Páginas

quinta-feira, 30 de julho de 2009

Novo ataque ao AES

Foi divulgado mais um ataque ao AES que pode exigir mudanças nesse padrão. Este é o terceiro artigo descrevendo a criptoanálise do algoritmo ocorrido neste ano (o primeiro e o segundo já foram publicados, enquanto este último ainda não foi publicado).

Este ataque é devastador, segundo Bruce Schneier, sendo factível de se realizar contra o AES-256 com 10 ciclos. O artigo descreve, ainda, um ataque ao AES-256 com 11 ciclos, que está no limite de se considerar factível. Curiosamente, a versão de 128 bits do AES ainda não sofreu nenhuma criptoanálise.

Segundo Schneier, porém, não há razão para pânico, pois, para o ataque ser bem sucedido, é necessário ter acesso a textos planos encriptados com diversas chaves relacionadas de certa maneira, além do que, o AES-256 tem 14 ciclos, para o qual o ataque não funciona.

Como sugestão, Schneier recomenda que o NIST aumente o número de ciclos das versões do algoritmo: AES-128 com 16 ciclos, AES-192 com 20 ciclos e AES-256 com 24 ciclos. Ou uma quantidade de ciclos ainda maior.

terça-feira, 28 de julho de 2009

As finanças das botnets

O The Register publicou uma matéria descrevendo como funcionam as finanças das botnets, baseada em um artigo publicado no Kaspersky Lab por Yury Namestnikov.

O artigo inicialmente descreve a evolução das botnets, de um sistema de controle centralizado com apenas um C&C para um sistema distribuído mais sofisticado com controle descentralizado, mais difícil de derrubar.

As principais fontes de renda das botnets são resumidas a seguir:
  • Alugar uma botnet para um ataque DDoS custa entre $50 e milhares de dólares por um ataque de 24 horas, dependendo do tamanho e da proteção do site atacado;
  • Dados de contas bancárias custam entre $1 e $1.500, dependendo do saldo e de outros fatores. A competição entre os criminosos derrubou os preços mínimos;
  • Dados pessoais para criar uma identidade falsa custam entre $5 e $8 nos Estados Unidos e 3 vezes mais na Europa, pois os dados podem ser utilizados em diversos países europeus;
  • Fraudadores utilizando phishing scam pagam entre $1.000 e $2.000 por mês para alugar o acesso a uma botnet fast-flux;
  • O envio de spam custa entre $70 e $1.000, de acordo com a quantidade de mensagens enviadas (de milhares a dezenas de milhões);
  • A manipulação dos mecanismos de busca custa cerca de $300 por mês;
  • A instalação de adware nas máquinas pode custar de $0,30 a $1,50 por programa instalado. Na China o preço é bem menor do que nos Estados Unidos.

O método mais efetivo de combate às botnets é a cooperação entre experts de empresas de segurança, provedores e a polícia. Esse método conseguiu fechar 3 empresas (EstDomains, Atrivo e McColo) que hospedavam centros de controle de várias botnets. Apenas o fechamento da McColo conseguiu reduzir em 50% a quantidade de spam circulando na rede. Porém com a mudança dos centros de controle para outros provedores, o nível de spam já voltou ao normal.

Além disso, o papel do usuário final, com medidas de proteção para evitar a infecção, também é ressaltado.

segunda-feira, 27 de julho de 2009

Sairam os escolhidos da 2ª rodada para o SHA-3

O NIST anunciou a lista dos 14 candidatos que avançaram para a 2ª rodada da competição que vai escolher o substituto do SHA-1, conhecido como SHA-3. O finalista deve ser publicado apenas em 2012. O artigo de Bruce Schneier descrevendo a competição é bem interessante: http://www.schneier.com/essay-249.html

Os escolhidos foram BLAKE, Blue Midnight Wish, CubeHash, ECHO, Fugue, Grøstl, Hamsi, JH, Keccak, Luffa, Shabal, SHAvite-3, SIMD, and Skein.

fonte: http://www.schneier.com/blog/archives/2009/07/sha-3_second_ro.html

quinta-feira, 23 de julho de 2009

As 10 principais botnets

A Network World listou as 10 principais botnets atuais, baseadas em uma estimativa pela empresa de segurança Damballa do tamanho e atividade no Estados Unidos. A líder é a Zeus, com 3,6 milhões de PCs comprometidos. A famosa botnet Conficker, com 210 mil PCs comprometidos, está em último nessa lista.

1: Zeus
2: Koobface
3: TidServ
4: Trojan.Fakeavalert
5: TR/Dldr.Agent.JKH
6: Monkif
7: Hamweq
8: Swizzor
9: Gammima
10: Conficker

fonte: http://it.slashdot.org/story/09/07/22/1822224/Americas-10-Most-Wanted-Botnets

terça-feira, 21 de julho de 2009

Amazon apaga livros de George Orwell do Kindle

O mundo imaginado por George Orwell em "1984" se faz cada vez mais presente em nosso dia a dia. Ironicamente, foi para proteger os direitos autorais do próprio autor que o "Big Brother" se manifestou.

A Amazon apagou remotamente as obras digitais "1984" e "Animal Farm" (conhecida aqui como "A Revolução dos Bichos") de leitores que as tinham comprado para os seus Kindle e os ressarciu do valor pago. Alguns leitores perderam todas as anotações que tinham feito quando a obra desapareceu.

Segundo a Amazon, a editora que publicou as obras digitais no site para venda não era proprietária desse direito e, portanto, as obras foram retiradas do site. Além disso todos que tinham comprado as obras, também tiveram seus livros e anotações apagados remotamente.

Esse invasão de privacidade deixou muitos leitores indignados, pois, aparentemente, o termo de serviço não permitiria essa ação da Amazon, já que o termo fala em cópia permanente do conteúdo digital (“permanent copy of the applicable digital content.").

fonte: http://br-linux.org/2009/amazon-apaga-livros-digitais-remotamente/

sexta-feira, 17 de julho de 2009

Bot transforma smartphone em zumbi

A caixa de Pandora é bem grande...

Bot transforma smartphone em zumbi
James Della Valle, de INFO Online
Sexta-feira, 17 de julho de 2009 - 08h24

SÃO PAULO – Dispositivos móveis com a plataforma Symbian OS correm o risco de serem infectados com o novo spam bot SYMBOS_YXES.B.

A ameaça se comporta como uma aplicação legítima, a ACSServer.exe, também conhecida como Sexy Space. Segundo a Trend Micro, uma vez no controle do aparelho, ela é responsável por roubar dados como identificação do telefone, da rede e estatísticas de uso. Em seguida, o código passa a monitorar a conexão com a web para enviar spam aos cadastrados na lista de contatos.

O material das mensagens vem de website acessado discretamente pelo aparelho, o que caracteriza a formação de uma botnet de smartphones.

A questão é que todos os aplicativos desenvolvidos para o sistema operacional são obrigados a passar pelo processo de certificação da Fundação Symbian, que deve identificar tais ameaças antes que elas cheguem ao mercado.

A única solução encontrada até o momento consiste na atualização do sistema de segurança do aparelho para que ele possa detectar e apagar o YXES.B.

Criptografia de curvas elípticas ameaçada

Pesquisadores da École Polytechnique Fédérale (EPFL) em Lausanne, Suíça, conseguiram quebrar o algoritmo de 112 bits ECCp-112, baseado em curvas elípticas. Eles calcularam a chave privada associada a chave pública ao resolver o problema do logaritmo discreto com uma complexidade de 2^60, utilizando um cluster de 200 PlayStation 3.

Dr. Arjen Lenstra, que participou da pesquisa, comentou que esse resultado ainda não é uma ameaça para os algoritmos utilizados na prática, os quais utilizam pelo menos 160 bits. Mas, como Bruce Schneier gosta de comentar, a criptoanálise sempre melhora, nunca piora.

quarta-feira, 8 de julho de 2009

Google anuncia Chrome OS

Google finalmente anunciou seu tão esperado Sistema Operacional. Segundo o Slashdot, o SO estará disponível na segunda metade de 2010 e seu foco é a instalação em netbooks. É baseado em um kernel Linux e rodará um sistema gerenciador de janelas próprio, além de privilegiar as aplicações web, já que seu público são os usuários que gastam a maior parte de seu tempo na web.

quinta-feira, 2 de julho de 2009

Após 2 séculos, uma mensagem secreta para Thomas Jefferson é decifrada

Por mais de 200 anos, no meio dos documentos e correspondências do presidente do Estados Unidos, Thomas Jefferson, existia uma carta com um mensagem cifrada para a qual não havia solução. Essa carta foi escrita em 1801 por um colega de Jefferson, Robert Patterson, ambos membros da American Philosophical Society, e continha o texto cifrado e as regras e propriedades do algoritmo de criptografia criado por ele.

Essa mensagem foi finalmente decifrada por Lawren Smithline, um matemático de 36 anos, que trabalha em Princeton como criptólogo. Após tomar conhecimento dessa carta por um vizinho, passou noites em claro se divertindo ao tentar quebrar o código e recentemente publicou um artigo com a descrição das técnicas utilizadas na revista American Scientist.

A mensagem, afinal, era o trecho inicial da Declaração de Independência dos Estados Unidos, que Jefferson ajudou a escrever: "In Congress, July Fourth, one thousand seven hundred and seventy six. A declaration by the Representatives of the United States of America in Congress assembled. When in the course of human events..."

Um descrição mais detalhada dessa história pode ser lida no artigo do Wall Street Journal: http://online.wsj.com/article/SB124648494429082661.html