0-Day Cookiejacking

Um pesquisador italiano, chamado Rosario Vallota, descreveu uma nova vulnerabilidade do tipo "0-day" que afeta o browser Internet Explorer, nomeada por ele de "Cookiejacking".

De acordo com o relatório, a vulnerabilidade atinge todas as versões do I.E, inclusive a 9, instalada em qualquer versão de sistema operacional, e para explorar a vulnerabilidade, basta o hacker persuadir o usuário a clicar e arrastar (drag and drop) um objeto através da tela do PC, para que o cookie possa ser capturado.

Um exemplo de engenharia social que pode ser utilizado para que o usuário abra essa brecha: O hacker envia uma foto embaralhada de uma mulher atraente, desafiando o usuário a desembaralhar a foto, clicando em partes da mesma e arrastando para o local correto! Pronto....a curiosidade aliada a vulnerabilidade!

Portanto, se receber um email ou um site, propondo tal desafio, não execute-o.

Austrália sob a mira de ataques hacker

Nesta segunda-feira (30/05), o governo australiano alertou as empresas para que fiquem atentas a ataques hackers vindo de diversas partes do mundo, visando uma das maiores companias mundiais de matéria-prima e também outros setores.

Uma empresa chamada Lockheed Martin, principal fornecedora de T.I para o governo dos EUA, causou preocupação ao alertar sobre um padrão de ataques hacker, vindo de diversas partes do planeta.

O presidente da Woodside Petroleum, maior empresa australiana de recursos naturais, declarou que os ataques de hackers agora vêm de toda parte, e não só da China, que seria um país sedento por energia elétrica. 

"Os ataques vêm de toda parte. Vêm da Europa Oriental; vêm da Rússia. Não adianta criticar os chineses; os ataques vêm de toda parte", disse Voelte a uma reportagem para o jornal Australian.

Mac Defender - A ameaça para Apple

A ameaça conhecida como Mac Defender, que afeta sistemas Mac OS X, acaba de ganhar uma variante mais perigosa!

Conforme relatado pela empresa de segurança Intego, especialista em soluções de segurança para computadores da Apple, a nova ameaça agora não exige senha de administrador para se instalar no sistema.

O funcionamento porém, permanece da mesma forma: convencer o usuário a baixar um falso antivírus e capturar dados confidenciais dos usuários, como senhas e dados de cartões.

Se o sistema estiver configurado para abrir automaticamente os arquivos após download, o programa entra em ação imediatamente e se instala no sistema. Na sequência, conecta-se a um servidor para fazer o download de um outro programa malicioso e elimina as evidências do primeiro programa que foi executado. A partir desse momento, os dados confidenciais já podem ser enviados aos crackers.

A Apple reconheceu publicamente o caso e emitiu um boletim de segurança para auxiliar os usuários que tiverem problemas com a ameaça. Para visualizá-lo, clique aqui.

Hotmail vítima de ataque "0-day"

A própria Microsoft foi vítima de suas vulnerabilidades!! Isso é no mínimo alarmante...

Uma vulnerabilidade de "0-day", encontrada no serviço de webmail da Microsoft, o Hotmail, permite que dados confidenciais sejam enviados a hackers, assim como o foward de mensagens recebidas pelo PC infectado.

Funciona da seguinte maneira: Basta que o usuário receba a mensagem e abra para VISUALIZAÇÃO! Isso mesmo, apenas visualizar! Não é necessário executar nenhum arquivo, nem clicar em algum link. Ao abrir a mensagem, um script é executado automaticamente. Esse script permite o roubo de informações possivelmente confidenciais, assim como o roubo do catálogo de contatos da vítima.

O scritp em questão se conecta ao endereço: http://www.{BLOCKED}eofpublic.com/Microsoft.MSN.hotmail/mail/rdm/rdm.asp?a={user account name}{number} e faz o download de um novo script.

A URL contém duas variáveis, o que deixa uma certa certeza que o ataque é direcionado: a variável {user account name}, que é o Hotmail ID do usuário, e a variável {number}, que é o script malicioso que será executado no momento.

O ataque em questão explora uma vulnerabilidade de script ou o mecanismo de filtro CSS. A vulnerabilidade pode ser pesquisada através do CVE-2011-1252. A Microsoft afirma já estar ciente do caso e que a ação já foi executada para remediar a vulnerabilidade.

Em breve o CVE será publicado!

Nova Ameaça Circulando Alerta para Falha no HD

Uma nova ameaça começa a circula pela rede, surpreendendo os usuários com um alerta do sistema operacional apontando para uma falha eminente no HD (Hard Drive Failure). Veja:

Como muitas outras ferramentas, essa ameaça tem apenas o intuito de enganar o usuário, tentando convencê-lo a comprar uma ferramenta de recuperação de disco. Na verdade, tudo não passa de uma enganação e obviamente não há problema algum com o disco. O preço de ser enganado: R$ 130,00 ($79).

Para realmente dar uma impressão que o sistema esta "danificado", o malware funciona da seguinte maneira: Ele move arquivos da pasta "All Users" e "Windows User Profile" para uma pasta temporária, causando assim a impressão que realmente os arquivos estão sendo perdidos. Também tira a possibilidade do usuário mudar o papel de parede e altera algumas chaves de registro para ocultar alguns ícones da área de trabalho.

Existe algo mais preocupante do que ver os seus arquivos "sumindo"? Ou então notar que você esta perdendo alguns privilégios no sistema operacional? É óbvio que ao perceber que arquivos importantes sumiram ou correm o risco de sumir, o usuário entrará em pânico e se sujeitará a qualquer tipo de ação para remediar a situação.

Calma pessoal, fechem seus bolsos e carteiras: Não é necessário pagar para recuperar arquivos que nem sequer foram excluídos, muito menos que sumiram!!! Instale um bom antivírus (caso ainda não tenha) e atualize-o. Em seguida, uma varredura completa no sistema operacional. Para recuperar os arquivos, acesse %temp%\smtemp e pronto, seus arquivos estarão lá.

Ameaça para Windows 64-bit

Bom dia a Todos!

Gostaria de desejar primeiramente uma ótima semana...

Como era de se esperar, a versão 64-bit do sistema operacional Windows teve sua segurança abalada! Foi divulgado o primeiro malware capaz de infectar tais sistemas operacionais.

O malware em questão, rouba informações bancárias (rootkit banker) e foi encontrado em um aplicativo Java, dentro de um site nacional, não revelado pela seu descobridor, a empresa de segurança Kaspersky.

O vírus infecta sistemas que rodam versões antigas do JRE (Java Runtime Environment) e é capaz também de infectar sistemas operacionais Windows 32-bit.

A infecção é automática e o usuário não se da conta que foi infectado, caso possua um sistema operacional vulnerável. O malware desabilita o UAC (User Access Control) do Windows e adiciona certificados de segurança falsificados. Quando o usuário acessa o site de um banco, o mesmo é direcionado para um "fake" idêntico, até mesmo exibindo o cadeado de segurança no rodapé do site.

O malware também altera as configurações do Windows 64-bit para permitir a instalação de drivers não assinados pela Microsoft.

Detalhe: O malware em questão foi desenvolvido por brasileiros!!!!

Roubo de Dados no Android - Correção

Pessoal, a Google anunciou, no dia 18/05/2011, a correção para o Bug que permitia que hackers roubassem dados de usuários do sistema operacional Android, em redes Wi-Fi abertas.

Segundo um porta-voz da Google, a brecha foi corrigida em todos os aparelhos com sistema operacional Android.

Na verdade a correção já havia sido efetuada na versão mais atual do sistema operacional, a Gingerbread (ou Android 2.3.4), porém, a maioria dos usuários da plataforma Android ainda não possuem essa versão.

No dia 18/05/2011, a empresa começou a distribuir o pacote de atualização para todas as versões do Android; o update é global e não precisa de atualização de software por parte do usuário final.

O Google espera que o processo atualize todos os dispositivos em até 1 semana.

Porém, ainda vale lembrar que a atualização corrige as falhas que atingem o Google Calendar e o Google Contacts, mas ainda deixa vulnerável o Picasa. Os engenheiros ainda estudam uma forma para remediar esse último.

Trojan Infecta Aplicações Para Android

E parece mesmo que a onda de ataques para aplicações designadas para sistema operacional Android esta em alta!

O Google removeu 11 aplicações do Android Market destinadas ao sistema operacional Android, após pesquisadores do AegisLab identificarem que as mesmas possuiam malwares.

Esses malwares estavam programados para enviarem mensagens SMS para números localizados na China, sendo parte de um plano de disseminação de SPAM ou mesmo para gerar receita (custos) nas contas dos usuários.

As aplicações são publicadas pela "zsone". Abaixo esta a lista das mesmas:

- iBook;

- iCartoon;

- LoveBaby;

- 3D Cube Horror Terrible;

- Sea Ball;

- iCalendar;

- iMatch;

- Shake Break;

- ShakeBanger;

- iMine;

- iGuide.

Inicialmente essas foram as aplicações identificadas com o Malware embutido, mas pesquisadores de empresas de segurança afirmam que podem existir mais aplicações além dessas.

Com a grande demanda da utilização de Smartphones, é óbvio que haverá um crescimento significativo na tentativa de ataques ao sistema utilizado pelos mesmos, seja um iOS ou um Android. Agora cabe aos usuários serem mais pró-ativos na questão de segurança do sistema, protegendo-se de maneira adequada.

Segundo um estudo da Juniper Networks, entre Junho de 2010 e Janeiro de 2011, houve um crescimento de 400% de malwares para Android.

Se você possui um Smartphone com Android ou iOS, fique atento!!!!!

Segurança Móvel - SmartPhones

Pesquisadores alemães descobriram que 99% dos usuários do sistema operacional Android (Google) estão com seus dados vulneráveis, ao utilizarem redes Wi-Fi não seguras. Segundo os pesquisadores, ao se utilizarem de uma rede Wi-Fi não segura, crackers podem invadir o sistema e acessar os tokens de autenticação utilizados pelas redes sociais, como Facebook e Twitter.

Enfim, esse é apenas o início de um nicho que tende a ser muito promissor no mercado: "A Segurança dos Dispositivos Móveis".

Hoje em dia muitas pessoas possuem praticamente "a vida" dentro de um smartphone, seja ele equipado com Android (Google) ou iOS (Apple).

Muitos usuários não se preocupam com a segurança lógica de tais equipamentos e não instalam sequer um antivírus para proteção. Apenas certificam-se que o equipamento esteja bem guardando dentro da bolsa ou do bolso e pronto!!

Diversas empresas já iniciaram a corrida por esse mercado, desde grandes fabricantes de antivirus, até mesmo a pequena empresa de segurança. Operadoras de telefonia também buscam sua fatia do mercado.

Por ser uma tecnologia de "nova aceitação" no mercado brasileiro, muitos usuários ainda são leigos no assunto, o que com certeza irá facilitar a ação de crackers dispostos a causar grandes danos, como roubo de informações.

Para manter o seu Smartphone seguro, algumas dicas básicas podem ser seguidas:

• 
  
  Baixe aplicativos apenas de fontes confiáveis, como o Android Market ou Apple Store;
  


• 
  
  Mesmo aplicativos baixados das fontes acima merecem uma investigação/pesquisa. Procure saber a respeito do fabricante da aplicação, efetuando buscas pelo mesmo na internet;
  


• 
  
  Antes de instalar os aplicativos, verifique as permissões que ele irá requerer: Não faz sentido, por exemplo, uma aplicação de imagens ter acesso a lista de contatos;
  


• 
  
  Mantenha SEMPRE o sistema operacional atualizado;
  


• 
  
  Tenha backup das suas informações: aplicativos disponibilizados pelo próprio fabricante se encarregam dessa função;
  


• 
  
  Instale e mantenha atualizado um Anti-Malware: Diversas opções de Anti-Malware (Antivírus) podem ser encontradas no próprio Android Market ou na Apple Store, em versões pagas ou gratuitas;

Esse é apenas o início de uma batalha tecnológica que estamos prestes a enfrentar!!

Hoje, dia 17/05/2011, inciam-se as atividades no Blog InfoSec ECR.
Para conhecimento de todos, ECR refere-se as iniciais do meu nome: Evandro Claudio Rodrigues.

Sou Analista de Segurança, atuando na área desde 2004.

Gostaria de compartilhar nesse blog informações sobre "Segurança da Informação", e também poder discutí-las com os interessados no assunto.

Agradeço a todos pelas visitas e espero que possam obter informações adequadas no blog!

**********************************

Today, 05/17, we have a new Blog: InfoSec ECR.
For your information, ECR are my initials: Evandro Claudio Rodrigues.

I´m Security Analyst since 2004.

I´d like to share news about "Information Security" in this blog, and also discuss about it with everybody.

Thanks for visit InfoSec ECR. Hope you enjoy it!