STJ se restabelece após ransomware, mas PF investiga cópia de dados

Os estragos causados pelo ataque com ransomware ao Superior Tribunal de Justiça (STJ) ainda não são totalmente conhecidos. A Polícia Federal assumiu a investigação do caso, não só para compreender a extensão dos danos, como para averiguar o acesso aos arquivos, que pode incluir até mesmo uma cópia indevida dos dados.Segundo comunicado do STJ, aos poucos os sistemas começam a ser retomados após o ataque. A retomada começou na terça-feira (10), com a retomada de algumas das funcionalidades mais acessadas do portal. As centrais telefônicas voltaram a operar parcialmente na quarta-feira (11) e em sua totalidade na quinta (12). Agora, o Tribunal também informa que a restauração dos sistemas de informática já está praticamente finalizada.O STJ diz que há ainda dois pontos a serem resolvidos. Um deles é o Sistema Integração, que deve ser restabelecido durante o fim de semana. Além disso, até segunda-feira (16), a Secretaria de Tecnologia da Informação e Comunicação deve finalizar a disponibilização dos drivers.Para evitar novos ataques, o tribunal também impôs novas medidas de segurança. Como informa o site Convergência Digital, uma das mais importantes é impedir que os funcionários conectem equipamentos pessoais, com menção direta a notebooks, à rede do STJ, para garantir que novas ameaças trazidas de fora não afetem os sistemas internos.Copiar dados é o modus operandi do malwareApesar de a investigação do ataque correr em sigilo, algumas coisas são conhecidas. O site Bleeping Computer percebeu que o bilhete de resgate encontrado em inglês pelos técnicos nos computadores do STJ é compatível com o RansomExx, um ransomware que viabiliza esse tipo de ataque.No caso do ataque ao STJ, os arquivos foram cifrados com a extensão ".stj888", o que parece ser um padrão de ataque. O site aponta que o Tribunal de Justiça de Pernambuco (TJ-PE) também foi afetado pela ameaça no fim de outubro, e os dados foram criptografados com a extensão ".tjpe911". É uma marca da ameaça o uso de bilhetes de resgate direcionados, utilizando o nome da organização atingida.O malware já atingiu múltiplos alvos fora do Brasil, como ressalta a publicação. Um dos ataques notáveis atingiu o Departamento de Transportes do Texas (TxDOT), nos Estados Unidos. Na ocasião, os arquivos foram cifrados com a extensão ".txd0t". O ransomware não mira apenas órgãos governamentais, afetando também várias empresas, como Konica Minolta, IPG Photonics, and Tyler Technologies.O RansomExx é uma nova versão de um ransomware conhecido como Defray777. A nova variação começou a circular mais ativamente desde junho. Durante esse período, ele já mostrou um modo de atuação claro: a ameaça se instala na rede da vítima e começa a roubar documentos sensíveis enquanto se espalha pelas máquinas. Em posse dos arquivos relevantes, o malware se manifesta e começa a cifrar os dados nos computadores afetados.

from Olhar Digital :: Segurança https://ift.tt/2UsqA7v

Sistemas da Justiça Eleitoral saem do ar; TSE nega ataque hacker

O Tribunal Superior Eleitoral (TSE) registrou uma queda nos sistemas da Justiça Eleitoral na tarde desta quinta-feira (12). No mesmo dia, o TSE esclareceu, em nota oficial, que a queda foi motivada por uma sobrecarga interna do sistema, e não por um ataque de hackers. Alguns serviços do TSE ficaram indisponíveis com a queda, como Processo Judicial Eletrônico-PJE, divulgação de candidaturas e sites dos TSEs e tribunais regionais.De acordo com a nota, técnicos do tribunal trabalham em conjunto com técnicos do fabricante do equipamento de infraestrutura que travou (um data center). O nome do fabricante não foi divulgado. Ainda segundo o TSE, os sistemas começaram a ser normalizados já na noite de quinta-feira. Nesta sexta-feira (13), os sistemas já estão em funcionamento completo, segundo o tribunal.O problema técnico não afeta nenhum processo relacionado às eleições municipais deste domingo (15), como preparação de urnas, contagem de votos e transmissão dos resultados, segundo o TSE.ReproduçãoSistemas do STJ e da CGU sofreram ataques hackers recentemente. Imagem: New Africa/ShutterstockComo bem lembra o tribunal, a urna eletrônica brasileira funciona sem a necessidade de conexão com qualquer dispositivo de rede. Sendo um equipamento isolado, ela mantém suas funções de segurança intactas, independentemente do que acontecer no sistema central do TSE.A hipótese de um ataque cibernético vem pouco depois de invasões aos sistemas do Superior Tribunal de Justiça (STJ) e da Controladoria-Geral da União (CGU), ambas nesta semana. Confira a íntegra da nota do TSE:"O Tribunal Superior Eleitoral esclarece que a queda nos sistemas da Justiça Eleitoral, registrada na tarde desta quinta-feira (12), foi motivada por uma sobrecarga interna e não tem relação com interferência externa (ataque cibernético).Por conta do problema, ficaram indisponíveis serviços como Processo Judicial Eletrônico-PJE, divulgação de candidaturas e site dos TSE e dos tribunais regionais.O travamento de equipamento de infraestrutura, um datacenter, está sendo solucionado por técnicos do tribunal em parceria com técnicos do fabricante. Na noite desta quinta, os sistemas começaram a ser normalizados, e a expectativa é de retomada plena nesta sexta-feira (13).O problema técnico não afeta nenhum processo relacionado à votação deste domingo (15), como preparação de urnas, totalização de votos e transmissão de resultados.É importante lembrar que a urna eletrônica brasileira foi projetada para funcionar sem estar conectada a qualquer dispositivo de rede, seja por cabo, wi-fi ou bluetooth. Ou seja, a urna é um equipamento isolado, o que preserva um dos requisitos básicos de segurança do sistema.Além disso, a totalização dos votos após o envio das informações pelos Tribunais Regionais Eleitorais (TREs) funciona por meio de rede privativa criptografada."Via: TSE

from Olhar Digital :: Segurança https://ift.tt/35u0KXh

Microsoft detecta ataques de Rússia e Coreia do Norte a pesquisas de vacina contra Covid

A Microsoft anunciou nesta sexta-feira (13) que detectou uma série de ataques direcionados a companhias farmacêuticas que estão desenvolvendo vacinas contra a Covid-19. A companhia não revela quais foram os alvos, mas diz que conseguiu rastrear a origem, acusando hackers patrocinados por governos de Rússia e Coreia do Norte.Foram três grupos detectados. Um deles é conhecido como "Fancy Bear" (entre vários outros nomes), já bastante renomado por uma série de ataques conduzidos de alto impacto ao longo dos últimos anos. Um dos mais relevantes atingiu o Partido Democrata dos Estados Unidos em 2016, que gerou o vazamento de uma série de informações usadas contra a candidata Hillary Clinton na campanha presidencial.O grupo, patrocinado pelo governo russo, teria utilizado uma técnica conhecida como "password spraying", que consiste em testar o uso de senhas comuns e recicladas em múltiplas contas para ver o que funciona. OJá os outros dois teriam o apoio do governo norte-coreano. Um deles também é famoso, conhecido como "Lazarus Group", com um retrospecto de grandes ataques. O grupo tem alguns dos ataques mais famosos dos últimos anos vinculado ao seu nome, incluindo suspeitas de envolvimento na invasão à Sony em 2014, que permitiu o vazamento de vários filmes ainda não lançados e bloqueou os sistemas internos da empresa com ransomware, além do WannaCry, que infectou centenas de milhares de computadores em 2017, em um dos mais graves incidentes de cibersegurança da história.Por fim, a Microsoft descreve um terceiro grupo apoiado pela Coreia do Norte, mas que parece não ter uma bagagem tão repleta quanto os outros dois. A empresa o chama de "Cerium", e diz que eles estão envolvidos em campanhas de spearphishing (ataque com e-mails falsos direcionados para alvos específicos) mirando representantes da Organização Mundial de Saúde que estão envolvidos no combate à Covid-19.Segundo a companhia, os grupos atacaram empresas e grupos de pesquisa ligados a alguns dos estudos mais avançados no desenvolvimento das vacinas contra a Covid-19. Foram sete empresas sediadas nos Estados Unidos, Canadá, França, Índia e Coreia do Sul, e alguns dos ataques foram bem-sucedidos. O objetivo dos ataques seria roubar dados valiosos e sigilosos ligados às pesquisas.A questão não é uma novidade, no entanto. Em julho deste ano, a Rússia foi acusada por uma série de países de roubar dados da pesquisa de uma vacina, mais especificamente em um ataque direcionado ao Reino Unido.

from Olhar Digital :: Segurança https://ift.tt/32GGDDn

Indefinição sobre a sucessão nos EUA deixa país vulnerável a ataques

Os Estados Unidos estão vivendo um limbo administrativo. Apesar da vitória do democrata Joe Biden nas eleições presidenciais estar cada vez mais consolidada, o atual ocupante do cargo, Donald Trump, insiste em disputar o resultado. Com isso, a equipe de transição não teve acesso às reuniões presidenciais diárias, ou a qualquer outro material confidencial.Mais do que uma saia justa governamental, essa situação é potencialmente perigosa. Especialistas em segurança nacional alertam que a contínua obstrução do governo Trump pode deixar país vulnerável a ataques até que a equipe de Biden possa finalmente estar a par de todas as ameaças – inclusive em termos de cibersegurança.Para agravar o cenário, vários dos oficiais mais graduados do Departamento de Defesa estão sendo substituídos por funcionários supostamente mais leais ao presidente Trump. Essas ações podem levar a lacunas na forma como informações de inteligência sobre ameaças à segurança cibernética são repassadas para a nova administração.Adam Schultz / Biden for PresidentKamala Harris e Joe Biden, respectivamente vice-presidente e presidente eleitos dos EUA. Imagem: Adam Schultz / Biden for President"Você quer saber a situação das questões ao redor do mundo, o estado das negociações, das discussões sobre acordos de livre comércio, potenciais pontos de conflito acontecendo, conversas com aliados e ameaças feitas por adversários", explica David Priess, um ex-oficial de inteligência da CIA e do Departamento de Estado que deu briefings confidenciais aos presidentes Bill Clinton e George W. Bush. "Ter uma transição atrasada ou obstruída atrapalha tudo isso", acrescentou Priess.Isso não aconteceu, por exemplo, quando Barack Obama deu lugar ao próprio Trump. A equipe do republicano teve acesso total a informações confidenciais e aos briefings diários. Biden deixou claro que sua prioridade como presidente será combater a pandemia de Covid-19, mas relatórios do FBI e o Departamento de Segurança Interna, de antes das eleições, advertiram que agentes estrangeiros poderiam explorar qualquer incerteza após o dia 3 de novembro para minar os resultados da eleição – incluindo uma ampla campanha cibernética da Rússia.Adam Schultz / Biden for PresidentJoe Biden, ainda em campanha. Imagem: Adam Schultz / Biden for PresidentInstalações médicas e centros de pesquisa que trabalham com vacinas para Covid-19 também têm sido alvo de grupos russos e chineses. "Todo o caos de pessoal no Pentágono, combinado com a recusa da equipe de Trump em informar Biden, é preocupante - além de ser uma violação flagrante das normas", avalia o diretor de estudos de política externa do Cato Institute, John Glaser."A verdadeira ameaça, para ser franco, não vem do exterior. A ameaça muito mais presente para os norte-americanos e suas tradições políticas e institucionais é aquela que eles enfrentam internamente", acrescentou Glaser, apontando para a disputa política que colocou o discurso político produtivo em segundo plano. "Essa é uma ameaça muito maior do que qualquer coisa que China, Rússia, Estado Islâmico ou Al-Qaeda possam fazer contra nós no próximo governo".Via: CNN 

from Olhar Digital :: Segurança https://ift.tt/3eVZqPX

Novo console da Nintendo é hackeado antes do lançamento

Para celebrar os 35 anos do jogo Super Mario Bros. a Nintendo lançou uma edição especial do Game & Watch, sua primeira geração de consoles portáteis, com tela colorida e o game na memória.Obviamente, o pequeno console chamou a atenção dos hackers, interessados em saber se é possível modificá-lo para rodar outros jogos. Um deles, que atende pelo apelido stacksmashing no Twitter, recebeu seu Game & Watch antes do lançamento e não perdeu tempo em abrí-lo para explorar o hardware e software.Quem esperava um sistema flexivel baseado em Linux, como no NES Classic e SNES Classic, vai se decepcionar. O hardware é muito modesto, e provavelmente incapaz de rodar um SO complexo.O processador é um STM32H7B0VBT6 da STMicroelectronics, que contém um núcleo ARM Cortex-M7 rodando a 280 MHz, 128 KBytes de memória flash, e 1024 KBytes (sim, apenas 1 MB!) de RAM. Também há uma memória flash serial de 8 Mb (1 MB), que provavelmente contém todo o software. A bateria tem capacidade de 525 mAh.Interesting, an STM32H7B0VBT6 is the main processor! Cortex-M7, 128 KBytes Flash, 1024 KBytes of RAM. Also some unpopulated headers close by that expose SWD (the Arm Cortex-M debug interface)! pic.twitter.com/f5cdSlmin6— stacksmashing (@ghidraninja) November 12, 2020Analisando o conteúdo da memória, stacksmashing descobriu uma ROM do jogo Super Mario Bros., o que indica que o sistema roda um emulador, provavelmente escrito diretamente para o hardware, sem necessidade de um sistema operacional por baixo. Também foi possível obter cópias da memória de vídeo (framebuffer), que mostram o jogo rodando.Logo após, stacksmashing conseguiu o que queria: modificou o conteúdo da memória flash, trocando a ROM original do jogo por uma que mostrava na tela a palavra "Hacked". 24 horas antes do lançamento, o Game & Watch de Super Mario Bros. foi "hackeado" para rodar código diferente do original de fábrica.So, eventually managed to bypass the Game & Watch ROM encryption 1 day before the official release ðŸ˜Â Will try to release a video on it in the next few days with details on how that works!— stacksmashing (@ghidraninja) November 12, 2020Entretanto, isso não significa que será possível rodar outros jogos em breve. Além da óbvia limitação na quantidade de memória do portátil, há o fato de que o hardware do NES é bastante complexo, com os cartuchos usando uma grande variedade de chips para expansão de memória ou mesmo para adicionar novos recursos de áudio e vídeo ao console. Um emulador escrito para rodar apenas Super Mario Bros. pode não ter o necessário para rodar um jogo mais complexo, como Castlevania 3.O hacker promete publicar, em breve, um vídeo mostrando um passo-a-passo da façanha.

from Olhar Digital :: Segurança https://ift.tt/3nn2tnf

Chrome ganha correção para duas falhas usadas pelo cibercrime; atualize o navegador

Fique atento às atualizações do Google Chrome. O navegador recebeu nesta quinta-feira (12) duas correções importantes que corrigem vulnerabilidades "zero-day", como são chamadas as falhas de segurança descobertas e exploradas pelo cibercrime antes que as empresas tenham a oportunidade de corrigi-las.O Google não deu detalhes sobre as vulnerabilidades e apenas informou que elas estão corrigidas nas versões 86.0.4240.198 do Chrome para todas as plataformas de desktop, incluindo Windows, Mac e Linux, como informa o site Bleeping Computer.A empresa apenas informa que as vulnerabilidades foram informadas por meio de pesquisadores anônimos. Não há detalhes sobre como funcionam os ataques ou quem está por trás deles, apenas se sabe que as brechas já são conhecidas e exploradas. A companhia só diz que uma delas está ligada ao V8, o motor de JavaScript do Chrome, e a outra está ligada a um problema na alocação de memória que poderia levar à execução de código arbitrárioA empresa diz que não dará mais detalhes até que a maioria dos usuários já tenham atualizado os navegadores e já estejam seguros. A medida visa evitar que mais cibercriminosos descubram qual é a vulnerabilidade e se aproveitem dela enquanto usuários ainda rodam versões defasadas do Chrome.Os últimos 30 dias têm sido especialmente movimentados para a equipe de segurança do Chrome. Foram cinco vulnerabilidades do tipo "zero-day" corrigidas desde 20 de outubro. Uma das mais marcantes combinava uma falha no Windows, afetando da versão 7 para cima, que permitia escalar privilégios no sistema para execução de código no computador afetado. O Google revelou a brecha no Windows antes de a Microsoft ter a oportunidade de corrigir o seu lado do problema.

from Olhar Digital :: Segurança https://ift.tt/3kkXZf2

Hacker invade sistema da CGU e divulga passo a passo da ação no YouTube

Na última quinta-feira (5), o site da Controladoria-Geral da União (CGU) sofreu um ataque hacker. De acordo com o site O Bastidor, o invasor se aproveitou de uma falha em um túnel de criptografia (VPN) para conseguir acesso ao sistema.Felizmente, ao que parece, nenhum dado foi extraído. No entanto, a atuação do hacker não parou por aí. Isso porque, pouco tempo depois da invasão, ele publicou no YouTube um vídeo em que descrevia o passo a passo de como entrou no sistema do órgão.ReproduçãoHacker publicou o passo a passo da ação no YouTube. Foto: DANIEL CONSTANTE/ShutterstockApós a publicação do conteúdo, a rede social considerou que o envio ia contra as diretrizes da comunidade impostas pelo site. Por esse motivo, o vídeo foi removido, mas não antes de ser baixado e compartilhado por toda a internet.Em um comunicado enviado ao site Metrópoles, a controladoria ressalta que, "como medida imediata, a CGU adotou medidas preventivas pertinentes ao caso. Até o momento, não há indícios de comprometimento de serviços, sistemas e dados da Controladoria".Invasão do STJDois dias antes do acontecido com o site da CGU, o Superior Tribunal de Justiça (STJ) também foi vítima de um ataque hacker. A invasão se deu no ambiente virtual da Corte onde estão hospedados quase todos os sistemas do órgão.De acordo com um relatório obtido pela TV Globo e citado pelo G1, os técnicos inicialmente verificaram uma falha no sistema interno de proteção da rede. Após análise minuciosa, na mesma noite foram revelados indícios de invasão do sistema e "um arquivo com característica de vírus".Por precaução, todos os links de acesso à internet do STJ foram derrubados, e todas as contas que acessaram o sistema nas 24 horas antes do ataque foram bloqueadas. Na tarde desta quarta-feira (4), o site do tribunal encontra-se fora do ar. Ministros, servidores e estagiários foram orientados a não acessar os computadores ligados à rede do órgão.Segundo o presidente do STJ, ministro Humberto Martins, os prazos de processos foram adiados até a próxima segunda-feira (9). Entre as sessões que foram prejudicadas pelo ataque está a que analisaria um recurso do ex-presidente Luiz Inácio Lula da Silva no caso do triplex do Guarujá (SP), na Quinta Turma.Via: Metrópoles

from Olhar Digital :: Segurança https://ift.tt/32DOktP

Golpes envolvendo videogames aumentam com chegada do PS5

Com a aproximação do lançamento do novo PlayStation, cibercriminosos começaram a mostrar interesse em aplicar golpes envolvendo o novo dispositivo. De acordo com a Kaspersky, cerca de 130 sites ao redor do mundo utilizaram a marca para aplicar algum golpe.A maioria deles oferecia a pré-venda do PlayStation 5 exigindo pagamento antecipado ou solicitando dados pessoais para que, quando o console chegasse ao estoque, eles entrassem em contato. Em alguns casos, as páginas ofertavam a compra do novo videogame por um preço bastante inferior ao original.ReproduçãoO PS5 não foi o único a ser usado em golpes na internet. O console anterior, o PlayStation 4, também apareceu em fraudes. As páginas controladas pelos criminosos normalmente destacam que houve uma queda brusca de valor devido ao lançamento de uma nova versão. E isso é feito para atrair compradores desavisados. Para se proteger, a empresa destaca que os usuários devem sempre lembrar que "se algo na internet parece bom demais para ser verdade, provavelmente é fraude. Mensagens sobre ofertas e pré-vendas devem ser verificadas em fontes confiáveis e desaconselhamos clicar em links de e-mails ou naqueles enviados por apps de mensagem ou redes sociais".Golpe envolvendo a NetflixUm golpe que já vem sendo realizado ganhou uma nova versão. Cibercriminosos estão usando a Netflix com o objetivo de roubar dados do cartão de crédito dos assinantes do serviço. De acordo com a ESET, a campanha se distribui por meio de um e-mail com o assunto "Alerta de notificação".No corpo do e-mail, a mensagem informa sobre uma suposta dívida acumulada em nome da vítima, que pode levar à suspensão do serviço "caso não sejam tomadas medidas rápidas". A ideia é apelar para o imediatismo da ação para enganar o usuário, que pensa que não vai ter tempo de checar o problema antes de resolvê-lo.E-mail da campanha falsa que utiliza o nome da Netflix para enganar os usuários. Imagem: ESET/ReproduçãoAlgumas características, porém, entregam o golpe. O endereço de e-mail, embora inclua o nome da empresa que diz representar, não tem relação com o nome da marca – é só uma conta comprometida para utilizar o serviço de spam malicioso. A ESET ainda destaca a URL por trás do botão "ATUALIZE SUAS INFORMAÇÕES DE PAGAMENTO", que pode ser vista ao colocar o ponteiro do mouse sobre o botão, sem clicar. O link também não faz referência a um site oficial ou registrado pela marca.A combinação de dois idiomas (texto da página está em inglês enquanto a mensagem foi enviada em espanhol) é mais do que um alerta para qualquer usuário. O golpe busca roubar dados financeiros das vítimas ao solicitar que informem números completos de meios de pagamento utilizados ou de um novo cartão de crédito.Se a vítima seguir no golpe, logo após confirmar seus dados será encaminhada para uma mensagem, também em inglês, que indica que a conta foi reativada. Clicando em "Continuar", o usuário será redirecionado para a página oficial da Netflix, onde poderá "confirmar" que sua conta não está bloqueada (que nunca esteve, na verdade).

from Olhar Digital :: Segurança https://ift.tt/35lF67s

Malware fingia ser o Discord para roubar dados de usuários

Um malware que se passava por arquivo do Discord foi detectado por pesquisadores de segurança coletando informações de usuários do serviço de conversas e de navegadores da web como o Google Chrome e o Opera.A falha foi encontrada pela empresa de segurança Sonatype, que detalhou a descoberta em um post em seu blog oficial. Trata-se de um pacote npm malicioso chamado 'discord.dll', de execução de bibliotecas de JavaScript.O arquivo npm é um pacote de execução de JavaScript que tem como principal função a automatização de ações em sites, aplicativos e outros softwares digitais. Neste caso, o pacote se passava por um arquivo da plataforma Discord para acessar informações de usuários e desenvolvedores.ReproduçãoDiscord é uma popular plataforma de chat online, utilizada principalmente por gamers. Foto: Konstantin Savusia/Shutterstock Em seu post a Sonatype explica que o discord.dll é uma evolução de outra biblioteca maliciosa que também estava em npm, chamada 'fallguys'. "Esses pacotes intencionalmente maliciosos parecem estar fazendo coisas semelhantes ao pacote npm malicioso 'fallguys', descoberto em setembro (aquele que estava roubando arquivos de navegadores da web e de mensagens do Discord)."Além de atingir o aplicativo do Discord, o malware também consegue atacar os navegadores Google Chrome, Yandex Browser, Opera e Brave.Além de atacar os usuários se passando por outra plataforma, o discord.dll é mais complexo que seu antecessor. A Sonatype comenta que o pacote contém uma série de aplicações escondidas, que passam por baixo do radar de observadores. "O discord.dll é um componente do npm que conduz atividades maliciosas que são difíceis de detectar com antecedência. Ele também usa a dependência npm legítima do 'Discord.js' para distrair os pesquisadores de suas atividades ilegais."A base npm que abriga o arquivo já foi notificada de seu conteúdo malicioso e prometeu retirá-lo do ar dentro dos próximos dias. Os especialistas da Sonatype também relataram a presença de mais arquivos maliciosos na base npm que se encontra o discord.dll. Estes, a princípio, possuem arquivos executáveis (.exe), e podem ter outras finalidades maliciosas.Fonte: ZDNet

from Olhar Digital :: Segurança https://ift.tt/3nizW2m

Relembre as principais polêmicas envolvendo executivos de tecnologia

Eles estão entre as pessoas mais ricas do mundo, mas nem por isso deixam de entrar em enrascadas pelas suas próprias mãos. CEOs de grandes empresas de tecnologia deixaram de ser magnatas escondidos em escritórios para se tornarem celebridades da mídia – e com isso acabam pagando um certo preço.Como não poderia deixar de ser, o maior colecionador de polêmicas entre os executivos de Tecnologia é o bilionário sul-africano Elon Musk. CEO da Tesla, SpaceX e Boring Company, Musk já causou debates infindáveis nas redes sociais com declarações "inofensivas", como quando brincou que as famosas pirâmides do Egito teriam sido construídas por alienígenas, mas também dá opiniões potencialmente perigosas – especialmente recentemente, com seu comportamento negacionista em relação à Covid-19.Em 2018, quando um time de futebol e seu treinador ficaram presos em uma caverna na Tailândia, o mergulhador Vernon Unsworth afirmou que o submarino criado por Musk para ajudar no resgate era um "truque de relações públicas" e que ele deveria enfiá-lo "onde dói". O executivo pegou pesado na  resposta, chamou o Unsworth de "pedófilo" e acabou sendo processado - apesar de ter pedido desculpas e apagado o post na rede social. Posteriormente, Musk acabou vencendo o processo.Reprodução/FlickrAtualmente, Musk é o "rei" das polêmicas nas redes sociais. Imagem: Reprodução/FlickrEm julho deste ano, em meio à crise causada na Bolívia que acabou culminando com a renúncia do presidente Evo Morales, Musk acabou vendo um comentário seu usado em meio à guerra diplomática. Ao ser questionado sobre uma suposta participação no que teria sido um golpe de estado aplicado pelo governo dos Estados Unidos, ele respondeu: "vamos dar um golpe em quem nós quisermos, lide com isso". O tuíte foi usado por Morales como uma prova do suposto golpe, que teria sido motivado por uma jazida de lítio no país.Outro "clássico" recente de Musk envolve nada menos do que o nome do seu primeiro filho com a cantora Grimes. X Æ A-12 nasceu em maio deste ano, mas teve que ser rebatizado para se adequar às leis californianas. O símbolo Æ, lido como "ash" foi substituído por AE, enquanto o número 12 foi trocado por XII, sua versão em numeral romano. O garoto, cujo apelido é "baby X", agora chama-se X AE A-XII.Polemista "raiz"Porém, Musk só é a versão menos transloucada de outro polêmico executivo de tecnologia:  John McAfee. Fundador de uma das maiores empresas de segurança digital, o britânico já se envolveu (supostamente) com tráfico de drogas, fundou seu próprio partido político e concorreu à presidência dos EUA.Também um negacionista da gravidade da Covid-19, McAfee foi detido em um aeroporto na Noruega, quando tentava retornar da Catalunha para a Alemanha, por se recusar a substituir uma "máscara" em forma de calcinha de renda por um modelo "aprovado pelos médicos"."Visitei a Catalunha pouco antes da Europa proibir os catalães de viajar. Tentei retornar à Alemanha, mas minha entrada foi recusada. Eles exigiam que usássemos máscaras. Coloquei minha máscara de calcinha. Eles exigiram que eu a trocasse. Eu recusei. Confusão. Cadeia. Olho roxo. Libertado", contou o empresário no Twitter.ReproduçãoJohn McAfee e sua "máscara". Imagem: Reprodução/TwitterEm outra mensagem ele disse: "Minha máscara contra o coronavírus é o problema. Insisto que é a mais segura disponível, e me recuso a usar qualquer outra coisa - pelo bem da minha saúde".Em aventuras passadas, McAfee se ofereceu para descriptografar um iPhone para o FBI, na época em que a Justiça dos EUA emitiu um mandado que obriga a Apple a criar uma ferramenta para hackear o iOS. Na contramão dessa proposta, ele ofereceu US$ 100 mil a quem conseguisse hackear sua carteira digital Bitfi (o desafio teria como objetivo acabar com o mito de que "tudo pode ser hackeado").Para a surpresa de poucos, em outubro o empresário foi preso no aeroporto de Barcelona, na Espanha, ao tentar embarcar para Istambul, na Turquia. McAfee foi indiciado por fraude e sonegação de impostos e aguarda extradição para os EUA. Ele teria utilizado vários métodos de evasão fiscal, incluindo o uso de contas de criptomoedas, e compras de imóveis, um iate e um carro em nome de terceiros.Outros executivos de TI até se metem em confusões, mas em um grau bem menor. Larry Ellison, ex-CEO da Oracle e sétima pessoa mais rica do mundo, já pagou detetives particulares para vasculhar o lixo de uma empresa que trabalhava com a rival Microsoft, na época sob uma investigação antitruste. Ele também teria comprado a casa vizinha a sua por US$ 40 milhões porque as árvores estavam bloqueando sua vista.Algumas ações parecem mesmo jogada de marketing, como quando o fundador do Twitter, Jack Dorsey, enviou tufos dos pelos da sua barba para a rapper Azealia Banks fazer amuletos de proteção contra o Estado Islâmico. A ideia era que a artista (que aparentemente também é bruxa) ajudasse o executivo em troca da divulgação de um álbum. O negócio não teria avançado.Embora hoje passe uma ideia de estoicismo e controle, Mark Zuckerberg também teve seus anos de polêmica. O fundador do Facebook chegou a dizer, nos primeiros anos da empresa, que os usuários do site eram "idiotas" por "confiar" seus dados a ele. Em meio a acusações sobre como sua rede não bania conteúdos negacionistas do Holocausto, Zuckerberg afirmou que embora fosse judeu e achasse isso "profundamente ofensivo", ele não achava que essas crenças deveriam ser censuradas na plataforma.Via: TechAdvisor

from Olhar Digital :: Segurança https://ift.tt/3kihncp

Campainha da Ring pega fogo, machuca oito pessoas e sofre recall nos EUA

Na noite de terça-feira (10), a Ring anunciou o recall de cerca de 350 mil campainhas inteligentes nos Estados Unidos após 23 relatos de que algumas delas pegaram fogo. Há relatos de danos leves à propriedade e oito pessoas tiveram queimaduras leves. A empresa é de propriedade da Amazon.Segundo a CPSC (sigla em inglês para Comissão de Segurança de Produtos de Consumo dos EUA), os dispositivos apresentam risco potencial de incêndio relacionado à bateria. No aviso emitido, é apontado que a campainha pode superaquecer quando são usados parafusos incorretos na instalação.De acordo com o órgão, 85 relatos de incidentes foram recebidos de pessoas que utilizaram parafusos incorretos. "Os consumidores devem parar imediatamente de instalar as campainhas de vídeo em recall", diz. O recall contempla o modelo Ring Video Doorbell (2ª geração). Usuários podem confirmar se o modelo utilizado é compatível no site ou app da empresa.ReproduçãoDispositivo da Ring pode ser usado para ver quem bate na porta de usuários e vigilância doméstica. Imagem: Ring/ReproduçãoA Ring, em comunicado, informou que vem trabalhando em conjunto com o CPSC e que tem entrado em contato com os clientes que compraram o dispositivo "para garantir que receberam o manual do usuário atualizado e seguir as instruções de instalação do dispositivo".Preocupações sobre vigilânciaO modelo de campainha inteligente em questão foi vendido de junho de 2020 até outubro pelo preço aproximado de US$ 100, cerca de R$ 539 em conversão direta. Ele é produzido na China e importado pela Ring, que tem sede nos Estados Unidos. O recall também abrange as cerca de 8.700 unidades vendidas no Canadá.Os dispositivos da Ring, como o Ring Video Doorbell (2ª geração), possuem uma câmera para segurança doméstica. Ela pode monitorar varandas e a parte da frente das casas, sendo controlada por um aplicativo.Os dispositivos da Ring têm enfrentado problemas quanto à segurança e privacidade de usuários. Já foram emitidas diversas complicações de segurança de dados no passado, além de considerações quanto ao uso deles para projetos de vigilância.Via: Business Insider

from Olhar Digital :: Segurança https://ift.tt/3kfZHhG

Maior vulnerabilidade do PIX é o usuário, alertam especialistas

O PIX, novo sistema de pagamentos instantâneos do Banco Central (BC), começou a dar seus primeiros passos no Brasil. No entanto, alguns usuários ainda questionam a segurança da plataforma. Segundo especialistas, o maior risco não está na tecnologia em si, e sim no usuário. É o fator humano.A etapa de testes do PIX vai até o próximo dia 15. A partir do dia 16 de novembro, o sistema já entrará em funcionamento completo. Alternativa ao DOC e TED, o PIX é um sistema de pagamentos instantâneo, que funcionará todos os dias do ano e 24 horas por dia. Quem deseja utilizar a plataforma pode cadastrar e-mail, CPF ou número de celular como chave. Também é possível usar um identificador numérico único ou dados de agência e conta. Até o início de novembro, o sistema já tinha 60,6 milhões de chaves cadastradas, sendo 2,4 milhões para pessoas jurídicas e 58,2 milhões para pessoas físicas, segundo levantamento do BC.Especialistas em cibersegurança da BugHunt, plataforma brasileira de Bug Bounty (programa de recompensa por identificação de erros) e da Compugraf, provedora de soluções de segurança da informação e privacidade de dados, afirmam que, por ser uma forma simplificada de identificação, o PIX conta com as mesmas soluções de segurança do Sistema Financeiro Nacional (que servem também para DOC e TED). Além disso, as transações contam com camadas de segurança para autenticação oferecidas pelos próprios bancos dos dispositivos móveis, como reconhecimento facial e biometria.ReproduçãoO elo mais fraco a ser explorado por criminosos é o lado do usuário, segundo especialistas. Imagem: Nattakorn Maneerat/Shutterstock“Essas transações atuais, assim como o PIX, possuem controles rigorosos de cibersegurança, porém, isso não impede golpes e fraudes, visto que ainda resta o fator humano", explica Caio Telles, engenheiro de Software e CEO da BugHunt. "Então, a tendência é que ocorram tentativas de golpes e fraudes explorando as pessoas, e, por ser um serviço novo para todos, existe um risco direto associado”.O chefe de Cibersegurança da Compugraf, Denis Riviello, concorda com essa visão, e afirma que a principal vulnerabilidade do PIX está no elo mais fraco - o usuário. Isso envolve desde fraudes no cadastro das credenciais até roubo dos dados após o sistema estar em funcionamento. “Os bancos têm investido muito na nova plataforma, em termos de segurança, uma vez que possuem anos de experiência nesse setor e sabem como a criatividade dos fraudadores é grande", diz Riviello. "Porém, os cibercriminosos podem se aproveitar dos dados desta chave (CPF, e-mail e celular) para ludibriar os usuários”.ReproduçãoUsuários devem se atentar ao QR Code para não cair em golpes. Imagem: Divina Epiphania/ ShutterstockEm outras palavras, as falhas do PIX podem atingir clientes e instituições da mesma forma que outros serviços atingem atualmente. Segundo os especialistas, a maior parte dos golpes explora o lado do usuário, como invadir o computador e coletar informações da conta de alguém, por exemplo. “Os sistemas das instituições financeiras seguem rígidas regras de segurança, que são testadas e aprimoradas constantemente, o que torna muito improvável uma invasão ou dano diretamente no ambiente tecnológico da instituição, aumentando a vulnerabilidade no lado do usuário”, resume Telles.Com tantos mecanismos de segurança, os ataques partem para o usuário, que pode ser enganado e levado a um site fraudulento, com um QR Code de pagamento falso via PIX. “O QR Code é um atalho para a chave que identifica o dono da conta que irá receber o valor. Caso seja alterado por um QR Code de outra conta, o valor será disponibilizado em conta diferente", explica Telles. "É preciso estar atento às confirmações das informações e, sempre que perceber qualquer inconsistência, o usuário não deverá efetivar e confirmar qualquer pagamento”.Outro tipo de fraude pode acontecer durante o cadastro das chaves por meio de emails falsos e da captura da identidade das pessoas por meio de golpes, aproveitando-se do fator instantâneo da negociação. É o que acontece com os golpes de engenharia social aplicados atualmente.Para Telles, os bancos devem cuidar de seu ambiente tecnológico para evitar ataques e manter sua reputação e a privacidade de seus clientes. Riviello, por sua vez, recomenda aos usuários finais muita atenção ao compartilhar sua chave PIX e seus dados bancários. “Vale lembrar que as transações por meio do Pix são protegidas pela Lei n° 105/2001, do Sigilo Bancário, e também a Lei Geral de Proteção de Dados (n° 13.709/2018)”, conclui ele.

from Olhar Digital :: Segurança https://ift.tt/36sCmo0

Comissão dos EUA afirma que Zoom 'enganou usuários' sobre segurança

A Comissão Federal de Comércio dos Estados Unidos (Federal Trade Commission, ou FTC) anunciou hoje um acordo com a Zoom Video Communications que exigirá que a empresa implemente um programa mais robusto de segurança. De acordo com o órgão, a companhia "enganou os usuários" por anos ao anunciar que oferecia "criptografia ponta a ponta de 256 bits" como proteção.As chaves criptográficas mantidas pelo Zoom, porém, poderiam permitir que a empresa tivesse acesso ao conteúdo das reuniões de seus clientes. 'Durante a pandemia, praticamente todos - famílias, escolas, grupos sociais e empresas - estão usando videoconferência para se comunicar, tornando a segurança dessas plataformas mais crítica do que nunca", afirmou o Diretor do Bureau de Proteção ao Consumidor da FTC, Andrew Smith.A FTC ainda afirma que o Zoom também enganou alguns usuários que queriam armazenar reuniões gravadas na nuvem, garantindo que esses vídeos seriam criptografados imediatamente após o término da videoconferência. "Em vez disso, algumas gravações supostamente foram armazenadas sem criptografia por até 60 dias nos servidores do Zoom antes de serem transferidas para seu armazenamento seguro em nuvem", afirma o órgão.Um porta-voz da Zoom disse em um comunicado enviado por e-mail ao site The Verge que a segurança de seus usuários é uma prioridade e que já tratou dos problemas discutidos com a FTC. "A resolução está de acordo com nosso compromisso de inovar e aprimorar nosso produto, pois oferecemos uma experiência de comunicação de vídeo segura", diz a declaração.ReproduçãoA criptografia de ponta a ponta  que aprimora a privacidade das vídeo chamadas, só foi implementada no Zoom recentemente. Imagem: Ymphotos/ShutterstockComo parte do acordo com a FTC, o Zoom deve documentar anualmente quaisquer riscos potenciais de segurança interna e externado seu sistema, além de desenvolver formas de proteção contra tais riscos. A empresa ainda terá que implementar um programa de gerenciamento de vulnerabilidade e implantar salvaguardas, como autenticação em múltiplos fatores, para proteger contra acesso não autorizado à sua rede."Além disso, a equipe do Zoom será solicitada a revisar todas as atualizações de software em busca de falhas de segurança e deve garantir que as atualizações não prejudiquem os recursos de segurança de terceiros", determinou a FTC. A empresa também está proibida de fazer "declarações falsas sobre suas práticas de privacidade e segurança".Só no fim de outubro a Zoom Technologies confirmou que as vídeo chamadas realizadas por meio de seu app contariam com a criptografia de ponta a ponta (E2E, ou "end to end", no jargão em inglês). Denúncias sobre propaganda enganosa da empresa chegaram ao seu ápice após uma reportagem do The Intercept, que revelou que o Zoom prometia, em seu site e white paper, a criptografia de ponta a ponta, mas não a entregar no uso do app.Desde então, o CEO da Zoom Technologies, Eric Yuan, tomou uma série de atitudes comprometidas com o aprimoramento do serviço, como contratar a consultoria de Alex Stamos, ex-chefe de segurança do Facebook e Yahoo. A partir daí, diversas atualizações ao serviço inseriram novos recursos de privacidade.A criptografia de ponta a ponta do Zoom vale para usuários gratuitos e pagantes, e está sendo implementada de forma gradual.Via: FTC/The Verge

from Olhar Digital :: Segurança https://ift.tt/3keO8HH

Ação do FBI derruba site que oferecia 23 mil bancos de dados pessoais

Na última semana, um site que armazenava 23.600 banco de dados pessoais foi supostamente fechado pela polícia e pela justiça americana, depois que as informações armazenadas vazaram em diversos fóruns hackers e em canais do aplicativo Telegram. No entanto, há quem acredite que a operação é apenas mais um golpe dos criadores da página.O Cit0day funcionava como uma espécie de assinatura ilegal. Hackers faziam pagamentos mensais em troca de informações pessoais de internautas, como nome, e-mail, endereço e até senhas não criptografadas.Depois que as informações vazaram, uma ação do FBI, a polícia federal americana, e do DOJ, o departamento de Justiça do país, interceptaram o domínio. Após o evento, o site exibia imagens das duas instituições federais e o aviso de que a página havia sido fechada.O criador do site foi identificado pelo codinome Xrenovi4 e, aparentemente, foi preso na ação. No entanto, especialistas apontam que tudo isso, inclusive a operação policial, pode ser uma fraude armada pelo próprio criminoso.Conforme explica Raveed Laeb, gerente de produtos da KELA, uma das principais empresas de inteligência digital, existem sinais que mostram que o aviso de apreensão do site é falso e que ele foi copiado de verdadeiras ocorrências policiais anteriores.ReproduçãoAo acessar o site, a página exibe a informação de que ele foi derrubado pelo FBI. Foto: ZDNetPara ele, o banner de remoção do site foi reproduzido da ação da polícia contra o site Deer.io, uma plataforma com métodos semelhantes, que foi editado para fazer parte do Cit0day, posteriormente.Soma-se a isso o fato de que o FBI não anunciou nenhuma operação contra o site ilegal, na contramão do que normalmente o departamento faz. Além disso, um porta-voz da polícia se negou a comentar o caso ou confirmar qualquer investigação desse tema.FBI já fechou marketplace de contas hackeadasEm março deste ano, a polícia americana prendeu um cidadão russo que estava por trás do Deer.io, uma plataforma que já foi considerada como um marketplace para crimes cibernéticos, com compra e venda de contas hackeadas.Identificado como Kirill Victorovich Firsov, o homem foi preso no Aeroporto John F. Kennedy, em Nova York, por meio de um mandato expedido pela polícia da Califórnia.Segundo os órgãos oficiais, no site, era possível hospedar lojas online para venda de dados pelo preço mensal de US$ 12 (cerca de R$ 65). Nestes termos, calculou-se que o criminoso já havia faturado mais de US$ 17 milhões (cerca de R$ 91 milhões) com as mais de 24 mil lojas existentes.Os agentes policiais afirmaram que durante a investigação conseguiram fazer a aquisição de diversos dados hackeados por meio das lojas hospedadas no Deer.io e isso confirmou que o site vendia informações autênticas.Fonte: ZDNet

from Olhar Digital :: Segurança https://ift.tt/3lk34FM

Ghimob: trojan envia links falsos de dívidas para invadir celulares

Especialistas em cibersegurança descobriram um trojan bancário cujas campanhas massivas estão ativas principalmente no Brasil. O Ghimob deriva da versão móvel do Guildma e infecta celulares quando usuários clicam em links falsos de pagamentos de dívidas enviados por e-mail.Os alvos do ataque, que se estende a outros países da América Latina, África e Europa, são corretoras de valores e de criptomoedas, fintechs e bancos.Ao ser instalado em um smartphone, o trojan de acesso remoto (RAT - Remote Access Trojan) envia mensagens ao cibercriminoso com detalhes do aparelho infectado, informações da tela de bloqueio de segurança e a lista de aplicativos instalados. Assim, o Ghimob atua como um espião e fornece o que um hacker precisa para acessar as aplicações de bancos e prejudicar os usuários.Pxhere/ReproduçãoCelulares podem ser infectados quando o usuário abre uma mensagem sobre dívida e clica em um link malicioso. Imagem: Pxhere/Reprodução “Um trojan com alcance global para realizar fraudes no mobile banking era um desejo de longa data dos cibercriminosos latino-americanos. Já tivemos o Basbanke e o Brata, mas estes atuam mais focados no mercado brasileiro. Por isso, o Ghimob é o primeiro pronto para ser internacionalizado e acreditamos que isso não vá demorar, uma vez que ele compartilha a mesma infraestrutura do Guildma”, comenta Fabio Assolini, especialista de segurança da Kaspersky no Brasil. Infecção de smartphonesOs cibercriminosos usam o trojan para acessar remotamente o aparelho infectado e fazer transações em nome da vítima. Em comparação com o Brata ou Basbanke, outra família de trojans bancários móveis originária do Brasil, Ghimob é muito mais avançado e mais rico em recursos.Quando o dono do celular clica no e-mail malicioso recebido, o instalador GHimob APK é baixado e, caso seu downloado seja aceito, a instalação começa. Kaspersky/ReproduçãoE-mail com link malicioso engana o usuário ao se passar por cobrança de dívida. Imagem: Kaspersky/Reprodução O Ghimob também pode destravar o celular, mesmo que o dono do aparelho tenha definido uma senha ou um padrão de desenho de bloqueio. Assim, consegue evitar a detecção de fraude por tecnologias, como fingerprint e um sistema antifraude (detecção por comportamento do usuário). No momento em que as transações estão em curso, os hackers inserem uma tela preta, branca ou algum site em tela cheia para mascarar a atividade. “A tela preta ainda é usada para forçar a vítima a usar a biometria para destravar a tela e, assim, roubar esta forma de autenticação”, alerta Assolini. Kaspersky/ReproduçãoMapa mostra lugares onde ocorreram ataques do Ghimob. Imagem: Kaspersky/Reprodução De acordo com os especialistas em cibersegurança, o que chama ainda mais a atenção no caso do Ghimob é a lista extensa de aplicativos que podem ser espionados, que chega as 153 aplicações móveis. Apenas no Brasil, 112 apps de instituições financeiras podem ter suas credenciais de seus clientes roubadas. Para complicar o cenário, a ameaça pode afetar 13 apps de criptomoeda de diversos países e nove aplicações de sistemas internacionais de pagamento.Além disso, também não estão livres o mobile banking de instituições que operam na Alemanha (5), Portugal (3), Peru (2 ), Paraguai (2), Moçambique (1) e Angola (1).“Recomendamos que as instituições financeiras acompanhem essas ameaças de perto para aprimorar seus processos de autenticação e tecnologias antifraudes com dados de inteligência de ameaças. Compreender sua ação é a maneira mais eficaz de mitigar os riscos desta nova família de RAT móvel”, destaca Assolini. 

from Olhar Digital :: Segurança https://ift.tt/3n9zpzx

Após ataque hacker, Judiciário anuncia comitê de segurança digital

Em resposta ao ataque hacker sofrido pelo Superior Tribunal de Justiça (STJ) na última terça-feira (3), o Conselho Nacional de Justiça (CNJ) estuda a implementação de um comitê cibernético para monitorar a segurança dos sistemas eletrônicos dos tribunais.O anúncio foi feito pelo presidente do Supremo Tribunal Federal (STF), Luiz Fux, nesta segunda-feira (9). O ministro afirmou que ainda discute o modelo do comitê com assessores, e que a iniciativa será formalizada em reunião do CNJ nesta terça-feira (10).Fux reverberou a opinião de especialistas ao indicar que o evento da última semana mostrou a urgência de uma preocupação maior, por parte do governo, com a segurança digital. Ele disse ter ajuda do ministro Humberto Martins, presidente do STJ, para se debruçar sobre o caso e pensar em futuras medidas de proteção."Nós vamos criar um Comitê Cibernético de Proteção à Justiça Digital do Poder Judiciário, com parceria de todas as entidades que têm expertise sobre esse tema", afirmou. "Então, todas as entidades que fizeram parceria com o ministro Humberto Martins farão com o CNJ".ReproduçãoMinistro Luiz Fux reforçou a importância da segurança digital nos sistemas eletrônicos do Judiciário. Imagem: Nelson Jr./SCO/STFJulgamentos por videoconferênciaA fala de Fux ocorreu durante sessão online que discutia o projeto "Juízo 100% Digital", que prevê a realização de todos os atos processuais por meio eletrônico e de forma remota. Isso inclui a possibilidade (facultativa) de julgamentos e audiências feitos por videoconferência, ficando a cargo de cada tribunal decidir se adota o sistema.Naturalmente, este é mais um motivo para o investimento em segurança digital. Estima-se que a interdição do STJ por conta do ataque tenha impossibilitado o julgamento de 12 mil processos.Na última quinta-feira (5), o presidente Jair Bolsonaro (sem partido) afirmou no Twitter que a Polícia Federal já identificou o hacker responsável pela invasão. "Já descobriram quem é o 'hackeador' (sic). Já descobriram? Pô, o cara hackeou e não conseguiu ficar aí duas horas escondido", disse.A informação foi confirmada no dia seguinte à TV Globo pelo delegado Rolando Alexandre de Souza, diretor-geral da Polícia Federal. Segundo Bolsonaro, Rolando foi elogiado por Humberto Martins por seu desempenho à frente do caso.Em nota emitida na última semana, a Polícia Federal diz avaliar a extensão do ocorrido, além de buscar restabelecer a rede por meio de diligências adotadas com a participação de peritos do STJ. Fonte: Globo

from Olhar Digital :: Segurança https://ift.tt/38vgnQc

Celulares Android antigos podem ter problemas com sites seguros em 2021

Smartphones Android com versões antigas do sistema operacional podem ter problemas para acessar sites seguros a partir de setembro de 2021. Isso porque o acordo entre a Let’s Encrypt e a IdenTrust vai chegar ao fim. Modelos com versões anteriores à 7.1.1 devem ser atingidos.Conexões seguras a sites ou serviços dependem de certificados de segurança, que são emitidos por autoridades de certificação como a Let’s Encrypt e a IdenTrust. Essas empresas assinam as operações com seu certificado raiz.Quando o sistema do aparelho não reconhece esse certificado raiz nativamente, as conexões seguras a sites que os usam falham. Segundo o Android Police, o certificado raiz da Let’s Encrypt é usado em 30% dos sites seguros na web. Um acordo com a IdenTrust garantir que essas páginas fossem acessadas pelos aparelhos com versões antigas do sistema.A lista de certificados reconhecidos pelo Android só pode ser modificada com uma atualização, o que não é uma opção para muitos aparelhos antigos. De acordo com a Let’s Encrypt, 33,8% dos smartphones Android em uso têm versões do sistema operacional anteriores à 7.1.1.Uma solução temporária é usar o navegador Firefox, que tem sua própria base de certificados e funciona em qualquer versão do Android superior à 5.0. Já os apps que usam o navegador do sistema para exibir conteúdo vão deixar de funcionar. A solução definitiva é trocar o smartphone por um que tenha a versão mais recente do Android.

from Olhar Digital :: Segurança https://ift.tt/3eJqAcF

FBI emite alerta sobre roubo de código-fonte

O FBI publicou em seu site um alerta a empresas e agências governamentais dos EUA, avisando que hackers estão se aproveitando de falhas de configuração de uma ferramenta chamada SonarQube, usada para detectar bugs e falhas de segurança em programas, para roubar código-fonte.O problema, segundo o FBI, é que muitas empresas deixam suas instâncias do SonarQube expostas à web, com credenciais de login (usuário admin, senha admin) e portas (9000) padrão. Os hackers usam estes dados para fazer login na ferramenta e, a partir dela, acessar repositórios de código-fonte em serviços como o GitHub, BitBucket, GitLab e outros.Estes repositórios são usados por empresas para centralizar o desenvolvimento de software, permitindo que vários programadores trabalhem em um projeto simultâneamente, sem risco de conflitos.O código-fonte roubado pode ser analisado em busca de segredos de mercado, para dar uma vantagem competitiva a um concorrente ou para determinar falhas de segurança ou “brechas” que possam ser usadas em um ataque em busca de informações confidenciais.VítimasDe acordo com a agência, os “vazamentos” de código-fonte relacionados ao SonarQube começaram a ser identificados em abril deste ano, e a ferramenta é usada por agências do governo dos EUA e também por empresas privadas em setores como tecnologia, finanças, varejo, alimentação, e-commerce e manufatura.A agência relata dois casos de roubo de código-fonte: um em julho, quando um indivíduo roubou código de várias empresas e o divulgou em um repositório público, e outro em agosto, quando duas organizações foram afetadas. Os nomes das vítimas não foram divulgados.Como se prevenirO FBI recomenda que usuários do SonarQube mudem a configuração padrão, incluindo o nome de usuário e senha do administrador e porta na qual o serviço responde. Também sugere que instâncias sejam colocadas atrás de uma tela de login, e que tentativas de acesso não autorizado sejam monitoradas.Além disso, se possível as chaves de API (API Keys) usadas por outros apps para acessar o SonarQube (e vice-versa) devem ser revogadas, e novas chaves emitidas. Por fim, recomenda que instâncias do SonarQube sejam colocadas atrás de um firewall corporativo e outras “defesas de perímetro”, para impedir acesso não autorizado.Fonte: FBI

from Olhar Digital :: Segurança https://ift.tt/38yCIfo

Windows 10, iPhone 11 e Android 10 são burlados em evento de hacking

A edição de 2020 da competição TianfuCup de hacking da China chegou ao fim no último domingo (8). A equipe que mais se destacou foi a 360 ESG Vulnerability Research Institute, que recebeu cerca de US$ 744 mil em bônus – aproximadamente R$ 3,9 milhões. Neste ano, os organizados citam que foram usados alvos difíceis, mas o nível de exploração foi alto.Participaram da competição 15 equipes de hackers chineses. Elas tiveram três tentativas de cinco minutos para invadir um alvo selecionado usando um exploit. As equipes receberam quantias em dinheiro de acordo com o alvo e tipo de vulnerabilidade explorada. Como disse a organização do evento, muitos dos softwares foram hackeados usando novos exploits.De acordo com os organizadores, "11 dos 16 alvos foram explorados com 23 demonstrações bem sucedidas". Entre os sistemas invadidos na competição, destacam-se nomes populares como:Windows 10 v2004 (atualização de abril de 2020)Samsung Galaxy S20 com Android 10iPhone 11 Pro com iOS 14 (exploit do Safari)UbuntuMozilla FirefoxRoteador Asus RT-AX86UCentOS 8Adobe PDF ReaderGoogle ChromeQEMUVulnerabilidades serão corrigidasTodas as vulnerabilidades exploradas na competição foram relatadas às empresas que fornecem os respectivos softwares, respeitando códigos de ética e o regulamento do concurso. Os patches de correções de bugs demonstrados na TianfuCup deverão ser fornecidos nas próximas semanas.ReproduçãoCompetidores tiveram rodadas de cinco minutos para conseguir hackear algum sistema específico. Imagem: TianfuCup/ReproduçãoA competição ainda premiou o segundo lugar, o time da AntFinancial Lightyear Security Lab, com US$ 258 mil. O terceiro lugar, um pesquisador de segurança chamado Pang, recebeu US$ 99 mil em premiação. No total, a edição deste ano premiou US$ 1,2 milhão às equipes participantes.O evento aconteceu no último final de semana com hackers white hat (hackers éticos). A ideia central foi a exploração de navegadores web de forma remota, usar falhas nos softwares para controlar os navegadores ou os próprios sistemas operacionais.Via: ZDNet

from Olhar Digital :: Segurança https://ift.tt/32sE87q

Celulares Android antigos terão problemas com sites seguros em 2021

Smartphones Android rodando versões antigas do sistema operacional, anteriores à 7.1.1, conhecida como "Nougat", poderão ter problemas ao acessar sites seguros a partir de setembro de 2021. Isso por causa do fim de um acordo entre a Let's Encrypt e a IdenTrust, duas autoridades de certificação.Uma conexão segura (via https://, por exemplo) a um site ou serviço depende de um certificado de segurança, que grosso modo é como uma "carteira de identidade" e garante que o site sendo acesso é quem diz ser. Estes certificados são emitidos por empresas chamadas autoridades de certificação (CA - Certificate Authority). Cada certificado emitido por uma CA é assinado com o "certificado raiz" da empresa.Pense em um contrato de locação do imóvel. Ele precisa ser assinado pelo locatário e a assinatura precisa ser validada em um cartório. A assinatura do locatário seria o certificado do site, e a "chancela" do cartório o certificado raiz.Medida temporáriaQuando foi fundada, em 2015, a Let's Encrypt emitiu seu certificado raiz, o ISRG Root X1. Mas até que ele fosse reconhecido e adotado pelos principais sistemas operacionais do mercado, estabeleceu uma parceria com a IdenTrust para que esta atuasse como sua "fiadora", assinando seu novo certificado com outro, o DST Root X3.Quando um aparelho rodando um sistema que ainda não reconhece o ISRG Root X1 nativamente encontra um site ou serviço com este certificado, ainda pode validar a conexão usando o DST Root X3. Mas este irá expirar em 1º de setembro de 2021.Reprodução33,8% dos smartphones Android em uso ainda rodam versões do sistema anteriores à 7.1.1 "Nougat".Isso significa que em aparelhos rodando sistemas operacionais que não reconhecem nativamente o ISRG Root X1, como versões do Android anteriores à 7.1.1, as conexões seguras a sites usando os certificados da Let's Encrypt irão falhar. E segundo o site Android Police eles são usados em 30% de todos os sites seguros na Web.Infelizmente, a lista de certificados reconhecidos pelo Android é parte do sistema operacional e só pode ser modificada com um atualização de sistema, algo que não é uma opção para muitos dos aparelhos antigos. De acordo com a Let's Encrypt, 33,8% dos aparelhos Android em uso rodam versões Android anteriores à 7.1.1.Uma solução temporária para os proprietários destes aparelhos é usar o navegador Firefox, que roda em qualquer versão do Android superior à 5.0 e tem sua própria base de certificados. Isso, entretanto, não resolve a situação de apps que usam o navegador embutido no sistema para exibir conteúdo. Nestes casos, eles deixarão de funcionar. A solução definitiva é trocar o smartphone por um modelo com uma versão mais nova do Android.Fonte: AndroidPolice

from Olhar Digital :: Segurança https://ift.tt/32plVrC