Páginas

quarta-feira, 30 de dezembro de 2009

Criptografia quântica quebrada

Depois de um tempo sem escrever, li uma uma notícia interessante no blog de Bruce Schneier: a criptografia quântica, essa panacéia, foi quebrada! É possível interceptar o sistema de distribuição de chaves sem os usuários perceberem. A demonstração prática foi divulgada no dia 27/12/2009 no 26th Chaos Communication Congress.

O material da conferência pode ser lido aqui: http://events.ccc.de/congress/2009/Fahrplan/events/3576.en.html

segunda-feira, 9 de novembro de 2009

Controle de acesso

Interessante artigo sobre controle de acesso. Segundo Bruce Schneier, é mais fácil dar o acesso maior do que o necessário e depois auditar os resultados do que dar os os acessos limitados, baseados em perfis. Para ele, um bom exemplo disso é a Wikipedia, onde é permitido qualquer alteração, as correções ocorrendo posteriormente pelos próprios usuários. Esse artigo provocou diversas contestações, já que a maioria dos comentaristas de seu blog ressaltou que a Wikipedia tem sérios problemas com relação a alterações mal-intencionadas.

quarta-feira, 7 de outubro de 2009

Vazamento de senhas

Milhares de contas e senhas de e-mail vazaram nos últimos dias. Do Hotmail foram 10 mil; do GMail, Yahoo e AOL foram 20 mil. Além disso, o Google revelou que encontrou uma terceira lista de contas, mas não deu mais detalhes.

Essas contas, provavelmente, foram roubadas através de phishing scam e, segundo diversos artigos, são contas antigas e inativas, embora algumas contas sejam genuínas. Por via das dúvidas, é recomendável a troca das senhas das contas de e-mails, independente de estarem nas listas.

fonte: http://www.wired.com/threatlevel/2009/10/10000-passwords/

terça-feira, 6 de outubro de 2009

Documento "Como evitar vazamentos" vaza

Extremamente irônico!

Segundo o Telegraph, um documento de 2.400 páginas do Ministry of Defense britânico que ajudaria a inteligência a lidar com a segurança da informação, inclusive no tocante a evitar vazamento de informações, VAZOU! O documento, chamado Joint Services Protocol 440 (JSP 440), publicado em 2001, pode ser encontrado no WikiLeaks.

terça-feira, 29 de setembro de 2009

Partnerka - a rede russa ilegal

Uma apresentação na Virus Bulletim Conference por Dmitry Samosseiko, pesquisador da Sophos, descreve como funciona a Partnerka (pronuncia-se Partnyorka), considerada a responsável por boa parte dos spams que recebemos atualmente.

A partnerka é um conjunto de centenas de redes afiliadas e milhares de "webmasters" com o objetivo de lucrar com a venda on-line de falsos relógios, falsos anti-virus, falsos remédios, falsos qualquer coisa que possa dar lucro. Embora o volume de spam continue crescendo, e continuamos recebendo anúncios da Canadian Pharmacy e de falsos "Rolex", a tática agora é o uso de plataforma web 2.0. Os novos alvos dessa rede são blogs, forums e anúncios que geram tráfico em websites.

O artigo segue descrevendo como funciona a rede que espalha o spam da Canadian Pharm (GravMed) e os distribuidores de falsos anti-vírus e falsos codecs de video. A boa notícia é que os lucros na distribuição de falsos anti-vírus e codecs estão diminuindo e veremos uma diminuição nesse tipo de malware.

O artigo original pode ser baixado no seguinte link: http://www.sophos.com/sophos/docs/eng/marketing_material/samosseiko-vb2009-paper.pdf

quinta-feira, 17 de setembro de 2009

Tivoização

Quando a FSF estava atualizando sua licença GPL, tentando impedir a chamada "Tivoização", eu achei um pouco exagerados os seus argumentos. Agora sou obrigado a rever minha posição e concordar com eles: estamos cada vez mais nas mãos dos fabricantes de gadgets independente do software que está sendo usado, seja Linux ou Windows. O software livre não está conseguindo garantir a liberdade a que se propõe.

Segundo o Guia do Hardware, vários smartphones (o Palm Pre e os baseados no Android), além do Kindle, todos com sistemas operacionais derivados do Linux, contam com recursos que monitoram o usuário, violando sua privacidade.

A Palm sabe a localização dos usuários do Pre baseado nos dados do GPS; além de saber informações sobre o uso de aplicativos e travamentos de programas. Smartphones com o Android passaram a exibir uma janela de confirmação ao calcular as informações de localização pela rede do celular. O Kindle usa seu modem de telefonia celular integrado para backup, enviando arquivos de log, informações sobre os livros presentes no dispositivo e favoritos, não sendo possível desativar a emissão desses relatórios sem desabilitar junto a conexão sem fio. Embora seja possível desativar esses recursos, não é tarefa das mais triviais.

Segundo o autor do artigo, "Estamos rodando software livre, mas não estamos obtendo todos os benefícios que essa liberdade deveria nos trazer. Só porque um sistema está rodando software livre, não quer dizer que ele seja seu amigo".

quinta-feira, 27 de agosto de 2009

Ataque ao WPA

Pesquisadores japoneses desenvolveram um ataque capaz de quebrar a criptografia TKIP do WPA (Wi-Fi Protected Access), utilizado em roteadores wireless, em apenas um minuto. Anteriormente, o ataque demorava cerca de 15 minutos. As duas técnicas funcionam apenas no algoritmo TKIP (Temporal Key Integrity Protocol), não funcionando no AES nem no WPA2.

Os usuários devem trocar a criptografia de seus roteadores WPA de TKIP para AES, caso os dispositivos não suportem o WPA2.

fonte: http://www.computerworld.com/s/article/9137177/New_attack_cracks_common_Wi_Fi_encryption_in_a_minute

sexta-feira, 21 de agosto de 2009

Hackers usam Opera

Como proteção para se precaver de ataques de outros hackers, os próprios hackers usam como navegador o Opera, pois seu market share de apenas 2% não o torna atrativo como alvo dos ataques. Segundo a matéria, 26% dos hackers identificados por um pesquisador da empresa Purewire usam esse navegador.

fonte: http://www.computerworld.com/s/article/9136920/One_in_four_hackers_runs_Opera_to_ward_off_other_criminals

segunda-feira, 17 de agosto de 2009

Twitter usado por botnets

O Twitter ultimamente tem sofrido diversos ataques. Agora mais um problema foi divulgado por um pesquisador da Arbor Networks.

Segundo ele, contas do Twitter estão sendo utilizadas para espalhar programas maliciosos, transformando o Twitter em um canal de controle de botnets. A conta "upd4t3" (imediatamente suspensa pelo Twitter) estava enviando uma pequena linha de texto, embaralhado com o algoritmo base64, que apontava para links que faziam o update de malwares no computador infectado. Esse malware aparenta ser da família do trojan Buzus, sendo detectado por apenas 22% dos anti-vírus atualmente.

fonte: http://www.theregister.co.uk/2009/08/13/twitter_master_control_channel/

quarta-feira, 5 de agosto de 2009

Governo inglês instala câmeras dentro de casas

Estamos caminhando para um mundo cada vez mais vigiado...

Governo inglês instala câmeras dentro das casas para vigiar os cidadãos

20 mil famílias “problemáticas” serão acompanhadas pelo governo

Por Stella Dauer

O Grande Irmão está cada vez mais próximo de nós. Um anúncio feito pelo governo britânico informou que câmeras de vídeo, tradicionalmente utilizadas para segurança, serão instaladas em 20 mil casas do país, onde seus moradores serão monitorados 24 horas por dia

Idealizado por Ed Balls, Secretário da Criança do Reino Unido, o projeto tem objetivos nobres, ainda que assustadores. De acordo com o site TechRadar as câmeras servirão para monitorar famílias problemáticas (de acordo com um critério governamental) e verificar se as crianças fazem lição de casa e dormem na hora certa.

O Projeto de Intervenção Familiar, que custará US$ 668 milhões aos cofres públicos ingleses também contará com uma equipe policial especializada que irá fiscalizar o andamento do programa e evitar problemas. Além disso as famílias terão de assinar um “contrato de comportamento” no qual os pais afirmam que vão garantir a boa conduta dos filhos, noticiou o blog Gadget Lab do site Wired.

Segundo o site Daily Express cerca de 2 mil casas já possuíam as câmeras instaladas em seu interior até ontem. Com esse programa o governo espera reduzir o número de jovens que entram para o mundo do crime devido ao comportamento caótico de suas famílias.

Para os apreciadores de literatura de ficção, isso soa mais como um pesadelo. A semelhança a 1984, livro do escritor George Orwell, é assustadora. No livro é retratada uma sociedade onde o Estado é onipresente e vigilante, com a capacidade de alterar a história e o idioma, de oprimir e torturar o povo e de travar uma guerra sem fim com outras nações, com o objetivo de manter a sua estrutura inabalada e a economia funcionando.

www.geek.com.br

quinta-feira, 30 de julho de 2009

Novo ataque ao AES

Foi divulgado mais um ataque ao AES que pode exigir mudanças nesse padrão. Este é o terceiro artigo descrevendo a criptoanálise do algoritmo ocorrido neste ano (o primeiro e o segundo já foram publicados, enquanto este último ainda não foi publicado).

Este ataque é devastador, segundo Bruce Schneier, sendo factível de se realizar contra o AES-256 com 10 ciclos. O artigo descreve, ainda, um ataque ao AES-256 com 11 ciclos, que está no limite de se considerar factível. Curiosamente, a versão de 128 bits do AES ainda não sofreu nenhuma criptoanálise.

Segundo Schneier, porém, não há razão para pânico, pois, para o ataque ser bem sucedido, é necessário ter acesso a textos planos encriptados com diversas chaves relacionadas de certa maneira, além do que, o AES-256 tem 14 ciclos, para o qual o ataque não funciona.

Como sugestão, Schneier recomenda que o NIST aumente o número de ciclos das versões do algoritmo: AES-128 com 16 ciclos, AES-192 com 20 ciclos e AES-256 com 24 ciclos. Ou uma quantidade de ciclos ainda maior.

terça-feira, 28 de julho de 2009

As finanças das botnets

O The Register publicou uma matéria descrevendo como funcionam as finanças das botnets, baseada em um artigo publicado no Kaspersky Lab por Yury Namestnikov.

O artigo inicialmente descreve a evolução das botnets, de um sistema de controle centralizado com apenas um C&C para um sistema distribuído mais sofisticado com controle descentralizado, mais difícil de derrubar.

As principais fontes de renda das botnets são resumidas a seguir:
  • Alugar uma botnet para um ataque DDoS custa entre $50 e milhares de dólares por um ataque de 24 horas, dependendo do tamanho e da proteção do site atacado;
  • Dados de contas bancárias custam entre $1 e $1.500, dependendo do saldo e de outros fatores. A competição entre os criminosos derrubou os preços mínimos;
  • Dados pessoais para criar uma identidade falsa custam entre $5 e $8 nos Estados Unidos e 3 vezes mais na Europa, pois os dados podem ser utilizados em diversos países europeus;
  • Fraudadores utilizando phishing scam pagam entre $1.000 e $2.000 por mês para alugar o acesso a uma botnet fast-flux;
  • O envio de spam custa entre $70 e $1.000, de acordo com a quantidade de mensagens enviadas (de milhares a dezenas de milhões);
  • A manipulação dos mecanismos de busca custa cerca de $300 por mês;
  • A instalação de adware nas máquinas pode custar de $0,30 a $1,50 por programa instalado. Na China o preço é bem menor do que nos Estados Unidos.

O método mais efetivo de combate às botnets é a cooperação entre experts de empresas de segurança, provedores e a polícia. Esse método conseguiu fechar 3 empresas (EstDomains, Atrivo e McColo) que hospedavam centros de controle de várias botnets. Apenas o fechamento da McColo conseguiu reduzir em 50% a quantidade de spam circulando na rede. Porém com a mudança dos centros de controle para outros provedores, o nível de spam já voltou ao normal.

Além disso, o papel do usuário final, com medidas de proteção para evitar a infecção, também é ressaltado.

segunda-feira, 27 de julho de 2009

Sairam os escolhidos da 2ª rodada para o SHA-3

O NIST anunciou a lista dos 14 candidatos que avançaram para a 2ª rodada da competição que vai escolher o substituto do SHA-1, conhecido como SHA-3. O finalista deve ser publicado apenas em 2012. O artigo de Bruce Schneier descrevendo a competição é bem interessante: http://www.schneier.com/essay-249.html

Os escolhidos foram BLAKE, Blue Midnight Wish, CubeHash, ECHO, Fugue, Grøstl, Hamsi, JH, Keccak, Luffa, Shabal, SHAvite-3, SIMD, and Skein.

fonte: http://www.schneier.com/blog/archives/2009/07/sha-3_second_ro.html

quinta-feira, 23 de julho de 2009

As 10 principais botnets

A Network World listou as 10 principais botnets atuais, baseadas em uma estimativa pela empresa de segurança Damballa do tamanho e atividade no Estados Unidos. A líder é a Zeus, com 3,6 milhões de PCs comprometidos. A famosa botnet Conficker, com 210 mil PCs comprometidos, está em último nessa lista.

1: Zeus
2: Koobface
3: TidServ
4: Trojan.Fakeavalert
5: TR/Dldr.Agent.JKH
6: Monkif
7: Hamweq
8: Swizzor
9: Gammima
10: Conficker

fonte: http://it.slashdot.org/story/09/07/22/1822224/Americas-10-Most-Wanted-Botnets

terça-feira, 21 de julho de 2009

Amazon apaga livros de George Orwell do Kindle

O mundo imaginado por George Orwell em "1984" se faz cada vez mais presente em nosso dia a dia. Ironicamente, foi para proteger os direitos autorais do próprio autor que o "Big Brother" se manifestou.

A Amazon apagou remotamente as obras digitais "1984" e "Animal Farm" (conhecida aqui como "A Revolução dos Bichos") de leitores que as tinham comprado para os seus Kindle e os ressarciu do valor pago. Alguns leitores perderam todas as anotações que tinham feito quando a obra desapareceu.

Segundo a Amazon, a editora que publicou as obras digitais no site para venda não era proprietária desse direito e, portanto, as obras foram retiradas do site. Além disso todos que tinham comprado as obras, também tiveram seus livros e anotações apagados remotamente.

Esse invasão de privacidade deixou muitos leitores indignados, pois, aparentemente, o termo de serviço não permitiria essa ação da Amazon, já que o termo fala em cópia permanente do conteúdo digital (“permanent copy of the applicable digital content.").

fonte: http://br-linux.org/2009/amazon-apaga-livros-digitais-remotamente/

sexta-feira, 17 de julho de 2009

Bot transforma smartphone em zumbi

A caixa de Pandora é bem grande...

Bot transforma smartphone em zumbi
James Della Valle, de INFO Online
Sexta-feira, 17 de julho de 2009 - 08h24

SÃO PAULO – Dispositivos móveis com a plataforma Symbian OS correm o risco de serem infectados com o novo spam bot SYMBOS_YXES.B.

A ameaça se comporta como uma aplicação legítima, a ACSServer.exe, também conhecida como Sexy Space. Segundo a Trend Micro, uma vez no controle do aparelho, ela é responsável por roubar dados como identificação do telefone, da rede e estatísticas de uso. Em seguida, o código passa a monitorar a conexão com a web para enviar spam aos cadastrados na lista de contatos.

O material das mensagens vem de website acessado discretamente pelo aparelho, o que caracteriza a formação de uma botnet de smartphones.

A questão é que todos os aplicativos desenvolvidos para o sistema operacional são obrigados a passar pelo processo de certificação da Fundação Symbian, que deve identificar tais ameaças antes que elas cheguem ao mercado.

A única solução encontrada até o momento consiste na atualização do sistema de segurança do aparelho para que ele possa detectar e apagar o YXES.B.

Criptografia de curvas elípticas ameaçada

Pesquisadores da École Polytechnique Fédérale (EPFL) em Lausanne, Suíça, conseguiram quebrar o algoritmo de 112 bits ECCp-112, baseado em curvas elípticas. Eles calcularam a chave privada associada a chave pública ao resolver o problema do logaritmo discreto com uma complexidade de 2^60, utilizando um cluster de 200 PlayStation 3.

Dr. Arjen Lenstra, que participou da pesquisa, comentou que esse resultado ainda não é uma ameaça para os algoritmos utilizados na prática, os quais utilizam pelo menos 160 bits. Mas, como Bruce Schneier gosta de comentar, a criptoanálise sempre melhora, nunca piora.

quarta-feira, 8 de julho de 2009

Google anuncia Chrome OS

Google finalmente anunciou seu tão esperado Sistema Operacional. Segundo o Slashdot, o SO estará disponível na segunda metade de 2010 e seu foco é a instalação em netbooks. É baseado em um kernel Linux e rodará um sistema gerenciador de janelas próprio, além de privilegiar as aplicações web, já que seu público são os usuários que gastam a maior parte de seu tempo na web.

quinta-feira, 2 de julho de 2009

Após 2 séculos, uma mensagem secreta para Thomas Jefferson é decifrada

Por mais de 200 anos, no meio dos documentos e correspondências do presidente do Estados Unidos, Thomas Jefferson, existia uma carta com um mensagem cifrada para a qual não havia solução. Essa carta foi escrita em 1801 por um colega de Jefferson, Robert Patterson, ambos membros da American Philosophical Society, e continha o texto cifrado e as regras e propriedades do algoritmo de criptografia criado por ele.

Essa mensagem foi finalmente decifrada por Lawren Smithline, um matemático de 36 anos, que trabalha em Princeton como criptólogo. Após tomar conhecimento dessa carta por um vizinho, passou noites em claro se divertindo ao tentar quebrar o código e recentemente publicou um artigo com a descrição das técnicas utilizadas na revista American Scientist.

A mensagem, afinal, era o trecho inicial da Declaração de Independência dos Estados Unidos, que Jefferson ajudou a escrever: "In Congress, July Fourth, one thousand seven hundred and seventy six. A declaration by the Representatives of the United States of America in Congress assembled. When in the course of human events..."

Um descrição mais detalhada dessa história pode ser lida no artigo do Wall Street Journal: http://online.wsj.com/article/SB124648494429082661.html

segunda-feira, 29 de junho de 2009

Phishing Scam já se aproveita da morte de Michael Jackson

Previsivelmente, a Sophos reportou que apenas 8 horas após a morte de Michael Jackson, os primeiros e-mails se aproveitando das notícias sobre a morte de Michael Jackson já estavam circulando.

Embora a mensagem não contivesse nenhum link, ela solicitava que o usuário respondesse a mensagem, possivelmente para se obter e-mails de usuários para futuras ondas de SPAM.

sexta-feira, 26 de junho de 2009

Morte de Michael Jackson

A notícia sobre a morte de Michael Jackson ocasionou uma grande lentidão em boa parte do sites de notícias (ABC, AOL, CBS, CNN Money, MSNBC, NBC, and Yahoo! News, além do Twitter) logo que as primeiras informações sobre sua morte foram veiculadas, segundo post no Slashdot.

Logo veremos os primeiros phishing scams sobre Michael Jackson...

quarta-feira, 24 de junho de 2009

Origem do nome do blog

Segundo a Wikipedia, a Caixa de Pandora é uma expressão muito utilizada quando se quer fazer referência a algo que gera curiosidade, mas que é melhor não ser revelado ou estudado, sob pena de se vir a mostrar algo terrível, que possa fugir de controle, o que considero uma boa analogia para os problemas que a segurança da informação tem que lidar.

Esta expressão vem do mito grego, que conta sobre a caixa que foi enviada com Pandora a Epimeteu, irmão de Prometeu, como um presente de Zeus. Prometeu alertou o irmão quanto ao perigo de se aceitar presentes de Zeus, que, no entanto, ignorou a advertência e aceitou o presente, tomando Pandora como esposa.

Pandora trouxe uma caixa, enviada por Zeus em sua bagagem. Epimeteu acabou abrindo a caixa, e liberando os males que haveriam de afligir a humanidade dali em diante: a velhice, o trabalho, a doença, a loucura, a mentira e a paixão. No fundo da caixa, restou a Esperança (ou segundo algumas interpretações, a Crença irracional ou Credulidade). Com os males liberados da caixa, teve fim a idade de ouro da humanidade.

O texto original de Hesíodo, continha a expressão ânfora de Pandora (do grego: pithos - πιθος, uma grande ânfora ou jarra), mas foi traduzida para o latim por Erasmus de Roterdã, um humanista do século XVI, como pyxis, com o significado de caixa. A expressão "Caixa de Pandora" perdurou desde então.

Nova versão do PSI

Foi liberada hoje a nova versão do Secunia Personal Software Inspector (PSI v 1.5.0.0), conforme publicado no blog da empresa. Essa nova versão substitui a versão beta anteriormente por mim recomendada, embora não acrescente novas funcionalidades.

Uma das funções que achei mais interessante é o World Map, onde podemos ver que no Brasil, existem por volta de 15 mil usuários do PSI e que o score obtido é de 94%, com uma média de 4 programs inseguros e 94 atualizados.

Essa versão pode ser baixada no link a seguir: http://secunia.com/vulnerability_scanning/personal/

terça-feira, 23 de junho de 2009

SHA-1 quebrado definitivamente

Agora já era, o SHA-1 já não pode mais ser usado para assinaturas digitais.

Pesquisadores da Universidade Macquarie em Sydnei, Austrália, conseguiram gerar colisões no algorítmo do SHA-1, em apenas 2^52 operações, o que é muito mais crítico do que o ataque anterior de 2^63 operações. Esse valor torna possível sua quebra por organizações com recursos disponíveis e interesse suficiente para isso.

O SHA-1 tem estado sob ataque desde 2005, quando a primeira criptoanálise foi publicada, com 2^69 operações. Em seguida, veio o ataque com 2^63 operações. Agora, finalmente, com 2^52 operações é possível que até o final do ano, tenhamos colisões tornando esse algoritmo tão inseguro quanto o MD5.

A solução é utilizar o SHA-2, enquanto a competição organizada pelo NIST para a criação da nova família de algoritmos de hash SHA-3 não for concluída, por volta do final de 2012.

Os Padrões e Algoritmos Criptográficos da ICP-Brasil permitem o uso da família SHA-2 para assinatura digital, bem como do SHA-1.

Para mais informações:

http://www.schneier.com/blog/archives/2009/06/ever_better_cry.html

http://www.theregister.co.uk/2009/06/10/digital_signature_weakness/

http://blol.org/721-sha-1-considered-harmful

domingo, 21 de junho de 2009

Utilitário interessante

Minha primeira postagem é sobre um aplicativo que acho essencial para se manter os computadores com Windows atualizados, o Secunia Personal Software Inspector (PSI).

Considerando que as maiores ameaças hoje residem nos pequenos utilitário que normalmente são esquecidos e não tem atualização automática, esse scanner de aplicativos da Secunia é uma mão na roda para não deixar nenhum programa de lado. Ele fica residente na área de notificação e faz uma varredura periódica nos arquivos do micro atrás de programas desatualizados, além de monitorar em tempo real as novas instalações, alertando se há uma nova versão do programa que corrige as falhas de segurança. A nova versão 1.0.0.8, que ainda é Beta, também tem interface em português, o que faltava nas versões anteriores.

O único inconveniente é que é necessário estar logado com um usuário com perfil administrativo para que o PSI seja executado.

http://secunia.com/vulnerability_scanning/personal/

Inauguração

Depois de um tempo enrolando para começar a escrever, finalmente criei coragem e decidir iniciar a publicação de meus comentários e informações sobre o que leio em diversas listas e blogs sobre a segurança da informação. Mas não me restringirei apenas a assuntos técnicos, comentando também sobre qualquer assunto que tenha despertado meu interesse.

Sejam bem vindos!