Tag Archives: vulnerabilidades

Mais usuários do Facebook estão escondendo seus amigos para se protegerem.

Facebook Privacy

Usuários do Facebook não somente estão adotando medidas muito mais dramáticas para se protegerem e não revelarem quem são, como também para protegerem a informação de quem são seus amigos.
O número de usuários do Facebook que torna pública a sua lista de amigos na atualidade é significativamente menor do que em comparação há alguns anos atrás.
Esta tendência é impulsionada pela crescente atenção que o Facebook recebeu desde 2010 com relação as suas políticas de privacidade, além de uma maior conscientização por parte de seus usuários para o fato de que terceiros podem aprender muito sobre alguém através das pessoas a quem ele ou ela estiver ligado por intermédio de uma rede social, tudo conforme apuraram pesquisadores do Instituto Politécnico da Universidade de New York.
Embora o estudo tenha se concentrado unicamente no Facebook, especificamente nos usuários do Facebook de New York, os resultados apontam para a probabilidade de uma tendência crescente entre usuários cada vez mais preocupados sobre como as empresas recolhem e usam seus dados pessoais.
O Google, por exemplo, tem recebido muita atenção ultimamente por suas mudanças nas políticas de privacidade, assim como pela recente revelação de que está forçando o uso de “cookies” nos usuários do Safari.
Para o estudo, uma equipe de investigação analisou páginas de perfis públicos de 1,4 milhões de usuários do Facebook na cidade de Nova York em março de 2010 e junho de 2011, procurando determinar as alterações mais visíveis que os usuários teriam realizado em suas páginas públicas.
A mudança mais significativa apontou que em março de 2010, apenas 82,7 por cento dos usuários tinham suas listas de amigos visíveis ao público, sendo que em junho, o número diminuiu para 47,4 por cento.
O mais impressionante é que os usuários tomaram esta decisão de esconder a sua lista de amigos de forma consciente durante esse período de tempo.
Durante os rastreamentos realizados entre Março de 2010 e junho de 2011, as listas de amigos dos usuários eram, por padrão, públicas para todos os usuários do Facebook.
Os investigadores atribuem esta mudança a uma consciência crescente dos riscos associados com a partilha de informações pessoais “on-line”, bem como por questões de privacidade específicas do Facebook.
Essa consciência crescente resultou, pelo menos em parte, numa maior cobertura por parte da mídia das práticas de privacidade que o Facebook já tinha recebido.
Os pesquisadores descobriram que o número de reportagens, que incluiu os termos “Facebook” e “privacidade” aumentaram 4,5 vezes entre janeiro de 2009 e setembro de 2011.
Os resultados não levam em consideração a atenção recebida pelo Facebook em maio de 2010 com relação a sua decisão de fazer com que os perfis dos usuários fossem públicos por padrão.
O Facebook posteriormente redesenhou sua interface de configurações de privacidade para torná-la mais fácil para que os usuários alterassem suas configurações padrão, podendo inclusive ocultar suas listas de amigos.
O que não é totalmente claro é se os usuários realmente se conscientizaram de quanta informação terceiros poderiam obter para aprender ou inferir com eles, através do uso de suas conexões no Facebook e em outras redes sociais.
Estudos recentes descobriram que a manipulação de informação sobre um usuário poderia incluir o sexo, idade, orientação sexual, religião, orientação política e assim por diante.
Mesmo que um usuário esconda sua lista de amigos, ele ou ela ainda dependerá que seu ou seus amigos façam o mesmo.
Através de rastreamento inteligente, um terceiro pode determinar quem são os prováveis amigos com quem uma pessoa se relacione numa rede social.
Quanto mais os usuários optarem por esconder suas listas de amigos em suas páginas de perfil público, mais eles se tornam cada vez mais difíceis de serem rastreados, tanto para o bem como para o mal, impedindo assim que terceiros possam usar o Facebook visando construir um gráfico social, a fim de inferir informações ocultas sobre usuários, conforme concluiu o estudo em questão.
A conclusão é que os dias de fluxo livre de valiosos dados de usuários, espalhado aos quatro ventos por sites e serviços como Facebook, Google+, Twitter e Foursquare podem secar lentamente, na medida em que seus usuários vigiam cada vez mais a sua privacidade e a de seus pares.
Isso certamente não vai impedir que organizações e indivíduos, bem-intencionados ou não, procurem maneiras de aprender o máximo que puderem sobre futuros clientes ou vítimas.

Fonte: Ted Samson para o “InfoWorld”.

Cybercriminosos já estão se preparando e realizando ataques “DDoS” contra redes IPv6.

Os cybercriminosos começaram a lançar ataques de negação de serviço distribuídos (DDoS) contra as redes que transmitem dados sobre IPv6 (Internet Protocol versão 6), de acordo com um relatório publicado recentemente pela empresa “Arbor Networks”, que realiza a mitigação de ataques
Muito embora o ano de 2011 tenha sido o primeiro ano no qual os ataques DDoS IPv6 teriam sido registrados, tais incidentes continuam sendo raros, uma vez que eles não são economicamente relevantes para os criminosos da Internet, conforme afirmou Bill Cerveny, um engenheiro de software sênior que atua na “Arbor Network”.
Algumas empresas estão projetando aumentos de mais de 100 por cento para seus volumes de tráfego IPv6 ao longo dos próximos 12 meses, mas as mudanças serão insignificantes em comparação com o volume de tráfego no geral.
A grande maioria das organizações continua relutante em mudar para a nova versão do protocolo IP, pois a segurança da rede e os equipamentos de análise de tráfego não são totalmente compatíveis com ele.
Sessenta e cinco por cento dos entrevistados pela “Arbor Network” em sua pesquisa, disseram que sua principal preocupação é a falta de paridade de recursos entre IPv4 e IPv6, enquanto sessenta por cento expressaram preocupações de que eles não poderão analisar adequadamente o tráfego IPv6.
Ainda segundo Bill Cerveny, muitas das soluções de infraestrutura na atualidade, não oferecem os mesmos recursos e funcionalidades para o IPv6 como elas fazem para IPv4, sendo que essa falta de paridade de recursos significará que as equipes de segurança não terão a mesma visibilidade e capacidade de mitigação quando se tenta identificar e bloquear IPv6 baseados em ataques contra alvos.
Segundo Neal Quinn, vice-presidente de operações de mitigação de ataques DDoS da empresa “Prolexic”, os ataques IPv6 devem ser vistos como uma ameaça emergente, acreditando o mesmo que os atuais ataques DDoS IPv6 são na sua maioria testes realizados por prováveis criadores de malware que querem estar preparados quando os grandes provedores de serviços de Internet começarem a mudar seus assinantes para o IPv6.
A empresa “Prolexic” está investigando quais questões poderiam surgir em roteadores que suportam “dual stack” (IPv6 e IPv4), porque estas serão cada vez mais importante para as empresas criarem pontes entre redes IPv6 e IPv4.
Bill Cerveny alertou que a questão de se ter equipamentos de infraestrutura com as mesmas capacidades para se defender contra ataques IPv4 e IPv6 é fundamental, sendo que o relatório de segurança da “Arbor Networks” demonstra ser fundamental que os operadores de rede possam resolver as discrepâncias mencionadas.

Preocupações de Segurança IPv6


Fonte: Lucian Constantin do Computerworld

Criptografia de telefones via satélite é quebrada e pode comprometer seu uso seguro.

Inmarsat I4 Satellite

Inmarsat I4 Satellite

Pesquisadores de uma universidade em Bochum, na Alemanha afirmam ter quebrado algoritmos de criptografia do “European Telecommunications Standards Institute” (ETSI), que são usadas para proteger certas comunicações de telefones por satélite civis.
A “Ruhr University Bochum’s” (RUB) do “Horst Görtz Institute for IT-security”, informou em comunicado detalhas de como seus pesquisadores teriam conseguido quebrar algoritmos de criptografia conhecidos como 1-A5-GMR e A5-GMR-2, usados para proteger as comunicações civis entre telefones móveis e satélites com base nos padrões GMR-1 e GMR-2 de telefonia por satélite.
Os pesquisadores explicaram que, em algumas regiões do mundo padrões de comunicação de telefone celular ainda não estão disponíveis, portanto, em zonas de guerra, em países em desenvolvimento e em alto mar, telefones via satélite são amplamente utilizados.
O grupo de cientistas da “RUB” disse que simplesmente usou o próprio equipamento telefônico disponível e encontrou a chave de criptografia, conseguindo quebrá-la facilmente através da análise do software em execução nos “satphones”, neste caso, o “Thuraya SO-2510” e o “Inmarsat PRO IsatPhone”.
Os pesquisadores afirmaram ter efetuado uma análise matemática e descoberto deficiências graves que teriam documentado, sendo que dentre os envolvidos nas pesquisas estão Benedikt Driessen, Ralf Hund, Carsten Willems, Christof Paar e Thorsten Holz.
De acordo com anúncio da universidade sobre suas pesquisas, eles usaram software “open-source”, uma antena especial e um PC como parte da investigação para capturar e demodular dados de fala, e, em seguida, processar os dados capturados através de uma implementação de um ataque que tinham concebido para quebrar a criptografia.
Os pesquisadores destacaram porem que em termos de ataques no mundo real, há limites para seus experimentos, muito embora afirmem poder descriptografar comunicações protegido de acordo com o padrão GMR-1, muito embora ainda houvesse algumas barreiras que impediam a divulgação completa de uma conversa de voz.
Baseado em uma experiência com a rede “Thuraya”, que faz uso da GMR-1, os pesquisadores dizem que não foram capazes de reproduzir a conversa de voz em seu próprio “downlink” porque o codec de voz para GMR-1 é desconhecido, o que implicava em não ser possível reproduzir a conversa.
Os pesquisadores disseram ter informado as autoridades com antecedência sobre a divulgação de suas pesquisas
Os pesquisadores ainda destacaram que seus resultados comprovam que o uso de telefones por satélite em determinadas localidades corre perigo porque os algoritmos de criptografia atuais não são suficientes, apontando não haver alternativa para os padrões atuais.


Fonte: Ellen Messmer, editora sênior da Network World.

Hackers estão conseguindo “enganar” dispositivos de segurança bancária on-line como “tokens”.

Fraude TokenUma investigação feita pela BBC detalhou possíveis deficiências na segurança extra proporcionada por dispositivos bancários de autenticação (tokens), tais como “PINSentry” do Barclays e “SecureKey” do HSBC, ambas com atuação no Reino Unido.
Usar esses dispositivos de autenticação de dois fatores significa que, caso os consumidores entreguem aos hackers suas senhas de login do banco, ainda assim os criminosos não conseguirão invadir suas contas bancárias online.
Mas, apesar de ataques simples de phishing falharem, pode ainda ser possível aos hackers monitorarem e alterarem a comunicação do usuário com o site do banco utilizando malware.
Hackers poderiam criar um site bancário falso e quando os usuários estiverem no “prompt” tentando fazer “logon” em sua conta, eles conseguiriam obter suas credenciais de “login” online e, por exemplo, seu código “PINSentry”, um número pseudoaleatório que muda mais ou menos a cada.
Esta informação permitiria a cibercriminosos realizar “login” no site bancário real, se fazendo passar pelo cliente, podendo autorizar transferências fraudulentas ou outros pagamentos.
Esta variante do clássico ataque “man in the middle” é conhecida nos círculos de segurança como um ataque “man in the browser”.
“Man in the browser” é um ataque de segurança, onde o autor instala um Cavalo de Tróia no computador de uma vítima passando a ser capaz de modificar transações realizadas na “Web” na medida em que são realizadas.
O ataque “man in the browser” é muito mais difícil de ser prevenido e de ser neutralizado, porque em vez de ocorrer numa troca pública de informações, a troca de dados é realizada entre o usuário e os mecanismos de segurança no navegador daquele.
Incidentes isolados deste tipo de fraude surgiram nos últimos anos, o que faz com que este tipo de ataque não seja novo.
Os “phishers” têm aplicado golpes em dispositivos de autenticação de dois fatores, desde 2006, se não muito antes, muito embora clientes de bancos como Citibank e instituições financeiras nórdicas têm sofrido inúmeros ataques ao longo dos anos.
Fato é que este tipo de golpe é perfeitamente assimilado por profissionais de segurança, mas o problema maior está relacionado a ausência de conhecimento deste tipo de fraude por consumidores, justamente o que incentivou a realização da investigação por parte da BBC.
A investigação realizada pela emissora britânica, não destacou novos casos de fraude e nem individualizou vítimas, deixando absolutamente claro que este tipo de golpe não está relacionado a nenhuma tecnologia fornecida por qualquer banco em particular.
Este cenário ilustra muito bem a importância de ser mantida a segurança do computador em dia, bem como utilizar qualquer tipo de segurança adicional que as instituições financeiras possam oferecer.
No que tange a ressarcimento de prejuízos, é importante notar que as disputas sobre saques indevidos estão longe de serem pacíficas e unânimes.
Consumidores provavelmente serão reembolsados por transferências fraudulentas autorizadas usando dispositivos de autenticação de dois fatores, muito embora seja uma tarefa extremamente árdua convencer a instituição financeira sobre a ausência de responsabilidade por parte do cliente.
Muito embora o uso de dispositivos de autenticação bancária não seja uma maneira infalível de se manter em segurança enquanto se está online no internet banking, eles ainda sim devem ser utilizados, uma vez que o malware comum, frequentemente encontrado nos computadores domésticos, não está equipado para lidar com a autenticação adicional necessária para a utilização desses dispositivos.
Também é fato que atacantes avançados têm encontrado maneiras de contornar as medidas de segurança adicionais, infectando o navegador do usuário e monitorando e alterando a comunicação do usuário com o site bancário.
No entanto, o malware precisa trabalhar de forma muito mais difícil, porque o usuário precisa para ser levado a revelar códigos adicionais de “token”, levando-o a agir rapidamente, antes que expirem, geralmente após 60 segundos.
É importante destacar-se que manter o navegador atualizado pode repelir inicialmente infecções, pois os atacantes costumam usar vulnerabilidades conhecidas do browser como método de entrada para o computador, segundo alertaram especialistas.
Os bancos que implantaram a autenticação de dois fatores alegam que foram beneficiados por uma queda substancial nos níveis de fraude, muito embora não estejam disponíveis números concretos sobre este tipo de alegação.
Especialistas em segurança afirmam que os bancos devem contar com várias medidas de segurança para reduzir a possibilidade de fraude, utilizando uma combinação de técnicas, as quais uma complemente a outra.
Qualquer abordagem para combater ataques contra internet banking deve incluir a atualização e implantação de rigorosos projetos de controle de processos antifraude, monitoramento de qualquer transação de clientes e acompanhamento de padrões de navegação que possam indicar um ataque.

Relatório e ranking de Cyber segurança mostra a maioria dos países atrasados em relação aos cyber criminosos: Brasil aparece nas últimas posições.

Cyber securityNo cenário atual, os Estados Unidos e o Reino Unido estão relativamente bem preparados para ataques virtuais em comparação com muitas outras nações desenvolvidas, segundo relatório de cyber segurança produzido pela empresa de segurança “McAfee” e pela “Security & Defence Agenda (SDA)”.
O relatório, que classifica 23 países no que diz respeito à chamada “cyber prontidão de segurança”, não dá a nenhum país a nota mais alta, cinco estrelas.
Israel, Suécia e Finlândia obtiveram quatro estrelas e meia, enquanto oito países, incluindo os Estados Unidos, Reino Unido, França e Alemanha, receberam quatro estrelas.
Índia, Brasil e México aparecem nas últimas posições.
Nenhum país está à frente de atacantes cibernéticos, segundo informou Phyllis Schneck, CTO do setor público da empresa “McAfee”, uma vez que os mesmos estariam agindo “mais rápido e mais rápido” do que os mocinhos.
Ainda segundo Schneck, os cyber criminosos não têm que lutar com informações jurídicas e questões de política, podendo compartilhar livremente uns com os outros sem se preocupar com questões competitivas.
A executiva finalizou dizendo que estamos enfrentando um adversário que não tem limites, enquanto temos de ir a reuniões e escrever relatórios para compartilhar nossos dados, o que nos coloca numa enorme desvantagem.
A “S.D.A.”, um grupo de estudos para segurança cibernética estabelecido em Bruxelas, entrevistou 80 especialistas em segurança cibernética para a elaboração do relatório, além de entrevistar adicionalmente outras 250 pessoas.
57% dos entrevistados disseram acreditar que uma cyber corrida armamentista está acontecendo, e 36% disseram acreditar que a segurança cibernética é mais importante do que defesa antimísseis.
Quase meio por cento dos entrevistados, 45, disseram que cyber segurança é tão importante quanto à segurança de fronteiras.
Um tema comum entre os especialistas em segurança cibernética foi quanto à necessidade da troca global de informações sobre ameaças cibernéticas em tempo real.
Os especialistas também chamaram a atenção para a necessidade de uma melhor partilha de informação entre as próprias empresas e entre empresas privadas e o governo.
Phyllis Schneck afirmou que o relatório abre-se a ideia de novos acordos globais que podem levar à partilha de informações, muito embora ache difícil a sua implantação num curto espaço de tempo.
Ela acrescentou que os países podem trabalhar juntos para estabelecer o compartilhamento de informações, muito embora não seja possível dar livre acesso as mesmas a todos, devendo-se apenas viabilizar uma forma de armazenar as mais importantes e torná-las acessíveis.
Schneck também afirmou que as empresas estão preocupadas com seus clientes em perigo, o que diminui os preços de suas ações, além de inúmeros outros problemas decorrentes do compartilhamento de informações em demasia, salientando que cada pessoa racional do planeta concordaria que colocar todas as informações em conjunto, permitiria que se tivesse uma imagem muito melhor da ameaça.
Ela finalizou dizendo que o compartilhamento de informações em tempo real, é uma forma legítima pela qual grupos podem ganhar uma vantagem sobre os atacantes cibernéticos, uma vez que os adversários não possuem a infraestrutura de rede.
No ranking por países, os peritos em cyber segurança entrevistadas para o relatório elogiaram os esforços dos Estados Unidos, incluindo a criação pela Casa Branca de um “cyber czar” de segurança no ano passado.
Segundo os entrevistados, nos últimos anos, o governo dos Estados Unidos tem se concentrado muito mais em segurança cibernética.
O ranking dos países que se encontram no meio do bloco inclui Japão, China, Rússia e Canadá, enquanto o Brasil, Índia e a Roménia receberam duas estrelas e meia e o México apenas duas estrelas.
Segundo Samuel Cherian, do “Institute for Defence Studies and Analyses”, em Nova Delhi, na Índia a população foi direto do uso de qualquer telefone para os mais recentes em tecnologia móvel, mesmo com computadores conectados à Internet.
As classificações apresentadas no relatório são baseadas no Modelo de Maturidade de Segurança Cibernética desenvolvido por Robert Lentz, presidente de Estratégias de Segurança cibernética e ex-subsecretário adjunto de cyber segurança do Departamento de Defesa dos Estados Unidos.
O modelo de Lentz leva em consideração a resiliência e a capacidades de defesa preditiva em oposição a reativa e manual, bem como as ferramentas disponíveis para defesa.
Uma série de recomendações são feitas pelo Relatório, dentre elas, o trabalho conjunto entre empresas e governos visando a adoção de definições para o compartilhamento de informações confiáveis aos envolvidos, além da implantação de campanhas de educação pública focadas em cyber segurança.
O relatório também apela para que às empresas se concentrem na utilização de smartphones e na segurança da computação em nuvem.

Fonte: Grant Gross para o “IDG News Service”.