segurança

Um artigo interessante sobre o novo Google Chromebook (notebook com Chrome OS) e as novas classes de vulnerabilidades que este pode implicar: Google Chromebook - a new class of security risks Excerto: "Several years ago, I wrote an article saying that malware evolves based on three conditions: When hardware and operating system evolve (eg. Windows 95 killed boot viruses) When security defenses change (eg. firewalls killed network worms) When people start using computers in a different way (eg. Social networks) With the Chromebook, we have an interesting case, when all these three conditions are met. It's a (somehow-)new operating system, it has new security defenses into place (self healing, updates) and it's used in a different way – the data is not on the computer but in the cloud." blog Segurança Informática
http://www.seguranca-informatica.net/

Uma empresa - a VUPEN - diz que conseguiu injectar e executar código no Chrome, ultrapassando a sua sanbox e os mecanismos de protecção contra buffer overflows e companhia do Windows: ASLR (address space layout randomization) e DEP (data execution protection). O anúncio está em: http://www.vupen.com/demos/VUPEN_Pwning_Chrome.php blog Segurança Informática
http://www.seguranca-informatica.net/

O Irão diz que as suas centrais nucleares estão sob ataque de um segundo worm, chamado Stars. As notícias ainda são vagas, mas é um tema a seguir nos próximos tempos: http://www.washingtonpost.com/world/iran-country-under-attack-by-second-computer-virus/2011/04/25/AFudkBjE_story.html http://www.computerworld.com/s/article/9216140/Update_Iran_says_it_was_targeted_with_second_worm_Stars_ blog Segurança Informática
http://www.seguranca-informatica.net/

Ainda o Citius. Do Expresso deste fim de semana: blog Segurança Informática
http://www.seguranca-informatica.net/

Um artigo interessante sobre tentativas de desligar botnets: DoJ, FBI set up command-and-control servers, take down botnet "Past efforts at killing botnets—the large networks of computers running malicious software to send spam, flood websites with traffic, and steal personal data—have managed to disable the networks by taking down important servers, but they've always stopped short of actually killing the botnet software itself. (...) A federal judge has authorized the non-profit Internet Systems Consortium, working in conjunction with the FBI, to go beyond taking down the command-and-control servers: the ISC has installed its own command-and-control servers. The command the servers are sending? Kill the botnet malware. The servers were swapped out on Tuesday evening, and the kill command was duly sent. The kill command still stops short of removing the malware altogether—each time an infected PC is rebooted it will try to restart the botnet software. But every time, the new command and control servers will tell the software to shut down, preventing it from causing any more harm. (...)" blog Segurança Informática
http://www.seguranca-informatica.net/

Massive SQL injection attack making the rounds—694K URLs so far "Hundreds of thousands of URLs have been compromised—at the time of writing, 694,000—in an enormous and indiscriminate SQL injection attack. The attack has modified text stored in databases, with the result that pages served up by the attacked systems include within each page one or more references to a particular JavaScript file. The attack appears to be indiscriminate in its targets, with compromised   machines running ASP, ASP.NET , ColdFusion, JSP, and PHP, and no doubt   others. SQL injection attacks, which exploit badly-written Web applications to directly perform actions against databases, are largely independent of the technology used to develop the applications themselves: the programming errors that allow SQL injection can be made in virtually any language. The underlying cause is a programmer trusting input that comes from a Web page—either a value from a form, or a parameter in a URL—and passing this input directly into the database. If the input is malformed in a particular way, the result is that the database will run code of the attacker's choosing. In this case, the injected SQL is simply updating text fields within the database, to make them include an extra fragment of HTML. This HTML in turn loads a JavaScript from a remote server, typically http://lizamoon.com/ur.php" or more recently, "http://alisa-carter.com/ur.php." Both domain names resolve to the same IP address, and presently that server is not functional, leaving browsers unable to load the malicious script when they visit infected pages. Previously, it contained a simple script to redirect users to a fake anti-virus site. (...)" Fonte: ArsTechnica http://arstechnica.com/security/news/2011/03/massive-sql-injection-attack-making-the-rounds694k-urls-so-far.ars blog Segurança Informática
http://www.seguranca-informatica.net/

Assustador: "The following are almost all the vulnerabilities I found for a quick experiment some months ago in certain well known server-side SCADA softwares still vulnerable in this moment." O mail completo apareceu na Bugtraq e contém ligações para os proof-of-concept: http://seclists.org/bugtraq/2011/Mar/187 blog Segurança Informática
http://www.seguranca-informatica.net/

Microsoft warns: Fraudulent digital certificates issued for high-value websites "Microsoft today warned that Comodo has issued nine fraudulent digital certificates to a third party whose identity could not be sufficiently validated, a scenario that could allow attackers to spoof content, perform phishing attacks, or perform man-in-the-middle attacks against all Web surfers. According to the Microsoft advisory, the fraudulent Web certificates affect the Microsoft Live service, Google’s mail system, Yahoo and Skype log-ins.     * login.live.com     * mail.google.com     * www.google.com     * login.yahoo.com (3 certificates)     * login.skype.com     * addons.mozilla.org     * “Global Trustee”" fonte: ZeroDay http://www.zdnet.com/blog/security/ blog Segurança Informática
http://www.seguranca-informatica.net/

Professor John Williams, director of the Geospatial Data Centre, said: "Cyber-physical security is now considered the number one threat to national security, being deemed more critical than conventional nuclear attacks. "Last year alone, the US logged over 300,000 virus attacks on their networks and noted that organised crime now makes more money from cyber crime than any other activity. "Fonte: BBC News blog Segurança Informática
http://www.seguranca-informatica.net/

Alguns posts atrás escrevi sobre um top 10 de novos ataques web 2010. Agora descobri o post original (ou o que parece ser o post original), que lista não apenas 10 mas 69 novos ataques e contém também links para os novos ataques de anos anteriores: Top Ten Web Hacking Techniques of 2010 (Official) blog Segurança Informática
http://www.seguranca-informatica.net/

O Citius volta a dar que falar. A notícia de hoje do Público não é inesperada mas é de extrema gravidade. A possibilidade de aceder a dados confidenciais nos tribunais ou até modificar sentenças e outras peças de processos pode ter um efeito devastador. Os sublinhados são meus: Auditoria detectou 21 falhas de segurança no sistema informático dos tribunais Por Mariana Oliveira Ministério da Justiça não explicita quais os problemas que já foram resolvidos, adiantando apenas que corrigiu as falhas que a tecnologia do actual sistema permitiu Uma auditoria encomendada pelo Ministério da Justiça à empresa Critical Software detectou 21 falhas na segurança do sistema informático dos tribunais, o Citius, composto por várias aplicações. Do conjunto, seis deficiências foram classificadas com risco máximo , face à probabilidade e impacto dos problemas. A auditoria é de Julho de 2009 , tendo sido concluído um aditamento em Março do ano passado que confirmou 14 das falhas de segurança, não tendo, até agora, os resultados de qualquer uma delas sido conhecidos publicamente. O Ministério da Justiça (MJ) recusa-se a explicitar quais os problemas já resolvidos, alegando razões de segurança, mas precisa que corrigiu as falhas "permitidas pelas possibilidades tecnológicas do actual sistema". Neste momento, o Citius está a ser transformado, tendo a Critical Software sido contratada em Junho do ano passado para reescrever as aplicações numa nova linguagem, que, segundo o MJ, permitirá melhorar a segurança e a eficiência do Citius. O MJ revela que o novo Citius Plus entrará em testes a partir de Setembro, na comarca-piloto de Lisboa-Noroeste. Descobrir passwords A auditoria dá conta da possibilidade de alterar ou remover gravações de audiências em tribunais, do risco de subverter dados no envio de peças processuais e da fraca qualidade das passwords (ver caixa). "Com recurso a ferramentas de fácil acesso (disponíveis na Internet), a equipa de auditoria, através da exploração de uma vulnerabilidade e apenas em duas horas, teve acesso a 53 por cento das passwords dos mandatários", lê-se no documento. José Tribolet, presidente do INESC- - Instituto de Engenharia de Sistemas e Computadores e consultor da Procuradoria-Geral da República, considera que a mudança tecnológica que está a ser feita era "imprescindível" e explica que esta vai "permitir melhorar significativamente os atributos de segurança global do sistema". Contudo, salienta que tal intervenção não vai permitir resolver todos os problemas detectados, já que alguns não estão relacionados com as aplicações, mas com a arquitectura do sistema (que não vai ser alterada para já), a rede da Justiça e a forma como a informação é guardada. O professor estima que a maioria dos problemas técnicos deverá estar ultrapassada até ao final de 2012. "Mas só dentro de uma década deveremos ter um novo sistema de Justiça, que implica mudanças de hardware, software , redes e, acima de tudo, mudança de mentalidades e de comportamentos", afirma. A auditoria da Critical Software seguiu-se a uma outra realizada em Março de 2009 pela Faculdade de Engenharia da Universidade do Porto, que também detectou inúmeras fragilidades no sistema. Apesar disso, considerou que o sistema oferecia um "nível superior de segurança e consistência" relativamente à utilização do papel, aconselhando, por isso, a manutenção da obrigatoriedade da utilização do Citius nos processos cíveis, uma regra que entrara em vigor em Janeiro desse ano. As auditorias foram pedidas após queixas de juízes, que denunciaram, por exemplo, o desaparecimento electrónico de um processo e o arquivamento de outro sem intervenção do juiz. No início da semana o sindicato dos juízes ameaçou boicotar a utilização do Citius Plus se os problemas de segurança não forem resolvidos. Empresa atribuiu risco máximo a seis problemas - Possibilidade de aceder, alterar ou remover gravações de audiências em tribunais sem controlo de acesso. - Possibilidade de qualquer utilizador no interior da rede da justiça alterar ficheiros de forma maliciosa antes de chegarem ao seu destinatário. - A possibilidade de subverter dados no envio de peças processuais na aplicação utilizada pelos advogados. - Acesso não-autorizado ao Habilus sem necessidade de introduzir credenciais. - Livre acesso às credenciais de administração da base de dados da produção do Habilus .- Fraca qualidade das passwords na base de dados central e no sistema de atribuição de senhas (que podem ser iguais ao login). - Autentificação no Habilus é possível utilizando um cartão (usado pelos juízes para assinar despachos de forma digital) forjado. - Possibilidade dos magistrados (com credenciais de administradores) poderem instalar software malicioso de forma não-intencional. blog Segurança Informática
http://www.seguranca-informatica.net/