blog.dennyroger.com.br

Aproveitando a véspera da páscoa está circulando na Internet um falso cartão temático. A suposta mensagem de “Feliz Páscoa” traz na verdade um link que direciona o usuário para download de um cavalo-de-Tróia.

Segundo o especialista em segurança, Denny Roger, este código malicioso está programado para sobrepor a tela de teclado virtual de alguns internet banking para roubar dados da conta. “Caso o usuário minimize a página do banco, a tela falsa de senha é detectada”, alerta.

Mas se a máquina for infectada pelo trojan, sempre que o usuário acessar a página do banco, o código malicioso inicia um processo de gravação de todas as teclas digitas. “Quando o usuário finaliza o acesso ao internet banking, o trojan para de gravar as informações e as transmite via e-mail para o Cracker”, detalha o especialista.

Para dificultar a rastreabilidade e ganhar mais tempo, o Cracker cria uma regra de redirecionamento no e-mail que está recebendo as senhas dos clientes dos bancos. “O trojan envia a informação para um determinado e-mail, este recebe e redireciona para outra conta que reenvia a mensagem para outro endereço. Geralmente existem entre três e cinco redirecionamentos”. Caso haja investigação isso dificultará a busca.

Dos 32 softwares antivírus utilizados por Denny Roger na análise, apenas quatro detectaram a praga. Entre os programas que não identificaram o vírus estão: AhnLab-V3, Authentium, Avast, AVG, BitDefender, ClamAV, DrWeb, eSafe, eTrust-Vet, Ewido, F-Prot, F-Secure, FileAdvisor, Fortinet, Kaspersky, McAfee, Microsoft, NOD32v2, Norman, Panda, Prevx1, Rising, Sophos, Sunbelt, Symantec, TheHacker, VBA32 e VirusBuster.

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=10406

Sem comentários »

Sem saber, você pode estar conversando ou trabalhando com um hacker. Por Denny Roger

Não se deixe enganar pelas aparências ou pela camaradagem que existe na sua empresa. Você pode estar conversando ou trabalhando com o hacker interno.

O hacker interno é aquele colaborador ou prestador de serviço que busca sempre burlar o esquema de segurança implementado pela empresa. É a pessoa que procura meios e técnicas para acessar o comunicador instantâneo, o webmail etc., que foram bloqueados e proibidos pela alta direção.

Este tipo de atacante é encontrado cada vez mais nas empresas. São pessoas geralmente jovens e com uma cultura onde tudo deve ser permitido.

Vamos conhecer os três principais problemas gerados pelos hackers internos:

1) Uso do comunicador instantâneo para reduzir o custo com telefonia
O que acontece na prática é a perda de produtividade por estarem sempre conversando com “paqueras”, namorado(a), amigo(a), etc. Também existe o risco de vazamento de informações através deste tipo de tecnologia. Outro fator que contribui para o bloqueio desta ferramenta combinada ao e-mail pessoal é a invasão de privacidade. A empresa não pode monitorar o e-mail ou o messenger pessoal do seu funcionário. E tudo que não pode ser monitorado deve ser bloqueado.

Mas se a empresa bloqueia o uso do messenger, o hacker interno procura alternativas de acesso, tais como o web messenger (ferramenta que permite o acesso ao comunicador através de uma página web). Já detectei alguns casos onde o web messenger estava programado para capturar o usuário e a senha do messenger. Em muitos casos o hacker interno acredita estar burlando o esquema de segurança da sua empresa, mas na verdade está caindo em uma armadilha virtual.

2) Desespero pelo Orkut
As empresas lutam contra os hackers internos que buscam formas de acessar a popular rede social do Google. É comum estar explícito na política de segurança da empresa que é proibido o acesso ao Orkut e a outros sites de relacionamento. Porém, algumas pessoas não agüentam ficar algumas horas sem acessar o Orkut e procuram técnicas para burlar o esquema de segurança.

O mais absurdo que consegui detectar foram casos onde o funcionário da empresa entra em contato via telefone com um colega que está em casa ou em outra empresa. Essa pessoa fornece o seu usuário e a senha para o amigo acessar o Orkut. Depois o amigo copia os recados que estão no Orkut e envia os recados para o e-mail corporativo do colega. Ou seja, mesmo com o site do Orkut bloqueado, o hacker interno está acessando os seus recados utilizando o próprio e-mail corporativo.

3) Notebook pessoal no ambiente corporativo
Os preços dos notebooks estão cada vez mais acessíveis às pessoas de classe média. Podemos perceber um aumento da utilização de notebooks pessoais no ambiente corporativo. Um dos problemas é a disseminação de software pirata, filmes, músicas etc., na rede. O hacker interno utiliza o seu notebook pessoal para distribuir aos colegas de trabalho fotos pornográficas, músicas, filmes, entre outros.

A empresa não pode monitorar o notebook pessoal do seu funcionário, o que faz com que a área de auditoria encontre dificuldades em conseguir evidencias de que o hacker interno está distribuindo arquivos não permitidos no ambiente computacional.

É importante a empresa implementar programas de conscientização para minimizar o risco de criar hackers internos. A área de tecnologia ou segurança da informação deve possuir recursos para detectar desvios na política de segurança ou diretrizes da empresa e detectar estes funcionários.

O setor de Recursos Humanos deve sempre conscientizar os funcionários sobre as punições em casos de violações da política de segurança, normas e código de ética.

Deixe bem claro para os funcionários da sua empresa que devem sempre informar a área de auditoria quando descobrirem o hacker interno. Caso contrário a pessoa torna-se cúmplice e também pode sofrer uma punição.

Denny Roger é consultor independente, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@dennyroger.com.br.

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2008-03-12.1794363154/

Sem comentários »

Conheça as 10 principais vulnerabilidades em aplicações Web de acordo com levantamento realizado pela empresa de segurança Batori. No estudo foram utilizados dados reais baseados em projetos de análise de segurança desde 2006. Segundo a companhia, esses ataques respondem por 89% dos casos avaliados.

“Grande parte das vulnerabilidades não são detectadas por ferramentas como scanners e analisadores de códigos e, quando analisadas, não têm a devida eficácia”, afirma Ricardo Kiyoshi, diretor da Batori. “Falhas desta natureza somente são identificadas e reparadas por profissionais experientes. Então os hackers se aproveitam dessas vulnerabilidades, que geram brechas, para invadir os sistemas”, diz.

Confira a lista:

1º - XSS Cros site scripting - 13% das ocorrências. Técnica de ataque que permite executar scripts maliciosos no navegador do usuário da aplicação vulnerável.

2º - Manipulação de dados ocultos - 13% das ocorrências. A aplicação vulnerável permite acesso indevido quando dados ocultos são manipulados indevidamente.

3º - Falha ao restringir acesso a URL ou funcionalidade - 11% das ocorrências. A aplicação não restringe adequadamente suas áreas restritas.

4º - Tratamento indevido de erro, revelação de informações sensíveis - 9% das ocorrências. A aplicação revela informações sensíveis através de uso não esperado.

5º - Armazenamento inseguro de criptografia - 9% das ocorrências. Dados sensíveis que precisam ser armazenados de forma criptografada estão em texto livre ou com criptografia inadequada.

6º - Comunicação insegura - 8% das ocorrências. A aplicação trafega dados sensíveis através de canis não-seguros.

7º - Falha da especificação de requisitos - 8% das ocorrências. Os controles de segurança que deveriam existir não existem devido a falha na especificação.

8º - Injeção de comandos - 8% das ocorrências. Técnica de ataque que explora injeção de comandos através de aplicação para ser processado por outros sistemas ou camadas. Por exemplo: SQL Injection, SMTP Injection, HTML Injection etc.

9º - Processo inadequado de cadastro de usuários - 5% das ocorrências. O cadastro de usuário deve seguir algumas recomendações de segurança, que se não forem seguidas, podem expor a aplicação a diversos incidentes.

10º Quebra de autenticação e gerenciamento de sessão - 5% das ocorrências. Aplicações vulneráveis permitem burlar o processo de autenticação através de gestão fraca de sessão ou procedimentos inseguros. Outros ataques respondem por 11% das ocorrências - vide gráfico:

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=10324

Sem comentários »

Tem circulado na Web um e-mail que traz um suposto link para o site da Caixa Econômica Federal. Segundo o especialista Denny Roger, trata-se de uma página clonada do banco programada para armazenar as informações que são digitadas pelos clientes do banco. “Esta é uma das técnicas mais antigas para roubo de informações confidenciais”, afirma Roger.

O especialista explica que o site falso do banco não está no Brasil. “O estelionatário está no Brasil e realiza a invasão de servidores em outros países para dificultar a investigação e rastreabilidade”, completa. Isso ocorre porque os juízes têm dificuldade em julgar o caso porque não consegue avaliar o país onde o crime foi cometido.

Além disso, existem obstáculos em conseguir as provas com valor legal nestes servidores de outros países. “A parte acusada geralmente questiona o procedimento de coleta das evidências porque depende muito da legislação do outro país e não da legislação brasileira”, justifica Roger. Por exemplo, um mandado de quebra de privacidade das informações emitido no Brasil não é válido nos EUA. O acusado sabe disso e usa isso a seu favor. Por isso realizam as invasões em servidores de outros países, porque as evidencias fica lá e no Brasil, dificultando a montagem do quebra cabeça.

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=10319

Sem comentários »

A New Zealand security consultant based has released a tool that can unlock Windows computers in seconds without the need for a password.

Adam Boileau first demonstrated the hack, which affects Windows XP computers but has not yet been tested with Windows Vista, at a security conference in Sydney in 2006, but Microsoft has yet to develop a fix.

Interviewed in ITRadio’s Risky Business podcast, Boileau said the tool, released to the public yesterday, could “unlock locked Windows machines or login without a password … merely by plugging in your Firewire cable and running a command”.

Boileau, a consultant with Immunity Inc., said he did not release the tool publicly in 2006 because “Microsoft was a little cagey about exactly whether Firewire memory access was a real security issue or not and we didn’t want to cause any real trouble”.

But now that a couple of years have passed and the issue has not resolved, Boileau decided to release the tool on his website.

To use the tool, hackers must connect a Linux-based computer to a Firewire port on the target machine. The machine is then tricked into allowing the attacking computer to have read and write access to its memory.

With full access to the memory, the tool can then modify Windows’ password protection code, which is stored there, and render it ineffective.

Older desktop computers do not come equipped with Firewire ports, which are needed for the hack to work, but many recent models do. Most laptops made in the last few years include Firewire ports.

Paul Ducklin, head of technology for security firm Sophos, said the security hole found by Boileau was not a vulnerability or bug in the traditional sense, because the ability to use the Firewire port to access a computer’s memory was actually a feature of Firewire.

“If you have a Firewire port, disable it when you aren’t using it,” Ducklin said.

“That way, if someone does plug into your port unexpectedly, your side of the Firewire link is dead, so they can’t interact with your PC, legitimately or otherwise.”

Ducklin also advised people to be careful when giving others physical access to their computer.

“I know people who’d think three times about asking passing strangers to take their photo in front of the Opera House in case they did a runner with the camera, yet who are much more casual with their laptop PC, as long as it’s software-locked, even though the hardware alone is worth five times as much as the camera,” he said.

Microsoft was unavailable for comment at the time of publication.

Fonte: http://www.stuff.co.nz/4425376a28.html

Sem comentários »