Cyber Crimes – Delegado Mariano

Posts Tagged ‘proteção internet’

Uma investigação feita pela BBC detalhou possíveis deficiências na segurança extra proporcionada por dispositivos bancários de autenticação (tokens), tais como “PINSentry” do Barclays e “SecureKey” do HSBC, ambas com atuação no Reino Unido.
Usar esses dispositivos de autenticação de dois fatores significa que, caso os consumidores entreguem aos hackers suas senhas de login do banco, ainda assim os criminosos não conseguirão invadir suas contas bancárias online.
Mas, apesar de ataques simples de phishing falharem, pode ainda ser possível aos hackers monitorarem e alterarem a comunicação do usuário com o site do banco utilizando malware.
Hackers poderiam criar um site bancário falso e quando os usuários estiverem no “prompt” tentando fazer “logon” em sua conta, eles conseguiriam obter suas credenciais de “login” online e, por exemplo, seu código “PINSentry”, um número pseudoaleatório que muda mais ou menos a cada.
Esta informação permitiria a cibercriminosos realizar “login” no site bancário real, se fazendo passar pelo cliente, podendo autorizar transferências fraudulentas ou outros pagamentos.
Esta variante do clássico ataque “man in the middle” é conhecida nos círculos de segurança como um ataque “man in the browser”.
“Man in the browser” é um ataque de segurança, onde o autor instala um Cavalo de Tróia no computador de uma vítima passando a ser capaz de modificar transações realizadas na “Web” na medida em que são realizadas.
O ataque “man in the browser” é muito mais difícil de ser prevenido e de ser neutralizado, porque em vez de ocorrer numa troca pública de informações, a troca de dados é realizada entre o usuário e os mecanismos de segurança no navegador daquele.
Incidentes isolados deste tipo de fraude surgiram nos últimos anos, o que faz com que este tipo de ataque não seja novo.
Os “phishers” têm aplicado golpes em dispositivos de autenticação de dois fatores, desde 2006, se não muito antes, muito embora clientes de bancos como Citibank e instituições financeiras nórdicas têm sofrido inúmeros ataques ao longo dos anos.
Fato é que este tipo de golpe é perfeitamente assimilado por profissionais de segurança, mas o problema maior está relacionado a ausência de conhecimento deste tipo de fraude por consumidores, justamente o que incentivou a realização da investigação por parte da BBC.
A investigação realizada pela emissora britânica, não destacou novos casos de fraude e nem individualizou vítimas, deixando absolutamente claro que este tipo de golpe não está relacionado a nenhuma tecnologia fornecida por qualquer banco em particular.
Este cenário ilustra muito bem a importância de ser mantida a segurança do computador em dia, bem como utilizar qualquer tipo de segurança adicional que as instituições financeiras possam oferecer.
No que tange a ressarcimento de prejuízos, é importante notar que as disputas sobre saques indevidos estão longe de serem pacíficas e unânimes.
Consumidores provavelmente serão reembolsados por transferências fraudulentas autorizadas usando dispositivos de autenticação de dois fatores, muito embora seja uma tarefa extremamente árdua convencer a instituição financeira sobre a ausência de responsabilidade por parte do cliente.
Muito embora o uso de dispositivos de autenticação bancária não seja uma maneira infalível de se manter em segurança enquanto se está online no internet banking, eles ainda sim devem ser utilizados, uma vez que o malware comum, frequentemente encontrado nos computadores domésticos, não está equipado para lidar com a autenticação adicional necessária para a utilização desses dispositivos.
Também é fato que atacantes avançados têm encontrado maneiras de contornar as medidas de segurança adicionais, infectando o navegador do usuário e monitorando e alterando a comunicação do usuário com o site bancário.
No entanto, o malware precisa trabalhar de forma muito mais difícil, porque o usuário precisa para ser levado a revelar códigos adicionais de “token”, levando-o a agir rapidamente, antes que expirem, geralmente após 60 segundos.
É importante destacar-se que manter o navegador atualizado pode repelir inicialmente infecções, pois os atacantes costumam usar vulnerabilidades conhecidas do browser como método de entrada para o computador, segundo alertaram especialistas.
Os bancos que implantaram a autenticação de dois fatores alegam que foram beneficiados por uma queda substancial nos níveis de fraude, muito embora não estejam disponíveis números concretos sobre este tipo de alegação.
Especialistas em segurança afirmam que os bancos devem contar com várias medidas de segurança para reduzir a possibilidade de fraude, utilizando uma combinação de técnicas, as quais uma complemente a outra.
Qualquer abordagem para combater ataques contra internet banking deve incluir a atualização e implantação de rigorosos projetos de controle de processos antifraude, monitoramento de qualquer transação de clientes e acompanhamento de padrões de navegação que possam indicar um ataque.

O “olho por olho, dente por dente” entre hackers pró-Palestinos e hackers pró-Israel intensificou-se neste final de semana depois que um hacker, que se denominou “Hannibal” alegou ter vazado os detalhes de “login” do Facebook de “100 mil árabes”.
Militante pró-Israel, “Hannibal” advertiu, em 13 de janeiro, que teria tido acesso a “cerca de 30 milhões de contas de e-mail de usuários árabes”, acrescentando que ele iria vazar as credenciais de “login” ao longo dos próximos 55 anos, em retaliação a um ataque por parte de hackers árabes contra websites de Israel.
Ele, então, teria liberado, via “Pastebin”, o que afirmava ser detalhes de login de cerca de 85 mil contas do Facebook, embora o número real parecesse muito menor.
Mas em sua última comunicação, divulgada no sábado, ele anunciou um vazamento ainda maior de dados.
“Hannibal” afirmou ter publicado até agora centenas de milhares de e-mails e contas do Facebook de cidadãos árabes, alegando ter divulgado por volta de “100k” [sic] de contas dos árabes, segundo ele, arrematando que postar esta lista de contas permitira mostrar a sua enorme força.
Segundo “Hannibal”, os árabes deveriam aprender uma lição e saber que não deveriam mexer com ele.
Os links para os arquivos de texto, que conteriam as informações alardeadas por “Hannibal”, estariam espalhados por 14 locais distintos de compartilhamento de arquivos.
O hacker, que modestamente reconhece que as pessoas da nação judaica não o nomearam “general de hackers de Israel”, em seguida, pede de forma inesperada a suspensão da “guerra cibernética”, que tem queimado virtualmente o Oriente Médio nas últimas semanas.
“Hackers de Israel, parem! A Guerra cibernética ficará parada até segunda ordem, vou postar novamente se eles atacarem o Estado de Israel” teria escrito “Hannibal”, que ainda acrescentou que “Se eles aparecerem de novo, volto para salvar Israel. Confiem em mim. Eu sempre estarei por perto.”
Neste particular, as atividades de “Hannibal” teriam começado no início de janeiro, quando um hacker denominado “OxOmar”, que afirmava pertencer à um grupo de hackers árabes denominados “Group-XP”, alegou ter vazado os dados bancários de 400 mil israelenses.
Bancos de Israel argumentaram, no entanto, que a maioria dos dados estariam desatualizados ou duplicados e que apenas 14 mil registos de cartões teriam sido expostos.
Logo em seguida, o Vice-chanceler israelense, Danny Ayalon, teria atraído a ira do grupo de hackers “Anonymous” e de outros grupos semelhantes, ao comparar o ato de “hackear” ao terrorismo, avisando que não haveriam ações retaliatórias por parte de Israel.

Fonte: Phil Muncaster do The Register

Num movimento que acontece em meio a grandes preocupações sobre a ameaça cada vez maior às redes civis e militares de Israel por parte do Irã, as Forças de Defesa de Israel (I.D.F.) estão reunindo equipes de hackers de elite para atuar em favor do país numa eventual cyber guerra.
De acordo com o jornal “Jerusalem Post”, no mês passado o exército recrutou cerca de 300 jovens prodígios em computação para servir como soldados em sua Inteligência Militar e na Agência denominada “Direção C4I”, ambas envolvidas com cyber guerra.
A Agência “C4I”, que teria como significado “Comando, Controle, Comunicações, Computadores e Inteligência Militares”, é dirigida por um coronel e ex-comandante da “Matzov” (Centro para a Segurança e Criptografia de Informações), unidade esta responsável pela elaboração dos códigos utilizados na criptografia das informações de outras unidades como “I.D.F.” (Forças de Defesa de Israel), “Shin Bet” (Agência de Segurança Israelense) e as redes do “Mossad”, além de grandes hidroelétricas e “mainframes” responsáveis pela infraestrutura de telefonia e distribuição de água no país.
Segundo informações do jornal “Jerusalem Post” publicadas no mês passado, o governo do Irã teria um ambicioso plano de investimento da ordem de US$ 1 bilhão, a fim de desenvolver tecnologia e contratar especialistas em informática com o objetivo de impulsionar aquele país em medidas ofensivas e defensivas numa cyber guerra.
Israel também estaria preocupado com ataques cibernéticos terroristas, após a liberação de milhares de números de cartão de crédito de israelenses por um hacker árabe na semana passada.
Segundo afirmou o oficial sênior de Israel, o país não esta onde gostaria quando se trata do mundo cibernético, mas esta trabalhando para melhorar suas capacidades.
Uma das principais preocupações da IDF é a possibilidade de que um inimigo se infiltre e derrube redes militares durante uma guerra.
O jornal “Jerusalem Post” trouxe relatos de que o “I.D.F.” tem investido pesadamente na digitalização de suas forças de terra, permitindo-lhes compartilhar informações táticas sobre a localização das unidades amigáveis e hostis.
Segundo afirmou um oficial sênior da direção da Agência “C4I”, cyber defesa significa reter a capacidade de continuar operando e ser capaz de confiar na segurança e disponibilidade de suas redes.
E a ameaça é real, já que um grupo apelidado de “Team Hacker Gaza” teria lançado um ataque cibernético contra o website dos Bombeiros de Israel, no mais recente de uma série de ataques de cyber-terrorismo contra aquele país.
Ainda de acordo com o “Jerusalem Post”, o mesmo grupo teria invadido o website do vice-chanceler Danny Ayalon na semana passada, tendo publicado traços e pegadas sobrepostas em seu rosto em imagens de Ayalon que teriam sido utilizadas no ataque realizado contra o website dos bombeiros, além de ameaçar atacar outros websites de Israel e ter escrito “morte a Israel” em hebraico.

Fonte:  Tiffany Gabbay, para o The Blaze

Uma nova cepa do Trojan “Sykipot” tem sido utilizada para comprometer o acesso do Departamento de Defesa norte americano a redes de muitas agências de governo dos Estados Unidos, acesso este que é reforçado com o uso de “smart cards”, conforme informaram pesquisadores de segurança.
Os “smart cards” ou “cartões inteligentes” são uma forma padrão de concessão de acesso a funcionários militares da ativa, pessoas da reserva selecionadas, funcionários civis e técnicos com acesso elegível para as intranets do Exército e Marinha dos Estados Unidos além de instalações da Força Aérea.
Eles podem ser usados para entrar em edifícios ou, quando usado em conjunto com uma senha estática, para acessar redes.
Hackers chineses adaptaram o Trojan Sykipot para descobrir as credenciais do cartão em um sistema comprometido e poder acessar redes militares reservadas, de acordo com pesquisadores da empresa de ferramentas de segurança “AlienVault”.
Uma versão adaptada do Trojan transformou em alvos computadores ligados a leitores de “smart cards” que estejam executando o aplicativo cliente “ActivClient”, da “ActivIdentity”, o que tem sido descrito como um ataque “proxy” ao “smart card”.
O cavalo de Tróia Sykipot foi criado há três anos e seus ataques foram descritos como responsável por uma série de casos de espionagem industrial.
Pesquisadores da “AlienVault” teriam capturado em um “honeypot”, há cerca de duas semanas atrás, uma versão adaptada do malware especificamente concebida para contornar a tecnologia de autenticação fornecida pela “ActivIdentity”.
Uma análise posterior teria sugerido que hackers adicionaram um módulo de “smart card” no malware anteriormente existente por volta de março de 2011.
A “AlienVault” avalia que a nova cepa do “Sykipot” foi desenvolvida pelos mesmos autores chineses que criaram versões anteriores do malware, o qual teria sido visto pela primeira vez há cerca de três anos atrás.
Versões anteriores do Trojan teriam sido inseridas em mensagens de spam que tinham como alvo a próxima geração de “drones” da Força Aérea dos Estados Unidos.
Na realidade, estas mensagens buscavam direcionar usuários para download em um drive num site na internet infectado com o Trojan Sykipot, aproveitando-se de diferentes falhas de segurança no Internet Explore e no Adobe Reader.
O malware teria como propósito realizar ataques direcionados contra empresas de tecnologia aeroespacial, dentre outros alvos, tendo sido projetado para extrair informações comercialmente sensíveis de um sistema comprometido.
A mais recente série de ataques também seria realizada por intermédio do envio de e-mails de “pishing” que tentam enganar usuários levando-os a clicar em um link que efetua o “download” do malware Sykipot em suas máquinas.
Desta vez o malware utiliza um “keylogger” para roubar PINs associados com cartões inteligentes. Uma vez que os atacantes têm os códigos de autenticação e os PINs associados ganham o mesmo nível de acesso confiável a redes sensíveis do usuário cujas credenciais tenham furtado.
Os cyber-criminosos por trás dos ataques estão usando uma versão do Sykipot desenvolvida por volta de março de 2011, chamando a atenção por realizarem dezenas de ataques de uma só vez, de acordo com a “AlienVault”.
Jaime Blasco, gerente de laboratório da “AlienVault”, disse que as mensagens de chineses no código incorporado, o uso de servidores de comando e controle na China, bem como o uso de software exclusivo da China fornecem evidências de que hackers chineses estão, em última análise, por trás do ataque, acrescentando que o uso de “tokens” dinâmicos que oferecem dois fatores de autenticação poderia impedir esta linha de ataque.
A empresa “AlienVault” fornece tecnologia de segurança e registo de eventos e não compete com a “ActivIdentity”.
O gerente Jaime Blasco disse que não tinha fornecido para a “ActivIdentity” e nem para o Departamento de Defesa dos Estados Unidos amostras do malware ou os notificado sobre sua pesquisa, que foi divulgada através de um artigo publicado no New York Times na quinta-feira.
Cartões inteligentes da “ActivIdentity” são tema padrão no Departamento de Defesa dos Estados Unidos e numa série de outras agências do governo norte americano, sendo que dentre outros usuários dos mesmos podem ser citados a “Monsanto”, o “BNP Paribas” e a “Air France”, conforme teria informado o jornal New York Times.
Em resposta à pesquisa da “AlienVault”, a empresa “ActivIdentity” informou em um comunicado estar ciente dos relatórios recentes que supostamente teria identificado um método novo de ataque que poderia furtar informações, o qual seria baseado em “smart cards” certificados, acrescentando levar muito a sério esses relatos e estar trabalhando diligentemente para investigar esta ameaça em potencial, mas afirmou estar confiante de que a ameaça supostamente não representa risco imediato a seus clientes.

Fonte: John Leyden – The Register

Mensagens, atualizações de status, comentários, mensagens instantâneas, uploads de vídeos, tweets e textos têm se tornado uma parte regular da vida das pessoas.
No mundo 24/7 de hoje, estamos “logados” de todos os lugares, incluindo smartphones, dispositivos de jogos, tablets e laptops, e muitos pais simplesmente não sabem o que seus filhos estão fazendo, e muito menos quais os meios de comunicação social que eles estão usando.
Os mais afetados pelo uso inadequado da internet acabam sendo nossas crianças, as quais, na maioria das vezes, demonstram serem um alvo fácil para criminosos ou mesmo do uso criminoso de redes sociais e outros serviços.
A realidade é que a maioria das crianças começam a desenvolver relacionamentos “on-line” por volta dos oito anos de idade, geralmente através de sites que oferecem jogos e diversão.
Com 10 anos de idade, eles já evoluíram para jogos “multiplayer” e compartilham suas criações digitais e vídeos caseiros em sites como o “YouTube”.
Aos 13 anos, milhões de crianças já criaram contas em sites de redes sociais como o “Facebook”.
Mas existem muitos pontos positivos no que diz respeito à mídia social.
É uma forma divertida para as crianças interagirem com os amigos e também pode ser uma ótima maneira de aprender coisas novas, colaborar com os outros, expressar a criatividade, e desenvolver a sua própria personalidade.
O problema surge quando as crianças compartilham seus pensamentos privados, fotos, vídeos e informações pessoais.
Estes posts podem acabam por revelar muito informação privada de forma pública.
Um post de uma foto provocativa ou uma foto com uma garrafa de cerveja na mão poderia acabar prejudicando a reputação de uma criança.
Ainda mais preocupantes, são as questões de privacidade e segurança que vêm com redes sociais.
Comerciantes coletam dados com base na atividade “on-line” de seus filhos e, em seguida, direcionam anúncios a elas.
E agora com a habilidade de facilmente publicar a sua localização, a segurança física se torna uma preocupação que não pode ser desprezada de forma alguma.
Poucas pessoas poderiam ter uma ideia precisa sobre o efeito que uma rede social pode ter sobre o desenvolvimento infantil, mas fato é que os jovens precisam de alguma orientação sobre o uso das mesmas.
E como você pode ajudar seus filhos a tomarem boas decisões quando utilizam as redes sociais? Tenha em mente que:

• Sites de redes sociais como Facebook oferecem controles de privacidade para limitar quem vê as suas informações.
• Alguns sites exigem que somente crianças com idades superiores há 15 anos podem ter um perfil, o que não impede que crianças mais jovens possam criar e configurar contas mentindo sobre a idade que tenham.
• Devemos ter em mente que as redes sociais mantem as crianças e adolescentes ligadas aos amigos e proporcionam um ótimo espaço para que elas possam exprimir-se.
• Devemos ter em mente que mesmo com todos os controles que são oferecidos, não há garantia de privacidade.
• Ao permitir que seus filhos utilizem redes sociais, tenha em mente que as imagens inadequadas, posts e mensagens podem resultar em danos à reputação de uma criança, o que implica em vigilância constante.
• Esteja atento a forma como seu filho trata seus amigos porque ele pode postar informações que os identifique violando assim a privacidade dos mesmos.
Abaixo apresentamos algumas dicas que podem auxiliar os pais na utilização da internet por seus filhos de forma mais segura:

a)Dicas de comportamento dos pais com filhos mais jovens:

1º)Utilize adequadamente recursos de segurança para permitir ou não o acesso a determinados site por parte de seus filhos: Para crianças dos 5 aos 8 anos, existem sites com recursos de segurança, que ajudam as crianças a jogarem sem correr o risco de acessar conteúdos inadequados.
2 º)O Facebook não permite que crianças tenham perfis, se eles são menores de 18 anos. Como afirmamos anteriormente, a maioria das crianças e adolescentes, às vezes com o auxílio de seus próprios pais, mentem no cadastramento de suas datas de nascimento para conseguirem acesso. Mas Se você não deseja que seu filho tenha uma conta em redes sociais por não ter idade para isto, é necessário verificar o histórico do seu filho no navegador do computador, caso em que, se verificar que o Facebook está naquela lista, deve ter em mente que provavelmente seu filho tem uma conta naquela rede social.
3 º) Ensine seus filhos a pensarem antes de postar. Lembre a eles que tudo pode ser visto por um público vasto e invisível (também conhecido como amigos de amigos de amigos). Cada família é diferente, mas para as crianças do ensino médio, é uma boa ideia que os pais acessem as páginas de seus filhos, pelo menos no início, para ter certeza de que o que está sendo postado é apropriado. Os pais podem ajudar a manter seus filhos longe de algo que pode fazer com que a sua família, e não somente eles, se arrependam mais tarde.
4 º) Auxilie seus filhos a definirem suas configurações de privacidade. Configurações de privacidade não são infalíveis, mas são importantes. Aproveite o tempo para aprender como funcionam as configurações de privacidade nos sites favoritos de seus filhos, e ensine-os como controlar sua privacidade.
5 º) Ensine para seus filhos que se eles não tiverem coragem de dizer alguma coisa pessoalmente para alguém, também não o devem fazer postando na internet..
6 º) Você somente pode observar melhor seus filhos na internet se tiver uma conta nos serviços sociais que eles utilizam, sendo na maioria das vezes oportuno criar uma para você, a fim de ensiná-los como utilizar as redes sociais e até mesmo para tirar as suas dúvidas.

Dicas de comportamento dos pais com filhos já no ensino médio:

1 º) Converse com seu filho sobre a natureza do mundo digital. Lembre a eles que qualquer um pode ver o que está em suas páginas – mesmo se eles acham que ninguém vai. Potenciais empregadores e conhecidos, muitas vezes navegam em redes sociais. Ensine seus filhos adolescentes a pensar sobre quem pode ver suas páginas e como eles podem interpretar as mensagens ou fotos.
2 º) Estabeleça para seus filhos algumas regras sobre o que é e o que não é apropriado quando se comunicarem ou brincarem na internet. Lembre-se que mensagens com fotos ou comentários sobre o mau comportamento juvenil podem voltar para assombrá-los.
3 º) Deixe-os saber que qualquer coisa que eles criam ou usarem para se comunicar pode ser cortado, alterado, colado e enviado para outras pessoas. Uma vez que ele colocar algo nas suas páginas, ele estará fora de seu controle e pode ser tomado fora do contexto e usado para prejudicar a ele ou outra pessoa. Isso inclui conversas e fotos sobre sexo, drogas e álcool. Diga-lhe que o material “on-line” pode durar para sempre. Ensine que o que eles não iriam colocar na parede do corredor da escola, também não deve ser publicado “on-line”.
4 º) Advirta severamente seus filhos a não postarem a sua localização. As redes sociais permitem que crianças e adolescentes possam postar a sua localização, motivo pelo qual eles devem ser instados a não faze-lo.
5 º) Ensine seus filhos a utilizarem a internet de forma responsável. Estabeleça horários e ensine-os a dosarem seus horários com outros tipos de atividades.

Advogados norte americanos lutam para impedir que um homem de Rochester Hills venha a ser julgado criminalmente por supostamente invadir a conta de correio eletrônico de sua mulher, muito embora, uma mudança na lei estadual possa ser sua última esperança.
Leon Walker, de 34 anos, foi acusado em março, de acessar sem permissão a conta do Gmail de sua mulher.
Ele afirmou que descobriu a senha de sua esposa escrita num papel, Clara Walker, o que lhe levou a descobrir, através das mensagens acessadas, que ela estava tendo um caso extraconjugal.
O casal esta atualmente divorciado.
Um painel de três juízes do Tribunal de Apelações de Michigan, que posteriormente emitirá seu parecer, ouviu na terça feira os argumentos sobre o prosseguimento do caso ou não perante os tribunais do condado de Oakland.
O presidente do painel de juízes, Peter O’Connell, disse que a intenção dos juízes seria interpretar adequadamente as palavras da lei, não o que o legislador quis dizer, quando o estatuto “anti-hacking” americano foi promulgado no alvorecer da Internet há 22 anos atrás.
Os advogados de Walker argumentam que a lei seria voltada para aqueles que agem com a intenção de furtar, danificar ou fraudar, não para um marido que lê o diário de sua mulher ou outros documentos pessoais encontráveis em uma casa compartilhada.
O advogado de apelação de Walker, Matthew Klakulak, disse que a interpretação da lei por parte da Procuradora Estadual do condado de Oakland, Jessica Cooper, foi “ridícula”, isto porque poderia resultar em acusações contra pais que verifiquem o que seus filhos estão fazendo na Internet.
O procurador assistente do condado de Oakland, Jeffrey Kaelin, disse aos juízes estar convencido que a lei também deveria ser aplicada a pessoas que estão furtando o acesso dos vizinhos à Internet numa conexão “Wifi” após adivinharem a senha.
O advogado de Walker, Leon Weiss, disse que às vezes temos que pisar fora da construção rigorosa dos estatutos e aplicar o senso comum, alegando que o Legislativo americano jamais imaginou que delitos menores pudessem ser julgados com base num estatuto criminal, afirmando ainda que, se isto acontecesse, os promotores teriam que ser capazes de ir atrás de um monte de maridos e esposas.
Uma mudança na lei foi proposta em abril pelo Deputado por Rochester Hills, Tom McMillan, e está sendo estudada por uma comissão.
Está sendo proposta a exclusão de ilicitude de cônjuges e pais de filhos menores, no caso de eles compartilharem uma mesma casa, o próprio computador, não danificar ou apagar quaisquer documentos e não usar de força ou coerção para obter acesso a arquivos protegidos por senha e programas.
A proposta de McMillan também contém uma cláusula que tornaria a mudança retroativa para incluir casos anteriores, como o de Walker, que ainda pode resultar em condenação.

Fonte: The Detroit News

Uma falha de segurança no Facebook expos imagens particulares de inúmeros usuários, inclusive do fundador da Rede Social e CEO, Mark Zuckerberg.
As fotos do CEO que foram furtadas acabaram expostas no fórum “bodybuilding.com” na segunda-feira, incluindo instruções passo a passo para visualizar imagens privadas de usuários do Facebook que as tenham postado.
O responsável manipulou uma rotina que permite que as pessoas relatem fotos inadequadas de perfis para funcionários do Facebook.
Por esta rotina as pessoas poderiam reportar imagens inadequadas, mesmo quando as mesmas não estivessem acessíveis a todos, mas somente para um conjunto seleto de amigos.
Nem todos os participantes do fórum tiveram sucesso, muito embora aqueles localizados nos Estados Unidos conseguiram melhores resultados do que outros.
Algumas horas após a vulnerabilidade ter sido relatada, 13 imagens supostamente obtidas a partir da conta de Zuckerberg foram postadas abaixo de uma manchete que dizia: “É hora de corrigir as falhas de segurança do Facebook”.
As imagens divulgadas mostram Zuckerberg comendo e bebendo com os amigos, conversando com o presidente Barack Obama, e segurando o que parece ser um frango recém-abatido, em função de uma predileção recente por comer carne que ele mesmo tenha abatido.
Representantes do Facebook não responderam a questionamentos feitos pela imprensa buscando detalhes sobre a vulnerabilidade de segurança que foi relatada, nem mesmo comentaram sobre as fotos de seu CEO que foram divulgadas.
Não é a primeira vez que alguém descobriu como contornar permissões no Facebook, as quais foram projetadas para dar aos usuários um controle rígido sobre quem consegue ver as imagens e anúncios colocados nas suas páginas.
Em 2008, um técnico de informática canadense foi capaz de ver fotos particulares de Paris Hilton, Zuckerberg e outros, adivinhando a ID da foto.
Já no ano passado, a rede social foi pega expondo o nome e a foto de todos os seus 500 milhões de usuários quando seus endereços de e-mail eram digitados na página de “log-in”.
A descoberta de mais um buraco na segurança do Facebook é apenas o mais recente lembrete de que a única forma a fim de que algo não seja publicado para o mundo é mantê-lo fora da internet.
Sistemas de permissão como os utilizados no Facebook e outros sites podem fazer os usuários se sentirem melhor, mas têm pouco efeito sobre hackers com determinação suficiente ou tempo em suas mãos.

Mark Zuckerberg

Fonte: Dan Goodin – The Register

Num momento que tem sido encarado pela maioria das empresas como o de adiar a sua implantação, é necessário que se tenha ciência de vulnerabilidades escondidas no protocolo “IPv6”.
A maior e mais iminente ameaça à segurança está no fato de que as redes das empresas já tem toneladas de dispositivos habilitados para “IPv6”, incluindo dispositivos com o Windows Vista ou Windows 7, Mac OS / X e dispositivos Linux e BSD.
Importante se destacar o fato de que, ao contrário de seu antecessor, o “DHCP” do “IPv4”, o “DHCP” do “IPv6” não necessita de configuração manual.
Esta característica de auto-configuração significa que com o “IPv6” habilitado dispositivos estarão apenas esperando por um anúncio único de um roteador para se identificar na rede.
Também é importante se destacar que numa rede apenas com “IPv4” roteadores e switches não reconhecem ou respondem a anúncios de dispositivo “IPv6”, mas um roteador “IPv6” não autorizado pode enviar e interpretar este tráfego.
Pela característica da auto-configuração, o “IPv6” permite que qualquer dispositivo esteja habilitado para se comunicar com outros dispositivos de rede “IPv6” e serviços na mesma LAN.
Para fazer isso, o dispositivo anuncia sua presença e é localizado através do “IPv6 Neighbor Discovery Protocol” (NDP).
O problema é que não gerenciar adequadamente o protocolo NDP pode trazer uma série de problemas, especialmente o de por e expor dispositivos para que atacantes possam colher informações sobre o que está acontecendo dentro da rede, ou até mesmo permitindo que o próprio dispositivo possa ser capturado e transformado em um “zumbi”.
Pesquisadores do mundo todo tem observado que os “bots” estão intensificando o uso do “IPv6” como um canal secreto para se comunicar com seus “botmaster”.
Entre os seus muitos disfarces, malwares habilitados para o “IPv6” podem assumir a forma de uma carga maliciosa encapsulada em uma ou mais mensagens “IPv4”.
Sem medidas de segurança específicas para “IPv6”, tais como inspeção profunda de pacotes, este tipo de carga pode passar pelo perímetro “IPv4” e defesas “DMZ” sem ser detectada.
Uma solução para problemas “IPv6” na camada 2 pode ser o uso do “SEND” (Secure Neighbor Discovery) o que permitiria lidar com ameaças como “RA e NDP spoofing”, equivalentes a ameaças no protocolo “IPv4” do tipo “DHCP spoofing” e “ARP spoofing”.
Alguns fornecedores de sistemas operacionais tem dado seu apoio ao uso do “SEND”, enquanto outros, principalmente a Microsoft e a Apple, não.
Entidades como a empresa “Cisco” e o “IETF” (sigla em inglês de Internet Engineering Task Force) estão em processo de implementação de mecanismos de segurança para “IPv6” que atualmente são utilizados para proteger “IPv4” contra essas ameaças.
O “IETF” está trabalhando num grupo de trabalho denominado SAVI (Source Address Validation), enquanto a “Cisco” está implantando um plano de três fases iniciado em 2010 para atualizar seus sistemas operacionais e que será totalmente adotado em algum momento em 2012, dependendo do tipo de “switch” que deverá ser atualizado.
Também tem sido destacado por pesquisadores que alguns dos riscos de segurança do “IPv6” podem ser acidentalmente criados por dispositivos de rede de usuários final, sendo que uma configuração adequada e medidas de segurança “IPv6” eliminariam muitos desses riscos.
A resposta a este tipo de problema é implantar segurança “IPv6” nativa para proteger o tráfego “IPv6” no mesmo nível e contra os mesmos tipos de ameaças que já são defendidos no “IPv4″.
Também existe uma falsa percepção de que o “IPv6” é nativamente mais seguro do que o “IPv4”, haja vista que o suporte “IPSec” é obrigatório no IPv6.
Além dos desafios práticos associados à implantação em larga escala de “IPSec”, o conteúdo do tráfego “IPSec” encapsulado se torna invisível para dispositivos (roteadores / switches / firewalls), interferindo com suas funções de segurança.
Por esta razão, um grupo de trabalho do “IETF” está considerando uma mudança que faria o suporte “IPSec” apenas “recomendado” e não “necessário” em implementações “IPv6”.
Já a possibilidade de desabilitar o “IPv6” é uma má ideia por duas razões: primeiro porque a Microsoft afirma não ser possível dar suporte a desativação do “IPv6” em seus sistemas operacionais, como ocorre por exemplo no Windows 2008, e segundo porque se trata de uma estratégia no mínimo tola, uma vez que, com ou sem o “IPv6”, dispositivos habilitados vão continuar a aparecer na rede.
Mas ameaças à segurança a parte, existe uma situação de negócios em que a implantação do “IPv6” está cada vez mais difícil de ser ignorada: Bancos e Corretoras que atuam “on-line” já enfrentam o desafio de perder a comunicação com clientes internacionais cujas redes já não suportam o “IPv4”.
Empresas como a “Telefônica” e a “T-Mobile” estão abraçando o “IPv6” intensamente, especialmente em suas bases europeias.
Além disso, o governo dos Estados Unidos tem migrado suas redes para o “IPv6”, e solicitado que provedores e fornecedores ofereçam mais produtos e serviços “IPv6”.
Empresas que se coloquem numa posição de não pode interagir com seus clientes estão fadadas a fracassarem em suas estratégias, muito embora neste momento possa ser observada uma migração gradual para o “IPv6”.
Atualizar por atacado redes na internet para o “IPv6”, não é algo prático e nem eficaz de ser feito, pois as empresas necessitam de uma abordagem muito mais equilibrada.
Provedores de serviço, que consomem endereços mais rápido do que qualquer outro, são os primeiros na fila para upgrades “IPv6”, seguido por provedores de conteúdo e finalmente, os usuários finais, em cuja residência roteadores são ainda 99% baseados no “IPv4”.
Quando for necessário atualizar para “IPv6”, deve ser levado em conta o balanceamento da carga da rede e a transição dos serviços existentes, além de se preservar a conectividade “IPv4” na rede interna.
Ao se construir o próximo conjunto de serviços, a demanda deverá ser “dual-stack”, com plena capacidade para lidar com arquiteturas “IPv4” mais antigas, o que irá permitir a construção de negócios com melhor retorno sobre o investimento.
Além do mais, importante se levar em consideração que qualquer transição deve ser projetada para ser transparente para o usuário final.
A empresa “Juniper Networks” informou que até agora a maioria dos seus clientes solicitando serviços “IPv6” são do setor de educação e governo, especificamente laboratórios de pesquisa universitários e unidades governamentais, uma vez que os mesmos devem atender a demanda por formação de mão de obra para lidar com o “IPv6”.
Enquanto não há uma maneira de se prever com certeza exatamente quanto tempo vai demorar até que todos os endereços “IPv4” estejam esgotados, estatísticas diárias são frequentemente citadas como uma fonte confiável.
O “Modelo de Huston” (Huston’s Dynamic Equilibrium Model), baseado em fontes públicas de dados obtidos a partir de informações divulgadas pela “I.A.N.A.” e por escritórios regionais de registro de internet, prevê o esgotamento completo de todos os endereços “IPv4” ainda não alocados em 2014.
No entanto, é importante notar que o “Modelo de Huston” não é considerado nos endereços que possam ser alocados por organizações privadas para uso futuro ou venda, podendo ser dado como exemplo a aquisição recente de mais de 600.000 endereços “IPv4” pela Microsoft numa compra de ativos da falência da Nortel.
Embora possa ser seguro assumir que endereços “IPv4” suficientes estarão disponíveis no curto prazo, muitos preveem um aumento de custos com a diminuição da oferta.
Sem terem sido estabelecidas as melhores práticas para o “IPv6”, muitos administradores de redes têm relutado em agir.
Porém, com as crescentes ameaças de segurança e preocupações sobre a perda de comunicação com clientes que já estão migrando seus sistemas para o “IPv6”, esperar que os outros mudem primeiro sem fazer nada não é uma posição neutra como pode parecer.
A fase de planejamento é o melhor momento para estabelecer-se ou reestabelecerem-se laços com fornecedores de rede da sua confiança e que possam oferecer arquitetura de segurança e orientação, junto com soluções escaláveis para uma ampla gama de opções de migração.

Fonte: Network World

European Council

Delegados de todo o mundo estarão reunidos na França nesta semana para discutir o único tratado internacional que lida com crimes cibernéticos, tratado este que sofreu sob o fogo cerrado de alguns países, mas que foi defendido por outros como um instrumento fundamental no combate ao crime eletrônico.
Na próxima quarta-feira ocorrerá o 10º aniversário da Convenção sobre o Cibercrime, também conhecida como Convenção de Budapeste.
O tratado, que foi aberto para assinaturas em Novembro de 2001, estabelece diretrizes para leis e procedimentos que deveriam lidar com a criminalidade na Internet.
O tratado criou uma base para a criação de leis em todo o mundo, exigindo que os países que aderissem ao mesmo tratassem de forma uniforme o cibercrime, além de obrigar a criação de redes de contatos entre forças policiais que estivessem disponíveis 24 horas por dia/sete dias por semana.
A Convenção é supervisionada pelo Conselho da Europa, uma organização fundada em 1949, que também supervisiona a Convenção Europeia dos Direitos Humanos.
Países integrantes do Conselho da Europa podem assinar o tratado e, uma vez que a sua legislação nacional esteja em conformidade com o mesmo, podem ratificá-lo.
Países de fora do conselho são convidados a aderir ao tratado.
Até agora 32 países ou ratificaram ou aderiram e outros 15 países assinaram o tratado mas não o ratificaram, justamente o caso do Brasil.
Outros oito países foram convidados a aderir.
O ritmo nos últimos 10 anos tem sido lento, mas não inédito para um tratado internacional.
Alguns países como a Rússia não assinaram o tratado, sendo que suas autoridades expressaram preocupação sobre suas disposições ao alegar que violaria as normas do direito internacional e a soberania das nações.
Rússia, junto com China, Tadjiquistão e Uzbequistão enviaram uma carta em setembro à ONU pedindo uma resolução sobre um código de conduta no ciberespaço, o que poderia incluir disposições destinadas a interromper o uso da Internet por terroristas.
Muitos países, dentre os quais os Estados Unidos, viram a proposta russa com desconfiança, acreditando que poderia ser motivada por uma intenção de criar um instrumento legal que poderia ser invocado para reprimir injustamente dissidentes que utilizassem a internet.
As intenções expressas na proposta da Rússia, no entanto, não estão necessariamente em desacordo com a Convenção de Budapeste, segundo afirmou Alexander Seger, chefe de proteção de dados e da divisão de cibercrime do Conselho da Europa.
A Convenção de Budapeste concentra-se no crime, não no que chamou de “cyber questões” entre Estados-nações no que diz respeito à segurança nacional, motivo pelo qual talvez seja necessário negociar um código de conduta.
Provavelmente seria quase impossível se negociar um tratado, como a Convenção de Budapeste hoje porque as negociações seriam muito difíceis, alegou Seger, que ainda acrescentou que a convenção é uma das melhores ferramentas disponíveis para enfrentar a ameaça de cibercriminalidade.
O tratado tem sido essencial para que sejam estabelecidas regras básicas uniformes para lidar com crimes cibernéticos, os quais quase sempre envolvem criminosos de outros países, alertou Pedro Verdelho, um promotor que investigou o cibercrime por 11 anos e ensinou criminalidade informática e direito penal no Centro de Estudos Judiciários em Lisboa.
Segundo Verdelho, se você não tem os instrumentos legais, não pode cooperar.
A maioria dos incidentes relacionados à cibercrimes na Austrália são quase todos originários de ataques de fora daquele país, alertou Neil Gaughan, Comissário Assistente e Gerente nacional de operações de crimes de alta tecnologia para a Polícia Federal Australiana (AFP).
A “A.F.P.” troca informações quase que diariamente com forças policiais de fora da Austrália sobre questões ligadas à cibercriminalidade, motivo pelo qual entende que o tratado facilitou esta tarefa.
A Austrália espera aderir ao tratado logo depois que alterar sua legislação para que fique em conformidade com o tratado.
Para que seja possível a abertura de um processo relacionado à cybercrime num país, e necessário que a conduta incriminada naquela também seja crime em qualquer outro país que esteja envolvido nas apurações, justamente um dos objetivos da convenção.
O tratado também determina que tipo de procedimentos de investigações são permitidas, tais como interceptação de dados ou pesquisas em computadores.
A conferência deste ano sobre o tratado, que vai até terça-feira da próxima semana em Estrasburgo, terá a participação de Howard Schmidt, Coordenador de Cibersegurança dos Estados Unidos, James Brokenshire, Ministro de Assuntos Internos, Criminalidade e Segurança do Reino Unido e Robert McLelland, da Procuradoria Geral da Austrália.
Alexander Seger antecipou que o comitê da convenção do cibercrime deverá começar seus trabalhos discutindo sobre recomendações para a criação de regras mais claras sobre como dados podem ser acessados em “Data Centers”, ou seja, “computação em nuvem”.
Alexander Seger alertou que, atualmente, com a “computação em nuvem”, as agências de segurança ainda não sabem onde os dados estão efetivamente localizados, afirmando que as discussões poderiam girar em torno de questões a respeito de como as outras partes devem ser informadas e que tipo de prova eletrônica obtida será admissível nos tribunais.
Ainda segundo Seger, a comissão poderá, eventualmente, emitir recomendações não vinculativas, denominadas “Soft-law Instrument”, além de poder decidir acrescentar disposições sobre o próprio tratado como um protocolo, o que exigiria a ratificação pelas nações.
Por fim, Seger alertou que as conversações deverão demonstrar que os defensores da Convenção de Budapeste “não são estáticos”.

Fonte: Jeremy Kirk, IDG News Service

Conheça os bastidores do Departamento de Investigação Criminal do Cantão Suíço, instituição que criou o Serviço de Informática Judiciária, unidade especializada para atuar com a criminalidade praticada pela internet e os crimes relacionados ao uso da tecnologia.

Fonte: SF/swissinfo.ch