Vulnerabilidades no Panamá

Soube-se hoje que os sistemas da Mossack Fonseca estavam carregados de vulnerabilidades (Wired):

"The front-end computer systems of Mossack Fonseca are outdated and riddled with security flaws, analysis has revealed.

The law firm at the centre of the Panama Papers hack has shown an "astonishing" disregard for security, according to one expert. Amongst other lapses, Mossack Fonseca has failed to update its Outlook Web Access login since 2009 and not updated its client login portal since 2013.

Mossack Fonseca's client portal is also vulnerable to the DROWN attack, a security exploit that targets servers supporting the obsolete and insecure SSL v2 protocol. The portal, which runs on the Drupal open source CMS, was last updated in August 2013, according to the site's changelog.

On its main website Mossack Fonseca claims its Client Information Portal provides a "secure online account" allowing customers to access "corporate information anywhere and everywhere". The version of Drupal used by the portal has at least 25 vulnerabilities, including a high-risk SQL injection vulnerability that allows anyone to remotely execute arbitrary commands. Areas of the portal's backend can also be accessed by guessing the URL structure, a security researcher noted.

The company's client portal, which it boasts gives customers access to "corporate information anywhere and everywhere", runs on an outdated open source CMS with at least 25 vulnerabilities
Mossack Fonseca's webmail system, which runs on Microsoft's Outlook Web Access, was last updated in 2009, while its main site runs a version of WordPress that is three months out of date. A further vulnerability makes it possible to easily access files uploaded to the backend of Mossack Fonseca's site simply by guessing the URL. (...)"

Artigo completo: The security flaws at the heart of the Panama Papers, Wired

Roubo de identidade

Roubo de identidade mais frequente e mais fácil, alerta Comissão Proteção Dados
Observador, 21/2/2016

"Nuno foi constituído arguido e impedido de sair do país porque usurparam a sua identidade, um crime que segundo a Comissão Nacional de Proteção de Dados é cada vez mais frequente e que as pessoas facilitam ao exporem-se na internet.

(...)

Mas Clara Guerra, coordenadora do serviço de informação e relações internacionais da Comissão Nacional de Proteção de Dados (CNPD), diz que não é estranho, mas sim uma prática cada vez mais comum, facilitada hoje pela displicência com que pessoas e instituições divulgam e expõem dados pessoais na internet.

(...)

Dados divulgados pela GNR em novembro passado dão conta de 680 crimes relacionados com burla informática e nas comunicações em 2014 (que têm vindo a aumentar desde 2012) e outras tantas queixas de falsificação ou contrafação de documentos.

A usurpação acontece tanto no mundo físico como no digital, avisa Clara Guerra, explicando que até no lixo há muita informação, porque há pessoas que aí colocam, por exemplo, faturas, sem as destruir primeiro. Ou até mesmo cartões multibanco caducados.

“Através disso, através da engenharia social, conseguem-se obter dados, abrir contas bancárias. E hoje, na internet, as pessoas disponibilizam muitos dados, relacionam-se com empresas à distância, faz-se identificação remotamente”, diz.

E depois, acrescenta, pode acontecer um roubo de identidade, até sem a vítima saber, para com ela se praticarem atos ilícitos. E as “pessoas podem ter dificuldade em provar que não foram elas as autoras desses atos”.

Este ano, a CNPD colocou a usurpação de identidade no centro do debate, um instrumento de crime que afeta 200 mil pessoas por ano nos Estados Unidos só no serviço de saúde, com 25 por cento dos britânicos a já terem sido alvo de roubo de identidade, salienta Clara Guerra.

Ninguém está a salvo, diz. E, por isso, há precauções que podem ser tomadas, como “não andar sempre com o wi-fi do telemóvel ligado”, porque há formas de simular uma rede pública e aceder ao conteúdo de telemóveis, mas também de computadores, como há formas também de obter remotamente dados de passaportes ou de identificadores de Via Verde (radiofrequência).

“E depois há uma prática antiga, que começou com o Bilhete de Identidade e não se percebe porquê”, lamenta. Clara Guerra explica que hoje se pedem fotocópias ou digitalizações do Cartão de Cidadão “por tudo e por nada”, o que é ilegal, e que tem motivado muitas queixas à CNPD. “As pessoas devem apresentar queixa”, frisa.

E diz que o próprio Banco de Portugal deu indicações aos bancos para tirarem fotocópias do Cartão de Cidadão. “Já avisamos o Banco de Portugal que não se pode sobrepor à lei”, diz a responsável, acrescentando que de nada serviu.

(...)"

artigo completo no Observador

Para além do Stuxnet

Massive US-planned cyberattack against Iran went well beyond Stuxnet
ArsTechnica

The Stuxnet computer worm that destroyed centrifuges inside Iran's Natanz uranium enrichment site was only one element of a much larger US-prepared cyberattack plan that targeted Iran's air defenses, communications systems, and key parts of its power grid, according to articles published Tuesday.

The contingency plan, known internally as Nitro Zeus, was intended to be carried out in the event that diplomatic efforts to curb Iran's nuclear development program failed and the US was pulled into a war between Iran and Israel, according to an article published by The New York Times. At its height, planning for the program involved thousands of US military and intelligence personnel, tens of millions of dollars in expenditures, and the placing of electronic implants in Iranian computer networks to ensure the operation targeting critical infrastructure would work at a moment's notice.

Another piece of the plan involved using a computer worm to destroy computer systems at the Fordo nuclear enrichment site, which was built deep inside a mountain near the Iranian city of Qom. It had long been considered one of the hardest Iranian targets to disable and was intended to be a follow-up to "Olympic Games," the code name of the plan Stuxnet fell under.

The Nitro Zeus revelations first came to light in the documentary Zero Days, which describes the growing conflict between the west and Iran over its nuclear enrichment program and the disagreements that developed inside the US and Israel about how to stop it. The movie, which is scheduled to be first shown on Wednesday at the Berlin Film Festival, was directed by Alex Gibney, who has also directed the Oscar-winning Taxi to the Dark Side and We Steal Secrets: The Story of WikiLeaks.



Lista de preços do ciber-crime

A lista é tirada do site Brutal Security e não ponho as mãos no fogo pelo conteúdo, mas aqui vai:

  • Hacking corporate mailbox: $500
  • Winlocker ransomware: $10-20
  • Unintelligent exploit bundle: $25
  • Intelligent exploit bundle: $10-$3,000
  • Basic crypter (for inserting rogue code into a benign file): $10-$30
  • SOCKS bot (to get around firewalls): $100
  • Hiring a DDoS attack: $30-$70/day, $1,200/month
  • Botnet: $200 for 2,000 bots
  • DDoS botnet: $700
  • ZeuS source code: $200-$500
  • Windows rootkit (for installing malicious drivers): $292
  • Hacking Facebook or Twitter account: $130
  • Hacking Gmail account: $162
  • Email spam: $10 per one million emails
  • Email spam (using a customer database): $50-$500 per one million emails
  • SMS spam: $3-$150 per 100-100,000 messages