Argentinos criam vírus que se aloja na placa-mãe do PC

A conferência de segurança CanSecWest, que terminou na semana passada, reuniu pesquisadores do mundo todo para demonstrar novas técnicas de segurança e invasão. Lá, dois argentinos mostraram como é possível armazenar um código malicioso permanente na BIOS (Sistema Básico de Entrada e Saída) da placa-mãe, um local antes considerado seguro contra pragas digitais.

Anibal Sacco e Alfredo Ortega fizeram a apresentação durante a conferência de segurança CanSecWest, na semana passada. Como o código é executado a partir da placa-mãe, reinstalar o sistema operacional ou mesmo reformatar o disco rígido não é suficiente para remover o programa indesejado. Os programa gerado pelos pesquisadores consegue ler e alterar arquivos presentes no disco rígido a partir da BIOS.

Até hoje não se tem notícia de nenhum código malicioso capaz de usar a BIOS para infectar o sistema. Algumas pragas digitais, como o CIH (também conhecido como Chernobyl) e o MagiStr tentavam zerar o conteúdo da memória onde é armazenada a BIOS, o que fazia com que o computador não inicializasse mais. Os pesquisadores, no entanto, conseguiram inserir seu próprio código na BIOS, em vez de danificá-la.

O ataque independe do sistema operacional. Na demonstração, os pesquisadores infectaram a BIOS a partir do Windows e do OpenBSD. Eles também obtiveram sucesso na tentativa de modificar a BIOS de uma máquina virtual -- como são chamados os computadores “virtuais” que rodam em apenas um único hardware, mas com sistemas operacionais distintos. Nesse caso, a BIOS do computador físico não era afetada, mas todas as máquinas virtuais eram infectadas.

Os pesquisadores dizem ser preciso mais pesquisa para que possa ser criado um vírus “camuflado” -- ou rootkit -- que reinfecta silenciosamente o computador sem que o usuário perceba. Uma praga digital assim seria muito difícil de ser eliminada, ou mesmo detectada.

A prova da possibilidade de ataques persistentes usando a BIOS chega mais de dois anos depois de outra pesquisa que demonstrou a possibilidade de instalar pragas digitais em placas PCI, em novembro de 2006.

Mesmo depois de tanto tempo, nenhum vírus real fez uso dessa técnica para se alojar em placas PCI. O mesmo pode ser esperado desta, a não ser que códigos prontos sejam disponibilizados para facilitar a integração dessa funcionalidade nas pragas digitais.

Os pesquisadores não informaram se os chips de computação confiável (Trusted Platform Module), já incluídos em alguns computadores mais recentes, dificultam a realização do ataque ou mesmo sua identificação. Os slides usados na apresentação estão disponíveis na internet em PDF.

Fonte: globo.com

Cartilha de Segurança para Internet. Engenharia Social

Engenharia Social

O termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

Que exemplos podem ser citados sobre este método de ataque?

Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O último exemplo apresenta um ataque realizado por telefone.

Exemplo 1: você recebe uma mensagem e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante.

Exemplo 2: você recebe uma mensagem de e-mail, dizendo que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador. A real função desta ferramenta não é eliminar um vírus, mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.

Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor. Nesta ligação ele diz que sua conexão com a Internet está apresentando algum problema e, então, pede sua senha para corrigí-lo. Caso você entregue sua senha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a Internet e, portanto, relacionando tais atividades ao seu nome.

Estes casos mostram ataques típicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas.

Cartilha de Segurança para Internet. Cookies

Cookies são pequenas informações que os sites visitados por você podem armazenar em seu browser. Estes são utilizados pelos sites de diversas formas, tais como:

* guardar a sua identificação e senha quando você vai de uma página para outra;
* manter listas de compras ou listas de produtos preferidos em sites de comércio eletrônico;
* personalizar sites pessoais ou de notícias, quando você escolhe o que quer que seja mostrado nas páginas;
* manter a lista das páginas vistas em um site, para estatística ou para retirar as páginas que você não tem interesse dos links.

Fonte: http://cartilha.cert.br

Cartilha de Segurança para Internet. Senhas

Senhas.

Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar o usuário, ou seja, é utilizada no processo de verificação da identidade do usuário, assegurando que este é realmente quem diz ser.

Se uma outra pessoa tem acesso a sua senha, ela poderá utilizá-la para se passar por você na Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha são:
ler e enviar e-mails em seu nome;
obter informações sensíveis dos dados armazenados em seu computador, tais como números de cartões de crédito;
esconder sua real identidade e então desferir ataques contra computadores de terceiros.

Portanto, a senha merece consideração especial, afinal ela é de sua inteira responsabilidade.

O que não se deve usar na elaboração de uma senha?

Nomes, sobrenomes, números de documentos, placas de carros, números de telefones e datas1 deverão estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa mal intencionada, possivelmente, utilizaria este tipo de informação para tentar se autenticar como você.

Existem várias regras de criação de senhas, sendo que uma regra muito importante é jamais utilizar palavras que façam parte de dicionários. Existem softwares que tentam descobrir senhas combinando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicionários) e listas de nomes (nomes próprios, músicas, filmes, etc.).

O que é uma boa senha?

Uma boa senha deve ter pelo menos oito caracteres2 (letras, números e símbolos), deve ser simples de digitar e, o mais importante, deve ser fácil de lembrar.

Normalmente os sistemas diferenciam letras maiúsculas das minúsculas, o que já ajuda na composição da senha. Por exemplo, "pAraleLepiPedo" e "paRalElePipEdo" são senhas diferentes. Entretanto, são senhas fáceis de descobrir utilizando softwares para quebra de senhas, pois não possuem números e símbolos, além de conter muitas repetições de letras.

Como elaborar uma boa senha?

Quanto mais "bagunçada" for a senha melhor, pois mais difícil será descobrí-la3. Assim, tente misturar letras maiúsculas, minúsculas, números e sinais de pontuação. Uma regra realmente prática e que gera boas senhas difíceis de serem descobertas é utilizar uma frase qualquer e pegar a primeira, segunda ou a última letra de cada palavra.

Por exemplo, usando a frase "batatinha quando nasce se esparrama pelo chão" podemos gerar a senha "!BqnsepC" (o sinal de exclamação foi colocado no início para acrescentar um símbolo à senha). Senhas geradas desta maneira são fáceis de lembrar e são normalmente difíceis de serem descobertas.

Mas lembre-se: a senha "!BqnsepC" deixou de ser uma boa senha, pois faz parte desta Cartilha.
Vale ressaltar que se você tiver dificuldades para memorizar uma senha forte, é preferível anotá-la e guardá-la em local seguro, do que optar pelo uso de senhas fracas.

Quantas senhas diferentes devo usar?

Procure identificar o número de locais onde você necessita utilizar uma senha. Este número deve ser equivalente a quantidade de senhas distintas a serem mantidas por você. Utilizar senhas diferentes, uma para cada local, é extremamente importante, pois pode atenuar os prejuízos causados, caso alguém descubra uma de suas senhas.

Para ressaltar a importância do uso de senhas diferentes, imagine que você é responsável por realizar movimentações financeiras em um conjunto de contas bancárias e todas estas contas possuem a mesma senha. Então, procure responder as seguintes perguntas:

Quais seriam as conseqüências se alguém descobrisse esta senha?

E se fossem usadas senhas diferentes para cada conta, caso alguém descobrisse uma das senhas, um possível prejuízo teria a mesma proporção?

Com que freqüência devo mudar minhas senhas?

Você deve trocar suas senhas regularmente, procurando evitar períodos muito longos. Uma sugestão é que você realize tais trocas a cada dois ou três meses.

Procure identificar se os serviços que você utiliza e que necessitam de senha, quer seja o acesso ao seu provedor, e-mail, conta bancária, ou outro, disponibilizam funcionalidades para alterar senhas e use regularmente tais funcionalidades.

Caso você não possa escolher sua senha na hora em que contratar o serviço, procure trocá-la com a maior urgência possível. Procure utilizar serviços em que você possa escolher a sua senha.
Lembre-se que trocas regulares são muito importantes para assegurar a confidencialidade de suas senhas.

Quais os cuidados especiais que devo ter com as senhas?

De nada adianta elaborar uma senha bastante segura e difícil de ser descoberta, se ao usar a senha alguém puder vê-la. Existem várias maneiras de alguém poder descobrir a sua senha. Dentre elas, alguém poderia:

observar o processo de digitação da sua senha;
utilizar algum método de persuasão, para tentar convencê-lo a entregar sua senha (vide seção 4.1);

capturar sua senha enquanto ela trafega pela rede.

Em relação a este último caso, existem técnicas que permitem observar dados, à medida que estes trafegam entre redes. É possível que alguém extraia informações sensíveis desses dados, como por exemplo senhas, caso não estejam criptografados (vide seção 8).

Portanto, alguns dos principais cuidados que você deve ter com suas senhas são:
certifique-se de não estar sendo observado ao digitar a sua senha;
não forneça sua senha para qualquer pessoa, em hipótese alguma;
não utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de eventos, etc) em operações que necessitem utilizar suas senhas;
certifique-se que seu provedor disponibiliza serviços criptografados, principalmente para aqueles que envolvam o fornecimento de uma senha

Que cuidados devo ter com o usuário e senha de Administrator (ou root) em um computador?

O usuário Administrator (ou root) é de extrema importância, pois detém todos os privilégios em um computador. Ele deve ser usado em situações onde um usuário normal não tenha privilégios para realizar uma operação, como por exemplo, em determinadas tarefas administrativas, de manutenção ou na instalação e configuração de determinados tipos de software.

Sabe-se que, por uma questão de comodidade e principalmente no ambiente doméstico, muitas pessoas utilizam o usuário Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele é usado para se conectar à Internet, navegar utilizando o browser, ler e-mails, redigir documentos, etc.

Este é um procedimento que deve ser sempre evitado, pois você, como usuário Administrator (ou root), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacional ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamente um software malicioso que, como usuário Administrator (ou root), teria todos os privilégios que necessitasse, podendo fazer qualquer coisa.

Fonte: http://cartilha.cert.br/conceitos/sec2.html#sec2

Aprenda a criar e decorar senhas seguras sem 'gastar' o cérebro

Usar palavras simples e dados públicos é falha comum, explica colunista.Regras facilitam a memorização de chaves complexas, à prova de hackers.





Sites da web, bancos, universidades e tantos outros serviços que utilizamos solicitam algum tipo de senha para garantir que somente pessoas autorizadas realizem certas operações. No entanto, o descaso para com a criação, uso e compartilhamento das senhas ainda é grande.





Criando senhas seguras .





As senhas que usamos precisam ser diferentes. Por exemplo, “a%op35aV$” seria, normalmente, uma senha segura. Porém, se todos resolvessem utilizá-la, ela não mais o seria, porque um invasor saberia que, ao tentar usá-la, conseguiria acesso. Senhas como “abcde” e “123456” são consideradas inseguras não apenas porque são sequências comuns, mas porque muitos decidiram usá-las como senhas.




Em 2005, um estudo levantou as 500 senhas mais comuns. Entre elas pode-se encontrar conjuntos aparentemente sem sentido como “ncc1701”, mas que na verdade são alguma referência à cultura popular (nesse caso, uma nave espacial da série Jornada nas estrelas). Não é algo tão conhecido como “abcde” ou “aeiou”, mas um número suficiente de pessoas acabou usando-a como senha, o que a tornou insegura.


Datas de aniversário e nomes de coisa ligadas à você também são inseguras. Um invasor pode facilmente buscar dados em redes sociais, ou questionar conhecidos (também localizáveis com redes sociais) para conseguir esse tipo de informação. Novamente, o uso de datas como senha é tão comum que as tornou inseguras. E elas são, para a pessoa que as utiliza, um conjunto de fácil memorização.

Uma dica para criar senhas seguras é criar novas sequências de fácil memorização. Você pode, por exemplo, memorizar apenas “$rV” e “d&a” e usar uma senha como “amigo” e juntá-la com esses conjuntos. “$rvamigod&a”. Você ainda pode memorizar que, em todas as palavras que você utilizar, irá substituir o “i” por “1” e o “a” por 4, ficando “$rv4m1god&a”. Uma senha fácil na qual você não memoriza os caracteres individualmente, mas uma palavra (“amigo”) e as “regras”.

Você pode, então, aplicar as mesmas regras a todas as suas senhas -- usando palavras diferentes, claro, porque usar a mesma senha em vários locais importantes não é uma boa ideia. Uma pessoa que obtém uma única senha sua não poderá descobrir quais foram as regras que você usou para gerá-la, mas se você usou a mesma senha, ele nem vai precisar adivinhar.

Em vez de usar palavras, você também pode usar as letras iniciais das palavras de uma frase. Por exemplo, “O aniversário da minha mãe é em maio” - “oadmmeem”, e depois aplicar as mesmas dicas acima.

Aliás, se o serviço permitir uma senha mais longa, de 30 ou mais caracteres, é possível também utiliza a frase em si como senha. Evite, claro, citações comuns. O simples uso de uma senha longa dificulta a realização de ataques conhecidos como força bruta, porque o invasor não sabe qual é o tamanho da senha, sendo obrigado a tentar as milhares de combinações até chegar nos 50 ou 60 caracteres que sua frase possui. Além disso, frases possuem números, caracteres especiais como acentos e pontuação.

Nas senhas curtas que possuem apenas números, como é o caso geralmente em bancos, evite utilizar datas familiares a você, trechos de RG e CPF, entre outros. Pense em números aleatórios -- repetir um ou outro não é problema -- e siga a dica abaixo.

Anotando as senhas

Há quem diga que as senhas não devem ser anotadas. Na verdade, o pior, mesmo, é esquecer uma senha. Não raramente, as funções de troca ou recuperação de senha costumam ser o calcanhar de Aquiles da segurança. O e-mail de Sarah Palin, candidata derrotada à vice-presidência dos Estados Unidos, foi invadido pelo recurso de recuperação de senha do Yahoo. Sendo Palin uma personalidade conhecida, a resposta para a “pergunta secreta” configurada por ela foi encontrada facilmente na internet.

Para não esquecer as senhas, muitos acabam anotando-as em locais impróprios e públicos, como em papeis colados no monitor ou no teclado. É por isso que “anotar as senhas” ganhou uma fama ruim. Não é problema, no entanto, anotá-las em um papel que será guardado com segurança.

Em 2005, Jesper Johansson, que na ocasião falou como especialista em segurança da Microsoft, pediu que as empresas não proibissem seus empregados de anotar as senhas. Bruce Schneier, outro especialista no assunto, explica que não é mais possível lembrar-se de todas as senhas, pois elas são muitas e precisam ser complicadas o suficiente para não serem adivinhadas.

Por isso, anote suas senhas em uma folha de papel e guarde-a bem. Schneier recomenda colocá-la em sua carteira, mas qualquer local protegido e longe do alcance de estranhos é suficiente

Mesmo fazendo uso das dicas presentes na primeira parte da coluna, você ainda pode esquecer suas senhas. Preocupe-se mais em gerar uma senha forte e difícil de adivinhar do que em memorizá-la. Depois, anote em um papel, e não dependa do recurso de recuperação de senha. Com isso, você terá uma senha forte, difícil de ser adivinhada mesmo por conhecidos, e não terá de se preocupar com lembrá-la.

Fonte: www.globo.com

Brasileiros ficam fora de competição de segurança do Google

Brasileiros não podem participar de competição do Google

O Google iniciou na semana passada uma campanha que promete pagar pesquisadores de segurança que conseguirem encontrar e explorar brechas de segurança no Native Client, um programa ainda em fase de testes que permite a execução de código de máquina nativo dentro do navegador web.

A própria empresa admite que ainda “não é uma tecnologia segura” -- e aparentemente a iniciativa quer mudar essa realidade. Brasileiros, no entanto, não podem participar.

Nos termos e condições da competição, o Brasil se junta a países como Irã, Síria, Cuba, Coréia do Norte, Sudão e Mianmar na lista de localidades proibidas de participar. Nenhuma razão é dada para a proibição. Além desses países, residentes da Itália e da província de Quebec, no Canadá, também estão impedidos de participar.

O Google dará um total de cinco prêmios, sendo o mais alto deles a quantia de US$8.192. O segundo prêmio é de US$4.096, o terceiro US$2.048 e o quarto e o quinto US$1.024.

O Native Client é uma tecnologia ainda em desenvolvimento do Google que permite a execução de programas nativos (executáveis do sistema operacional) dentro do navegador web. Funcionando corretamente, ela daria grande flexibilidade aos aplicativos web. Por outro lado, também pode ser facilmente explorada para fins maliciosos.

Os interessados têm até o dia 5 de maio para enviar as informações a respeito das falhas que descobriu e/ou os códigos para tirar explorar as mesmas. Cada uma das falhas será analisada por um painel de sete especialistas, liderados por Edward Felten, e os descobridores dos cinco problemas mais relevantes serão premiados.

Fonte: http://g1.globo.com/Noticias/Tecnologia/

Cartilha de Segurança para Internet. Parte 1

1. Segurança de Computadores

Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade.

A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados; a integridade diz que a informação não é destruída ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os serviços/recursos do sistema estão disponíveis sempre que forem necessários.

Alguns exemplos de violações a cada um desses requisitos são:

Confidencialidade: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda;

Integridade: alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal;

Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal.

1.1. Por que devo me preocupar com a segurança do meu computador?

Computadores domésticos são utilizados para realizar inúmeras tarefas, tais como: transações financeiras, sejam elas bancárias ou mesmo compra de produtos e serviços; comunicação, por exemplo, através de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc.

É importante que você se preocupe com a segurança de seu computador, pois você, provavelmente, não gostaria que:

*suas senhas e números de cartões de crédito fossem furtados e utilizados por terceiros;
*sua conta de acesso a Internet fosse utilizada por alguém não autorizado;
*seus dados pessoais, ou até mesmo comerciais, fossem alterados, estruídos ou visualizados por terceiros;
*seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc.

1.2. Por que alguém iria querer invadir meu computador?

A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns destes motivos podem ser:

utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor;
utilizar seu computador para lançar ataques contra outros computadores;
utilizar seu disco rígido como repositório de dados;
destruir informações (vandalismo);
disseminar mensagens alarmantes e falsas;
ler e enviar e-mails em seu nome;
propagar vírus de computador;
furtar números de cartões de crédito e senhas bancárias;
furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por você;
furtar dados do seu computador, como por exemplo, informações do seu Imposto de Renda.

Fonte: http://cartilha.cert.br/