 milhões de euros) nos seus esforços em recolher dados de telemóveis.


...o banco é que paga

Supremo condena BPI num caso em que empresa foi vítima de ataque informático
Público online, 20/01/2014

Uma pequena empresa de Braga ganhou recentemente um processo contra o Banco Português de Investimento (BPI) no Supremo Tribunal de Justiça depois de as suas sócias-gerentes terem sido vítimas de burla informática durante operações bancárias online.
A decisão dos juízes não tem recurso possível: o banco vai ter de devolver à empresa de importação e exportação de produtos de limpeza industrial não só os 13 mil euros sacados indevidamente da conta pelos burlões, em 2008, como vai ter de lhe pagar mais dez mil euros a título de indemnização por danos morais, uma vez que na sequência do problema a firma ficou inibida de usar cheques, tendo entrado na lista negra do Banco de Portugal, e também cartões de débito e de crédito.

"Foi o descalabro para a empresa", resume o seu advogado, Carlos de Faria, sublinhando o carácter inédito de uma decisão deste tipo ao nível do Supremo Tribunal de Justiça. A empresa, essa, acabou por suspender actividade, tendo as suas sócias-gerentes emigrado para o continente africano.

No cerne do problema está perceber quem é responsável pelas burlas informáticas que furam o complexo sistema de segurança dohomebanking: o banco ou o cliente? E, sobre isto, diferentes tribunais têm vindo a pronunciar-se nos últimos anos de forma contraditória em casos com contornos idênticos.

Foi, aliás, este facto que levou os juízes do Supremo a aceitarem analisar esta situação, apesar de tanto os seus colegas de primeira instância como os da Relação terem já anteriormente dado razão à firma de produtos de limpeza de Braga — o que em princípio impedia por lei o BPI de apresentar mais recursos.

"As questões suscitadas pelos contratos de homebanking e pelo acesso fraudulento online a depósitos bancários (...) originam fortes dúvidas que tornam provável a emissão de decisões jurisdicionais divergentes, divergência essa tanto mais grave quando se tenha em conta a difícil situação económica e social que se atravessa", justificaram os magistrados ao aceitarem o último recurso do banco, acrescentando que uma eventual perda de confiança dos utentes no sistema bancário "pode contribuir para o aparecimento de maiores perturbações ou dificuldades na recuperação económica" do país.

"Por conta" dos bancos
Quando, naquele dia da Primavera de 2008, Ana Bela Fernandes entrou no BPI Net para verificar se um cheque que havia passado a um fornecedor já tinha sido descontado, ainda o banco Lehman Brothers não se tinha tornado à escala planetária o rosto de uma crise financeira sem precedentes. Ana Bela usara o serviço centenas de vezes sem problemas, e dessa vez também não notou nada de especial, embora não tivesse conseguido entrar no sistema à primeira.

Só três dias depois, ao fazer uma consulta no multibanco, percebeu que no dia em que acedera ao BPI Net pela última vez haviam voado 13 mil euros da sua firma, a Trading XXI, para uma conta desconhecida. Ainda tentou que o seu banco cancelasse a transferência, mas sem sucesso.

"Entrou no que pensou ser a página do banco para efectuar as suas operações, sem se dar conta que estava afinal numa página clonada", descreve o acórdão de Dezembro do Supremo Tribunal de Justiça. E quando forneceu os códigos de segurança para poder aceder à conta da empresa estava, na realidade, a entregá-los aos burlões. A sócia-gerente e o banco foram vítimas de pharming, uma modalidade sofisticada dephishing

Após várias reclamações, o BPI ainda se ofereceu para lhe reembolsar o dinheiro roubado, mas para isso teria de assinar uma minuta que desresponsabilizava o banco do sucedido. A instituição bancária alegou sempre que a quebra de segurança se tinha verificado no computador da cliente e não no seu sistema informático, invocando em sua defesa os avisos sobre burlas que colocou no seu site.

"O banco não pode ser responsabilizado por qualquer intromissão fraudulenta no computador do cliente", argumentou.

Mas foi exactamente o contrário o que vieram dizer os juízes do Supremo, invocando uma directiva do Parlamento Europeu e do Conselho da União Europeia: "Os riscos da falha do sistema informático, bem como dos ataques cibernautas ao mesmo, têm de correr por conta" dos bancos, pelo menos nos casos em que não se provou ter havido qualquer culpa por parte do cliente, como aqui.

Na sequência do desfalque, o cheque que a Trading XXI havia passado ao fornecedor ficou sem cobertura e a empresa, à qual o BPI se recusou a dar novos cartões de débito, entrou na lista negra do Banco de Portugal, tendo acabado por perder um cliente importante e ver a sua reputação manchada.

Contactado pelo PÚBLICO, o banco optou por não comentar o caso. Quanto à razão pela qual Ana Bela Fernandes não aceitou receber os 13 mil euros que o BPI lhe oferecia logo em 2008, Carlos de Faria explica que foi por uma questão de princípio, mas não só: "Até ali, era tratada na agência bancária com uma certa reverência. Depois da burla, os funcionários mudaram de atitude e passaram a tratá-la de uma maneira completamente diferente."

Frigoríficos ao ataque

Proofpoint, Inc. a leading security-as-a-service provider, has uncovered what may be the first proven Internet of Things (IoT)-based cyberattack involving conventional household "smart" appliances. The global attack campaign involved more than 750,000 malicious email communications coming from more than 100,000 everyday consumer gadgets such as home-networking routers, connected multi-media centers, televisions and at least one refrigerator that had been compromised and used as a platform to launch attacks. As the number of such connected devices is expected to grow to more than four times the number of connected computers in the next few years according to media reports, proof of an IoT-based attack has significant security implications for device owners and Enterprise targets.

Como é o SSL do meu browser?

Um site que analiza se o browser/SSL client que se está a usar tem várias vulnerabilidades https://www.howsmyssl.com/

(com agradecimento ao Ricardo Carvalho)