Tag Archives: segurança

A vulnerabilidade do Android e do iOS pode valer milhões de dólares

by

money

A Zerodium é uma empresa que paga desenvolvedores de sistemas para descobrir falhas e vulnerabilidades em aplicativos populares. E não pagam pouco.

Frequentemente falamos sobre as falhas de segurança dos softwares, mas felizmente os desenvolvedores lançam rapidamente as atualizações após a detecção. Logo, cada versão nova é mais segura que a anterior, de modo que devemos ter sempre nossos dispositivos atualizados (e este é um dos inconvenientes do Android).

Isso também influi nas vulnerabilidades do sistema, ou exploits, mais especificamente aqueles do tipo zero-day. Nesse caso, o preço é mais caro quanto maior a dificuldade para localizar a falha, pagando o dobro ou o triplo da oferta original (no Android e iOS, respectivamente).

 

processo-pagamento-hacker

 

Mais concretamente, a Zerodium oferece US$ 1.5 milhão por vulnerabilidade comprovada no iOS e US$ 200 mil no caso do Android. Há preços para exploits localizados no Adobe Flash Player (entre US$ 80 mil e US$ 50 mil). Os preços estão diretamente relacionados com o grau de dificuldade na criação de cadeia de vulnerabilidades, e isso é muito mais difícil no iOS 10 e no Android 7 do que nas versões prévias.

Uma rede de vulnerabilidades se cotiza em ordem 7,5 vezes maior em um Android, o que dificulta em 7,5 vezes criar uma vulnerabilidade para o iOS, e isso também influi nos valores aplicados.

 

Qual é o perfil de cliente de uma empresa como a Zerodium?

 

codigos-hacker

 

A Zerodium tem como clientes os “bem intencionados” (naquelas). O perfil de compradores está nos governos e agências que usam essa informação para vigiar e espiar criminosos e terroristas que operam por vias cibernéticas e tecnológicas.

A empresa oferece melhores preços que as próprias proprietárias de software. Apple e Google oferecem recompensas bem menores que a Zerodium, se bem que o nível de exigência de exploits varia, sendo maior no caso da empresa de compra e venda.

É algo mais comum na Deep Web do que na internet aberta, e a Zerodium não é a única empresa que se dedica à compra e venda de vulnerabilidades. A Mitnick’s Absolute Zero-Day e a Exodus Inteliigence fazem o mesmo.

A Zerodium pagou até US$ 3 milhões no ano passado por dados de vulnerabilidades. Não revelam números sobre sua arrecadação, mas não deve ser pouca coisa. Em 2016, eles ofereceram até três vezes mais que o ano passado.

Via ZerodiumArs Technica

Roubaram US$ 81 milhões de um banco que não tinha firewall

by

segurança

Algumas coisas que fico sabendo no mundo da tecnologia são realmente inacreditáveis. Uma das formas mais eficientes do ser humano aprender é com os seus erros, e nesse caso, vários erros semelhantes foram cometidos. Mas não… tem sempre aquela pessoa ou instituição que não aprende com o erro alheio. Só com os próprios.

Pois bem, um banco não tinha firewall e sofreu um ataque hacker. Quantas vezes você já ouviu isso? Então… poderia ser algo normal para um usuário comum. Tem gente que eu conheço que nem sabe o que é firewall. Mas nesse caso, estamos falando do Banco Nacional de Bangladesh, e não apenas por conta da quantidade de dinheiro, mas também pela tonelada de dados e informações confidenciais, esse tipo de falha beira o absurdo.

O banco utilizava “switches” baratos, que custavam apenas US$ 10 cada, e que não contavam com um firewall, o que permitiu que um grupo de cibercriminosos utilizassem as credenciais do banco e enviassem múltiplas petições de movimento de fundos para contas nas Filipinas e Sri Lanka. No total, eles poderiam ter levado US$ 1 bilhão, mas para a sorte do banco (e de muita gente), os atacantes cometeram uma errata nas petições de movimento de fundos, escrevendo “fandation” no lugar de “foundation”.

Isso fez com que se questionasse a autenticidade das mesmas, o que deteu o fluxo de dinheiro. Mas até o momento em que os ataques foram produzidos, mais de US$ 81 milhões já tinham saído do banco. Acho que o incidente fez com que o Banco Nacional de Bangladesh aprendesse a lição, trabalhando um pouco mais para reforçar sua segurança, coisa que desde já não será nada complicado, levando em consideração a segurança que eles contam nesse momento.

Sobre os responsáveis pelo ataque, não é possível identificá-los, já que os “switchers” eram de qualidade tão ruim, que foi impossível seguir a pista deixada neles.

Via Mashable

Dispositivos móveis tornam-se os novos alvos de spam e malware, aponto relatório da Kaspersky Lab

by

Kaspersky-Lab-Logo

De acordo com o recente Boletim de Segurança da Kaspersky Lab, o volume de mensagens de spam diminuiu em 2015 para 55,28% do tráfego de e-mail total – o que representa uma queda de 11,48% em relação ao ano anterior. Essa redução, abrupta e significativa, pode ser atribuída à popularidade cada vez maior das plataformas de publicidade legais em redes sociais, serviços de cupons, etc.

Mais de três quartos (79%) de todos os e-mails enviados tinham menos de 2 KB, o que mostra uma diminuição constante no tamanho das mensagens de spam nos últimos anos. As instituições financeiras, como bancos, sistemas de pagamento e lojas online, foram atacadas com mais frequência pelos e-mails de phishing (34,33%, um aumento de 5,59%).

Em 2015, os criminosos virtuais continuaram mandando e-mails e notificações falsas por meio dos dispositivos e apps móveis, que continham malware ou mensagens de publicidade. As novidades ficaram por conta das táticas de disseminação de malware em formato .apk (arquivos executáveis do Android) e .jar (arquivos comprimidos ZIP com um programa em Java). Além disso, os cibercriminosos esconderam um trojan criptografado para dispositivos móveis em uma atualização do plugin do Flash Player. Depois da execução, o malware criptografa imagens, documentos e vídeo armazenados no dispositivo e mostra uma mensagem ao usuário solicitando o pagamento de um resgate para liberar os arquivos.

Os EUA continuam como a maior fonte de spam (15,2%); seguido pela Rússia (6,15%) e a China abriu caminho para o Vietnã na terceira posição (6,12%). A Alemanha foi a principal vítima, com 19,06% dos ataques de spam – um aumento de 9,84% em relação a 2014; seguida do Brasil, com 7,64%, contabilizando um aumento de 4,09% e deixando o sexto lugar ocupado em 2014. A Rússia subiu da oitava para a terceira posição, com um aumento de 3,06% para 6,03% de todos os ataques de spam em 2015.

 

Temas de spam em destaque durante o ano

Embora os Jogos Olímpicos no Brasil ainda não tenham ocorrido, os fraudadores já começaram a explorar o evento, enviando e-mails sobre prêmios falsos e pedidos para o destinatário preencher um formulário com seus dados pessoais. Os e-mails criados para esses ataques contêm anexos em PDF, imagens e outros elementos gráficos para enganar os filtros de spam.

Já a fraude “nigeriana” passou a utilizar a situação política na Ucrânia, a guerra civil na Síria, a eleição na Nigéria e o terremoto no Nepal para tirar proveito da bondade e empatia das vítimas por meio de e-mails com conteúdo verossímil. As mensagens pediam ajuda material para pessoas com necessidades.

Mais informações, acesso o relatório completo sobre os spams e ataques de phishing de 2015 em Securelist.com.

Este carregador USB registra secretamente a digitação de teclados Microsoft

by

sniffer-usb-microsoft

O KeySweeper é um dispositivo baseado em uma placa Arduino que, camuflado no formato de um simples carregador USB, é capaz de espiar e capturar toda a digitação feita em um teclado sem fio da Microsoft nas proximidades.

Com um carregador desses ao seu lado, é possível capturar a senha do Gmail ou Facebook em questão de segundos, sempre quando um teclado sem fio da Microsoft é utilizado.

O equipamento se baseia em outros projetos que conseguem vulnerar a transmissão sem fio dos teclados, com a peculiaridade de se ocultar em um carregador e seguir funcionando por vários minutos sem estar conectado em uma tomada, por conta de uma bateria interna. Também está integrado um módulo Adafruit (opcional), que permite a conexão de dados com um SIM card, podendo enviar os registros por SMS. Os dados são salvos em uma memória interna, permitindo a revisão dos dados via web.

 

A melhor parte é que o carregador USB segue funcionando, podendo inclusive conectar um smartphone e não levantar suspeitas de suas ações.

Ou seja, você tem um teclado sem fio da Microsoft? Então… começa a olhar para os lados desde já.

spysmall

 

Via SlashgearKeySweeper

 

Volvo cria um capacete que avisa os motoristas sobre sua proximidade

by

650_1000_eo3tg8s6agm3d1bwpgtj

A Volvo está trabalhando em um mapeamento de veículos na nuvem, que é atualizado em tempo real. Paralelo à isso, eles criaram um capacete que é capaz de emitir sua localização para essa rede, enviando para os seus veículos (e motoristas) a proximidade de um ciclista, tomando medidas preventivas para evitar acidentes.

O ciclista contará com o mesmo sistema integrado ao capacete, e também será informado se um carro se aproxima. Um sinal luminoso no capacete será o sinal de alerta.

As empresas Ericsson e Strava são parceiras da Volvo no projeto. A primeira é responsável pela tecnologia de comunicação em si, e a segunda se encarrega pelo software. A Strava é muito conhecida entre os desportistas pelos aplicativos e serviços de localização e monitorização. O capacete em si é fabricado pela POC, também popular entre os ciclistas e esportistas.

O produto ainda está em desenvolvimento, com o objetivo de ser um produto final a médio prazo. Abaixo, um vídeo demonstrativo do conceito.

 

Via Volvo

O movimento dos seus lábios pode te identificar diante de um computador

by

boca

A equipe liderada por Ahmad Hassanat, da Universidade de Mu’tah (Jordânia) desenvolveu um software que é capaz de reconhecer um usuário a partir do movimento dos lábios e boca ao falar, identificando até a quantidade de dentes que mostramos em cada palavra.

Com esse sistema, os pesquisadores conseguiram uma margem de acerto na identificação de 80%. Sobre a possibilidade de cópia da forma que falamos, a equipe de Hassanat não acredita que pode ser possível, mas admitem que a boa iluminação do local é um fator determinante para que esse tipo de identificação funcione.

Já pensou? Quando muita gente diz que o seu sorriso é a sua assinatura, você pode agora responder: ‘literalmente’…

+info

Conseguiram rodar o jogo Doom em uma impressora

by

i9uf1tkujsd0tcskgopw

O autor dessa pequena façanha foi o especialista em segurança Michael Jordon. Ele realizou o experimento de rodar o jogo Doom em uma impressora para averiguar até que ponto era possível executar códigos na pequena memória do periférico.

O programador explica todo o processo, que levou alguns meses para apresentar resultados positivos. E, mesmo com uma resolução de tela sofrível, o jogo consegue rodar sem problemas em uma impressora Canom Pixma.

Com o mod, Jordon conseguiu também localizar vários problemas de segurança presente no código utilizado pela Canon, que foi informada das anormalidades, e já trabalha para corrigir as brechas. Inclusive aquela que permite a execução do jogo Doom.

Agora, pense em ameaças piores.

Se você quer mais detalhes sobre como foi o processo de instalação do jogo Doom em uma impressora, clique aqui.

gb5argjhmafoonvunk21 tchptubunlzjypzergwo jwhkxfcjepwz57qhwrj8

+info

Vysk QS1 é um case que protege a sua privacidade

by

vysk-1

A empresa Vysk Communications apresenta o case Vysk QS1, que promete garantir a nossa privacidade. O produto é compatível com os modelos iPhone 5/5se Samsung Galaxy S5.

O case possui um mecanismo que cria interferências nos microfones e uma codificação para chamadas (mediante pagamento de US$ 10/mês) e mensagens, que impede o acesso desse conteúdo por alheios. O produto ainda possui silenciadores de microfone para evitar que as conversações normais possam ser ouvidas, tampa para a objetiva da câmera e bateria adicional para 50% a mais de tempo de conversação.

O case Vysk QS1 custa US$ 230 (???), e estarão disponíveis no Natal de 2014 nos EUA. Bom, se serve de consolo, é mais barato do que comprar um Blackphone da Geeksphone.

Via

The Defender: tecnologia e defesa pessoal em um só produto

by

the-defender-defensa-personal

O The Defender combina um dispositivo de defesa pessoal e uma plataforma de tecnologia que mantém o usuário seguro em caso de assaltos ou agressões físicas em qualquer lugar. O sistema identifica o ladrão (registrando uma foto), denuncia o meliante para as autoridades competentes, e dispara vários mecanismos de alerta, incluindo alarmes com barulhos elevados e até gás de pimenta.

O The Defender possui conectividade Bluetooth, câmera integrada, flash para a câmera (que também serve para chamar a atenção ou emitir sinal de SOS), botão dedicado para emergências médicas, alto-falantes para sirene, e tudo de gás de pimenta. O dispositivo se conecta à smartphones Android ou iPhone, e o aplicativo é o responsável pelo envio da foto do bandido e localizá-lo via GPS. Esses dados são enviados para as autoridades fazerem a sua parte.

O preço sugerido do The Defender é de US$ 159, que inclui um ano de monitoramento 24/7. Infelizmente, o serviço só funciona nos Estados Unidos e Canadá. Detalhe: o smartphone precisa estar conectado na internet para denunciar o bandido, e em muitos locais do Brasil, o 3G é apenas uma lenda.

 

Via

Dicas para proteger os seus arquivos no Google Drive

by

dicas-google-drive

A PSafe compartilhou conosco algumas dicas para aumentar a segurança na manipulação de arquivos no Google Drive. Afinal de contas, já que vamos utilizar o armazenamento em um ambiente virtual, que ao menos possamos nos certificar que ele será o mais seguro possível, para que aqueles documentos mais importantes não se comprometam por alguma falha sistêmica, ou pelo nosso descuido.

A seguir, algumas dicas para manter o seu Google Drive um pouco mais protegido:

 

1. Verificação da conta

Em primeiro lugar, é necessário fazer algumas verificações na sua conta. Cheque a existência de vírus e malware e atualize regularmente suas opções de recuperação de senha. Ative o sistema de verificação de conta em duas etapas oferecido pela Google. 

2. Updates. Sempre!

Atualize com frequência seu navegador e o sistema operacional.

3. Senhas

Não utilize sua senha do Google Drive em outros sites. Aliás, evite usar uma única senha para vários serviços.  

4. Computador compartilhado

Se você está num computador compartilhado, sempre saia de sua conta ao terminar de utilizar para evitar que outros tenham acesso a ela. Não instale o Google Drive para Mac ou PC em um computador compartilhado.

Tomando esses cuidados, é possível usar o Google Drive de forma mais segura, aproveitando as vantagens de poder acessar seus arquivos em qualquer momento e lugar.

Via assessoria de imprensa (PSafe)

Antivirus BitDefender vence AV-Test de soluções corporativas

by

bitdefender1

O Bitdefender Endpoint Security 5.3 venceu o teste comparativo do laboratório AV-Test para usuários corporativos, um dos mais rígidos e reconhecidos testes do mundo.

Nos testes gerais realizados com o Windows 8.1, o Bitdefender atingiu a nota 6.0, liderando as avaliações técnicas de performace, proteção e usabilidade nos testes realizados entre fevereiro e abril de 2014. Os demais concorrentes receberam uma pontuação mínima entre 3.5 e 5.0 em um desses quesitos. Os principais fatores destacados pelos especialistas foram a capacidade de escaneamento e bloqueio de ameaças recentes, além das proteções tradicionais na navegação de sites e downloads de software.

O Bitdefender foi o único que identificou e bloqueou 100% das mais de 138 amostras de ameaças do tipo 0-day utilizadas nos testes entre os meses de março e abril. Todos as 20.646 amostras de malwares foram detectadas durante os testes, além de oferecer uma confiabilidade de 100% na usabilidade, não gerando falsos alertas ou impedindo o acesso aos sites livres de pragas virtuais. 

Em 2014, a Bitdefender já tinha recebido a nota máxima no combate às ameaças virtuais, sendo também destaque entre as melhores soluções para remoção de malwares e bloqueio de ameaças, pelo portal PC MAG.

Para visualizar os resultados do teste, acesse o site da AV-test

Para conhecer essa e outras soluções da Bitdefender, acesse o site da Bitdefender Brasil. 

Via assessoria de imprensa (Bitdefender Brasil)

E se suas senhas fossem combinações de cores?

by

650_1000_colourpicker

Em um mundo onde a senha mais popular é 123456 (e similares), como convencer as pessoas que elas devem utilizar senhas individuais para cada serviço, e principalmente, difíceis de adivinhar ou gerar? Lembrando os últimos grandes incidentes de segurança (Heartbleed, o ataque do eBay, etc), é melhor prevenir do que remediar.

Renee Verhoeven, estudante de design, tem uma proposta. Seu projeto de final de curso na Royal College of Arts de Londres (Reino Unido) consiste em criar diferentes propostas conceituais que propõem dar o relevo para as senhas, tal e como conhecemos hoje: eliminamos as letras, números e caracteres especiais para dar lugar a outros códigos mais simples, como um conjunto de cores. Tal conceito responde pelo nome de ID Protocol.

Depois de realiza rum estudo sobre o que os humanos conseguem memorizar melhor, Verhoeven chegou a três variáveis válidas para seu projeto: movimento, cores e uma história. No caso das cores, a proposta é uma espécie de seletor de tonalidade, que se conecta ao computador via USB. O usuário estabelece uma combinação de cores, que será utilizada como senha.

As outras soluções propostas seguem uma filosofia semelhante: selecionar uma espécie de labirinto, um padrão determinado ou utilizar um sistema que conta uma história para que o usuário saiba de forma mais fácil quais teclas terá que pressionar e em qual ordem.

Não parece que teremos em breve um desses seletores de cores no nosso computador. É uma ideia original, mas por enquanto, é apenas uma proposta.

A que ponto chegamos: réplica de iPhone para enganar o ladrão

by

iphone-falso-01

Pois é… agora chegamos ao ponto que temos que fazer investimentos para minimizar prejuízos em virtude da criminalidade. Ou investir no prejuízo calculado. Independente da discussão sobre o quanto é caro um iPhone no Brasil, entendo que cada um tem que ter o direito de manter os seus bens adquiridos honestamente, e que o alheio não tem o direito de surrupiar o que não é seu, apenas porque o outro tem.

E agora, passamos para um novo nível: o de investir em smartphones falsos, na certeza que seremos assaltados um dia.

No fundo, acho que a vítima em questão tem a sua dose de razão. Eu faria a mesma coisa. Antes o ladrão levar o smartphone falso do que o verdadeiro. O duro é ter que adotar o “jeitinho brasileiro” para proteger o nosso bem pessoal. E se as coisas fossem um pouco diferentes no Brasil, não seria necessário gastar mais R$ 150 para proteger um bem de R$ 2.700.

O Brasil poderia ser um pouco diferente, não? Só um pouquinho… pra começar…

iphone-falso-02

Consegue ver alguma diferença?

Nem eu.

Via

 

Blackphone, ou “a busca pela privacidade perdida”

by

blackphone-02

Com a internet, acabou a privacidade. Essa é uma máxima extremista e apocalíptica, mas é uma verdade que muitos afirmam como clara e presente. E se você parar para pensar, não é uma afirmação absurda. Pelo contrário: basta estar uma vez no Google, e pronto: uma coisa vai puxar a outra, e se você não tomar cuidado, os seus dados vão aparecer nos resultados de busca. E fim da história.

Isso pode acontecer até mesmo contra a sua vontade. Com o processo de conversão para o formato digital de alguns órgãos públicos, os documentos convertidos ou produzidos em PDF acabam incluindo informações consideradas sensíveis e altamente relevantes ao cidadão comum, como por exemplo o RG e CPF. Que são, por sua vez, itens suficientes para que gatunos, larápios e desocupados cometam fraudes na internet em seu nome.

Ou seja, não vai ser só o fato de você colocar aquela sua foto bêbado na festa de final de ano da firma no Facebook que fará com que a sua privacidade vá para o saco. A própria estrutura da internet e das ferramentas de busca disponíveis se encarregam de todo o trabalho.

Sem falar no fato de todo mundo ter uma câmera no seu celular, até mesmo os mais simples, e (quase) todo mundo ter uma conta no Facebook hoje. E como cada vez mais as pessoas não se prezam por ter respeito pelas outras (em vários aspectos), aquela seu tranquilo passeio no shopping pode virar um meme. Simples assim.

Bom, você não vai conseguir impedir que as pessoas não saibam mais nada sobre você. Mas pode ao menos dificultar a vida daqueles que querem bisbilhotar os seus dados.

Na Mobile World Congress 2014, o Blackphone, smartphone criado em parceria com a Silent Circle, fez a sua primeira aparição pública. Ele promete devolver (em partes) a privacidade perdida pelo usuário. O telefone não só vai encriptar os dados enviados pelo usuário por e-mail, SMS e outros recursos de conectividade, mas vai enviar essas informações em uma rede segura, para garantir que tais informações não serão vistas pela grande maioria dos gatunos virtuais.

blackphone-seguridad

O smartphone utiliza um sistema operacional próprio (mas baseado no Android), o PivotOS, e o software foi customizado para que garantisse toda essa segurança em várias camadas. Inclusive no que se refere às conexões WiFi desconhecidas, já que essa é uma das principais formas de invasão de dispositivos e captura de dados armazenados.

Além disso, o sistema promete ter um maior controle sobre os aplicativos instalados no dispositivo, gerenciando de forma mais rígida o que o app vai acessar, e quando ele pode acessar tal informação. Sem falar que também será possível a remoção remota de dados em caso de perda ou roubo, e a promessa de atualizações periódicas, sempre com o objetivo de aumentar ainda mais a segurança dos dados do usuário.

Custando a partir de US$ 629, o Blackphone é uma proposta acessível para qualquer tipo de usuário. É claro que o primeiro grupo que imagino usando esse dispositivo é justamente o dos executivos, que se preocupam muito mais com os dados e conversas sigilosas, que podem custar milhões. Mas imagino qualquer pessoa mais preocupada com a sua privacidade utilizando o produto.

Agora… se ele realmente vai evitar que alguém acesse aquele e-mail que você não quer que ninguém veja, essa é outra história. Ao menos me parece que a proposta apresentada é bem séria e consistente. De certo modo, torço para que dê certo. Apesar de entender que, nos dias atuais, privacidade é uma coisa do passado, é bom saber que, se ao menos quisermos tentar, temos uma opção de esconder alguma coisa do mundo.

Mesmo que sejam as fotos do carnaval no Guarujá, bêbado e fantasiado de crossdresser de Inês Brasil.

 

Faça você mesmo: gadget para pintar câmeras de segurança com tinta spray

by

camera-spray-paint-gadget

Revolucionários, manifestantes ou pessoas dispostas a pregar uma peça em câmeras de segurança já contam com uma solução para alcançar seus objetivos individuais e/ou coletivos, mas sem ser flagrado pelas indiscretas câmeras. Conheça o Surveillance Camera Spraypaint Boomstick Gadget, que é esse dispositivo que você vê na foto acima.

Não importa o quão distante de você a tal câmera pode estar. Você agora pode simplesmente deixá-la inoperante, com uma solução relativamente simples: você conecta essa engenhoca em um cabo de vassoura (ou em algum cabo em formato cilíndrico longo o suficiente para fazer com que você alcance a câmera), aciona a latinha de spray com o cordão, e pronto! Lente da câmera devidamente danificada.

É o tipo de gadget que entra na categoria “faça você mesmo”, com instruções bem simples, que são passadas pelo ativista chinês Al Weiwie. É claro que desativar câmeras de segurança é crime, mas isso você já deve saber. Mesmo assim, vale aquele recado básico: eu só compartilhei a informação. Se você vai fazer isso, é por sua conta e risco.

Via BoingBoing