Brasileiros não podem participar de competição do Google
O Google iniciou na semana passada uma campanha que promete pagar pesquisadores de segurança que conseguirem encontrar e explorar brechas de segurança no Native Client, um programa ainda em fase de testes que permite a execução de código de máquina nativo dentro do navegador web.
A própria empresa admite que ainda “não é uma tecnologia segura” -- e aparentemente a iniciativa quer mudar essa realidade. Brasileiros, no entanto, não podem participar.
Nos termos e condições da competição, o Brasil se junta a países como Irã, Síria, Cuba, Coréia do Norte, Sudão e Mianmar na lista de localidades proibidas de participar. Nenhuma razão é dada para a proibição. Além desses países, residentes da Itália e da província de Quebec, no Canadá, também estão impedidos de participar.
O Google dará um total de cinco prêmios, sendo o mais alto deles a quantia de US$8.192. O segundo prêmio é de US$4.096, o terceiro US$2.048 e o quarto e o quinto US$1.024.
O Native Client é uma tecnologia ainda em desenvolvimento do Google que permite a execução de programas nativos (executáveis do sistema operacional) dentro do navegador web. Funcionando corretamente, ela daria grande flexibilidade aos aplicativos web. Por outro lado, também pode ser facilmente explorada para fins maliciosos.
Os interessados têm até o dia 5 de maio para enviar as informações a respeito das falhas que descobriu e/ou os códigos para tirar explorar as mesmas. Cada uma das falhas será analisada por um painel de sete especialistas, liderados por Edward Felten, e os descobridores dos cinco problemas mais relevantes serão premiados.
Fonte: http://g1.globo.com/Noticias/Tecnologia/
sábado, 7 de março de 2009
Cartilha de Segurança para Internet. Parte 1
1. Segurança de Computadores
Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade.
A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados; a integridade diz que a informação não é destruída ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os serviços/recursos do sistema estão disponíveis sempre que forem necessários.
Alguns exemplos de violações a cada um desses requisitos são:
Confidencialidade: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda;
Integridade: alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal;
Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal.
1.1. Por que devo me preocupar com a segurança do meu computador?
Computadores domésticos são utilizados para realizar inúmeras tarefas, tais como: transações financeiras, sejam elas bancárias ou mesmo compra de produtos e serviços; comunicação, por exemplo, através de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc.
É importante que você se preocupe com a segurança de seu computador, pois você, provavelmente, não gostaria que:
*suas senhas e números de cartões de crédito fossem furtados e utilizados por terceiros;
*sua conta de acesso a Internet fosse utilizada por alguém não autorizado;
*seus dados pessoais, ou até mesmo comerciais, fossem alterados, estruídos ou visualizados por terceiros;
*seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc.
1.2. Por que alguém iria querer invadir meu computador?
A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns destes motivos podem ser:
utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor;
utilizar seu computador para lançar ataques contra outros computadores;
utilizar seu disco rígido como repositório de dados;
destruir informações (vandalismo);
disseminar mensagens alarmantes e falsas;
ler e enviar e-mails em seu nome;
propagar vírus de computador;
furtar números de cartões de crédito e senhas bancárias;
furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por você;
furtar dados do seu computador, como por exemplo, informações do seu Imposto de Renda.
Fonte: http://cartilha.cert.br/
Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade.
A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados; a integridade diz que a informação não é destruída ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os serviços/recursos do sistema estão disponíveis sempre que forem necessários.
Alguns exemplos de violações a cada um desses requisitos são:
Confidencialidade: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda;
Integridade: alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal;
Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal.
1.1. Por que devo me preocupar com a segurança do meu computador?
Computadores domésticos são utilizados para realizar inúmeras tarefas, tais como: transações financeiras, sejam elas bancárias ou mesmo compra de produtos e serviços; comunicação, por exemplo, através de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc.
É importante que você se preocupe com a segurança de seu computador, pois você, provavelmente, não gostaria que:
*suas senhas e números de cartões de crédito fossem furtados e utilizados por terceiros;
*sua conta de acesso a Internet fosse utilizada por alguém não autorizado;
*seus dados pessoais, ou até mesmo comerciais, fossem alterados, estruídos ou visualizados por terceiros;
*seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc.
1.2. Por que alguém iria querer invadir meu computador?
A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns destes motivos podem ser:
utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor;
utilizar seu computador para lançar ataques contra outros computadores;
utilizar seu disco rígido como repositório de dados;
destruir informações (vandalismo);
disseminar mensagens alarmantes e falsas;
ler e enviar e-mails em seu nome;
propagar vírus de computador;
furtar números de cartões de crédito e senhas bancárias;
furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por você;
furtar dados do seu computador, como por exemplo, informações do seu Imposto de Renda.
Fonte: http://cartilha.cert.br/
"Windows 7 Ultimate completo", claramente pirata, é vendido nas ruas das Filipinas
Mercado negro tem a versão beta de sucessor do Windows Vista “em estoque”.
Por Rodrigo Martin de Macedo
A estabilidade do novo Windows 7, a boa receptividade por parte dos usuários e as declarações da Microsoft de que o sucessor do Vista está quase pronto abriram caminho para que, mesmo em versão beta, o sistema começasse a ser vendido ilegalmente como “completo”.
O site The Register informou que o software já pode ser encontrado ilegalmente nas Filipinas sendo vendido pelo equivalente a US$ 1.
A versão vendida é a mesma do beta que podia ser encontrado gratuitamente e de forma autorizada na internet, o que quer dizer que é a versão Ultimate, com todos os recursos do sistema e talvez por isso esteja sendo chamado de “completo” por seus vendedores.
Jerry Liao, que mantém um blog de informática na divisão asiática da CNet, encontrou o sistema a venda e perguntou à vendedora onde a cópia havia sido obtida. A vendedora admitiu não saber, que a grande maioria dos CDs apenas chegava por ali, e confessou não entender de computadores.
O que está acontecendo com o Windows 7 não é novidade para a Microsoft, que já viu versões anteriores às finais do Windows XP e do Windows Vista chegarem ao mercado negro antes do lançamento oficial.
A prática tampouco é exclusiva das Filipinas. Repórteres da Geek perambularam pela rua Santa Efigênia, tradicional ponto de pirataria da cidade de São Paulo, e constataram que o Windows 7 “completo” também está à venda no Brasil, por preços que variam de R$ 10 a R$ 20. Encontrou-se, inclusive, versões “completas” e “finais”, portanto também possivelmente betas, do Windows XP e mesmo do Windows 2000 Server.
A compra de um sistema neste estágio, além de ilegal, pode ser frustrante ao consumidor. O sistema operacional, que possui uma chave de ativação apenas para testes, fatalmente irá parar de funcionar ou de baixar atualizações futuras.
Outro risco é a adição de vírus, spywares e outras pragas ao sistema. Muitos sistemas
operacionais pirateados já são distribuídos com software de botnet pré-instalado, transformando instantaneamente o computador do incauto usuário em um zumbi. Como já estão no disco de instalação e, portanto, foram manipulados por hackers bastante hábeis, tais pragas podem ser mais perigosas ainda do que as contraídas depois e, pior ainda, ser indetectáveis pelos programas antivírus.
Fonte: www.geek.com.br
Por Rodrigo Martin de Macedo
A estabilidade do novo Windows 7, a boa receptividade por parte dos usuários e as declarações da Microsoft de que o sucessor do Vista está quase pronto abriram caminho para que, mesmo em versão beta, o sistema começasse a ser vendido ilegalmente como “completo”.
O site The Register informou que o software já pode ser encontrado ilegalmente nas Filipinas sendo vendido pelo equivalente a US$ 1.
A versão vendida é a mesma do beta que podia ser encontrado gratuitamente e de forma autorizada na internet, o que quer dizer que é a versão Ultimate, com todos os recursos do sistema e talvez por isso esteja sendo chamado de “completo” por seus vendedores.
Jerry Liao, que mantém um blog de informática na divisão asiática da CNet, encontrou o sistema a venda e perguntou à vendedora onde a cópia havia sido obtida. A vendedora admitiu não saber, que a grande maioria dos CDs apenas chegava por ali, e confessou não entender de computadores.
O que está acontecendo com o Windows 7 não é novidade para a Microsoft, que já viu versões anteriores às finais do Windows XP e do Windows Vista chegarem ao mercado negro antes do lançamento oficial.
A prática tampouco é exclusiva das Filipinas. Repórteres da Geek perambularam pela rua Santa Efigênia, tradicional ponto de pirataria da cidade de São Paulo, e constataram que o Windows 7 “completo” também está à venda no Brasil, por preços que variam de R$ 10 a R$ 20. Encontrou-se, inclusive, versões “completas” e “finais”, portanto também possivelmente betas, do Windows XP e mesmo do Windows 2000 Server.
A compra de um sistema neste estágio, além de ilegal, pode ser frustrante ao consumidor. O sistema operacional, que possui uma chave de ativação apenas para testes, fatalmente irá parar de funcionar ou de baixar atualizações futuras.
Outro risco é a adição de vírus, spywares e outras pragas ao sistema. Muitos sistemas
operacionais pirateados já são distribuídos com software de botnet pré-instalado, transformando instantaneamente o computador do incauto usuário em um zumbi. Como já estão no disco de instalação e, portanto, foram manipulados por hackers bastante hábeis, tais pragas podem ser mais perigosas ainda do que as contraídas depois e, pior ainda, ser indetectáveis pelos programas antivírus.
Fonte: www.geek.com.br
Polícia alemã fecha fórum cracker
Por Rodrigo Martin de Macedo
Policiais alemães anunciaram a prisão de cibercriminosos e um fórum cracker utilizado para compartilhamento de código malicioso.
O The Register noticiou que o site hospedado no endereço codesoft.cc estava ligado a distribuição de um cavalo de tróia que infectou mais de 80 mil máquinas.
Policiais alemães anunciaram a prisão de cibercriminosos e um fórum cracker utilizado para compartilhamento de código malicioso.
O The Register noticiou que o site hospedado no endereço codesoft.cc estava ligado a distribuição de um cavalo de tróia que infectou mais de 80 mil máquinas.
No espaço os cibercriminosos trocavam dicas de como usar o malware e falsificar cartões de crédito. Um suíço de 22 anos cuja identidade não foi revelada é acusado de administrar o espaço sob a alcunha de tr1p0d e criar o trojan “Codesoft PW Stealer 0.5”, de roubo de senhas.
A polícia alemã teria chegado ao suspeito depois de seguir dados encontrados no repositório temporário de um servidor do país. Analisando os acessos, chegou a dois alemães, um de 25 e outro de 28 anos, suspeitos de utilizar o cavalo de tróia criado por tr1p0d para roubar dados e vendê-los para outros cibercriminosos, conforme noticiou o site heise Security.
Entre os dados encontrados no computador de “tr1p0d” estariam um banco com os usuários do site e seus endereços IP, que já estão em poder da polícia. Para Graham Cluley, especialista em segurança da firma Sophos, ainda não se sabe se a ação da polícia alemã vai impactar no uso de fóruns underground, prática comum entre cibercriminosos.
Fonte: www.geek.com.br
segunda-feira, 2 de março de 2009
Ferramentas hacker permitem invasão de sistemas com poucos cliques
Programas podem ser usados até por pessoas com pouco conhecimento. Usuários devem atualizar o sistema e os aplicativos para se protegerem.
Engana-se quem pensa que é preciso um grande conhecimento sobre computadores para se aproveitar de vulnerabilidades e invadir sistemas. Na verdade, existem diversas ferramentas e exemplos na internet, semelhantes a “receitas de bolo”, que permitem a quase qualquer um explorar uma falha e obter acesso não-autorizado a outros computadores. Essas ferramentas não são ilegais, porém são úteis nos chamados testes de penetração. A coluna de hoje trata desse assunto.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Essas “ferramentas hacker” são muitas vezes disponibilizadas de forma avulsa, ou seja, o invasor precisa encontrar um programa específico para a brecha que ele quer explorar. Em outros casos, os exploits -- como são chamados tais softwares no jargão de segurança -- são feitos para trabalhar como “módulos” dentro de outras ferramentas, mais complexas, que permitem maior flexibilidade e facilidade para seu uso e desenvolvimento.
Para especialistas em segurança e técnicos que sabem da existência desses softwares, eles são um constante lembrete de que nenhuma falha de segurança pode ser ignorada, especialmente depois de conhecida publicamente -- o que geralmente significa .
Usuários, por outro lado, muitas vezes pensam: “mesmo que meu sistema seja inseguro, por que ele seria alvo de alguém com tanto conhecimento sobre informática?”. Adotar essa atitude é um erro. Além de existirem milhares de códigos maliciosos que fazem uso de brechas existentes no Windows e em programas populares entre usuários domésticos (como Acrobat, Flash e Office), esses 'exploits' podem ser obtidos e usados por quase qualquer um que tenha um conhecimento mínimo de sistemas e redes. Em grande parte dos casos, não é preciso nenhum conhecimento em programação para se aproveitar de uma falha.
Área cinza
Os aplicativos que exploram essas brechas residem em um campo “cinza” da área de segurança. Eles podem ser claramente utilizados de forma maliciosa, mas também dão a administradores de sistema a capacidade de verificar se seus próprios computadores estão adequadamente protegidos contra falhas de segurança
Embora esses programas não sejam ilegais na maioria dos países (e há inclusive kits legalmente comercializados), não se pode dizer o mesmo sobre seu uso para fins ilegítimos, como a invasão de sistemas, que é ilegal. O uso correto da ferramenta é o chamado “hacking ético” ou teste de penetração (“pen test”), no qual um especialista é contratado para tentar obter acesso aos sistemas de uma empresa com as mesmas informações e nível de acesso que qualquer outra pessoa poderia obter.
Não é objetivo da coluna criar um “passo a passo” de utilização dessas ferramentas. Isso nem mesmo cabe neste espaço: técnicos e especialistas devem conhecê-las e estudá-las a fundo, enquanto usuários possuem outras maneiras de checar o nível de segurança dos seus sistemas, como por exemplo o Personal Software Inspector, da Secunia, que analisa os programas instalados no PC e informa quais carecem de atualizações que corrigem vulnerabilidades.
Para os usuários domésticos, a atualização é sempre o melhor caminho para se proteger de falhas de segurança, sejam elas utilizadas por vírus ou exploits operados por um ser humano. A coluna de hoje fica por aqui, com o objetivo de ter mostrado como aqueles que tem apenas um pouco mais conhecimento que a maioria podem se passar por “entendidos” aos olhos de quem é apenas desconhece as facilidades disponíveis na rede.
Assinar:
Postagens (Atom)
