Pesquisador apresenta novo ataque que ameaça sistemas DNS - Segurança

Um físico russo, que deveria estar morrendo de tédio, conseguiu piratear o patch feito de urgência recentemente para corrigir a falha do DNS que todo o mundo está falando.

Evgeniy Polyakov usou dois computadores e uma conexão banda larga para enganar o patch e provocar um redirecionamento para um site falso, tudo isso em apenas 10 horas de trabalho.

Segundo E. Polyakov, um ataque de servidor gera aproximadamente 40'000 a 50'000 respostas falsas antes de cair na correta. Ele também notou que se o bom port é encontrado "a probabilidade de envenenamento DNS efetivo é superior à 60%".

Os especialistas em segurança que foram avisados sobre este hack conseguiram reproduzí-lo e previnem a comunidade de que o patch pode ser efetivamente explorado para redirecionar o tráfego internet de um site de e-banking, por exemplo, para um site falso onde os piratas podem então roubar as senhas dos usuários.

O pirata explica no seu blog os detalhes técnicos do hack e acrescenta que a extensão DJBDNS também é vulnerável a esta falha.

Parece que a extensão de segurança DNSSec é a melhor solução imediata, na espera de uma melhor. Solução que já foi aplicada por vários governos.

Framingham - Código de russo mostra como é possível explorar falha, que não é grave, para inserir dados falsos nos sistemas da internet.

Os servidores do sistema de nomes e domínios na internet (DNS, do inglês Domain Name System), afetados por um código malicioso em julho, ainda não foram completamente recuperados por correções, afirmou um pesquisador russo na sexta-feira (08/08).

Evgeniy Polyakov mostrou um código que, ao explorar uma falha no DNS, torna possível a inserção de dados falsos em sistemas que usam a versão mais atualizada do software open source BIND (Berkeley Internet Name Domain), que roda a maioria dos servidores DNS da web.

Esta versão é a BIND 9.5.0-P2, lançada no dia 2 de agosto como um complemento da atualização inicial, divulgada em 8 de julho, quando o pesquisador Dan Kaminsky revelou a falha no DNS e coordenou seu ajuste.

Ambas as atualizações incluíram a randomização das portas do servidor para reduzir as probabilidades de “envenenamento de cachê”, termo usado para descrever os ataques que têm relação com a maneira com que clientes e servidores DNS obtém dados de outros servidores DNS na internet.


Segundo a demonstração da falha feita por Polyakov, contudo, é possível inserir instruções maliciosas em um servidor DNS rodando o BIND 9.5.0-P2. Para tal, foram necessárias 10 horas e dois PCs conectados ao servidor via uma rede Gigabit Ethernet (GigE).

Segundo o presidente do Internet Software Consortium, Paul Vixie, a ameaça mostrada por Polyakov é pequena em comparação com a facilidade com que os atacantes podem ‘envenenar’ os cachês de servidores DNS desatualizados.

“Qualquer servidor DNS com um firewall pode suavizar o ataque de Polyakov”, explica Vixie. “E, em algum ponto, o ISC precisará incluir esta ação no BIND, é claro.”

O próprio pesquisador russo disse que há pouco para se preocupar em relação ao problema.

Fonte: IDG NOW

Crackers divulgam código malicioso que explora falha no sistema DNS

São Francisco - Metasploit coloca nas mãos de crackers código que pode direcionar usuários de URLs legítimas para servidores maliciosos.

Crackers divulgaram um software que explora uma falha recentemente descoberta no sistema de nomes e domínios da internet, chamado de DNS, usado para trafegar mensagens entre micros conectados à rede.

O código foi divulgado nesta quarta-feira (23/07) pelos desenvolvedores do kit de ferramentes Metasploit.

Analistas de segurança alertam que este código pode dar a criminosos uma maneira de lançar ataques de phishing quase imperceptíveis contra internautas cujos provedores não tenham instalado os patches para DNS.

Crackers também poderiam usar o código para redirecionar silenciosamente usuários para servidores falsos de atualização de software, os forçando a baixar programas maliciosos, afirmou o diretor técnico da Symantec Zulfikar Ramizan.

A potencial ameaça é uma variação do que é conhecido como ataque de envenenamento de cachê, que tem relação com a maneira como clientes e servidores DNS obtêm informações de outros servidores DNS na internet.
Quando o software DNS não conhece o endereço número de um PC, ele pede a informação a outro servidor. Com o ataque, o cracker engana o DNS, fazendo-o acreditar que domínios legítimos, como idgnow.com.br, levam a IP maliciosos.

Na descrição feita pelo descobridor da falha, o pesquisador da IOActive Dan Kaminsky, o envenenamento de cachê também inclui o que é conhecido como dados ¨registro de recurso adicional¨. Ao adicionar tal informação, o ataque se torna ainda mais poderoso, já que poderia ser feito contra servidores de domínios de provedores, os redirecionando a conteúdo malicioso.

Ao ¨envenenar¨ o registro de URL de um banco, por exemplo, crackers poderiam redirecionar o tráfego de um provedor à instituição para uma página falsa bastante semelhante que coletaria informações pessoais dos clientes.

Na segunda-feira (21/07), consultoria Matasano publicou acidentalmente detalhes da falha no seu site. A companhia rapidamente tirou o post do ar, mas já era tarde. Detalhes da falha se espelharam pela internet.

Ainda que uma correção de software esteja disponível para a maioria dos usuários de servidores DNS, pode levar tempo até que estas atualizações passem pelos processos de teste e instalação.

¨A maioria das pessoas ainda não corrigiu o problema¨, afirmou o presidente da ISC, Paul Vixie. ¨Este é um problema gigante para o mundo¨.

O código da Metasploit parece ¨bem real¨ e usa técnicas que não estavam documentadas anteriormente, afirma o chief technology officer da Trusteer, Amit Klen. Ataques com a ferramenta foram classificados como prováveis, segundo ele.

Fonte: IDG NOW

Vazamentos de dados em 2008 já superam 2007

Segundo o Identity Theft Resource Center (ITRC), em oito meses, já foram reportados 449 vazamentos, três a mais que o ano passado todo

Com quatro meses para acabar o ano, o número de vazamentos de dados reportados em 2008 já batem o número de 2007. Segundo o Identity Theft Resource Center (ITRC), neste ano, 449 vazamentos foram reportados, contra 446 em todo o ano passado. Apesar de achar o número assustador, Linda Fouley, fundadora do ITRC, nota que sua organização e outras, estão recebendo mais informações sobre vazamentos, e que, ao contrário de indicar uma deterioração na segurança dos sistemas, isto mostra que os auditores de segurança das empresas estão melhores em descobrir sistemas comprometidos. O ITRC pontua que o número de vazamentos é provavelmente maior do que 449, já que muitas empresas não os divulgam, ou colocam diferentes eventos como um único acontecimento. Segundo a instituição, em 40% dos casos, o número de registros afetados não é informado ou completamente divulgado. Em junho, depois do lançamento de uma pesquisa sobre segurança da Verizon, Bryan Sartin, VP da operadora, afirmou À InformationWeek EUA que os casos públicos são "apenas a ponta do iceberg". Ele afirmou que menos de 5% dos mais de 500 casos abordados no levantamento involveram alguma forma de divulgação. Na RSA Conference deste ano, uma enquete com 300 pessoas mostrou que 89% dos incidentes de segurança não foram reportados em 2007. "O número de ataques, junto com vazamentos comunicados publicamente, continua a crescer com as redes criminosas aflorando pelo mundo, enquanto as economias se enfraquecem", disse em comunicado Avivah Litan, VP do Gartner. "Um esforço mais concertado é necessário entre as empresas para proteger as informações de clientes, independente do ambiente regulatório". Fonte: http://www.itweb.com.br

Internet pela rede elétrica ganha impulso no Brasil

A transmissão de banda larga pela rede elétrica, que é testada e estudada no país há anos, ganhou um impulso importante nesta semana, depois que o conselho diretor da Agência Nacional de Telecomunicações (Anatel) aprovou a criação de uma consulta pública sobre o assunto.

Ainda não há data para que a consulta pública seja realizada, mas esse é o primeiro passo para que o Brasil tenha uma regulamentação para essa nova modalidade de conexão, que usa a infra-estrutura de redes elétricas em conexões que podem chegar a 200 Megabits por segundo (Mbps). Hoje, a velocidade mais alta disponível no país não passa de 30 Mbps.

Pedro Luiz de Oliveira Jatobá, presidente da Associação de Empresas Proprietárias de Infra-Estrutura e Sistemas Privados de Telecomunicações (Aptel), defende a adoção da tecnologia Power Line Communication (PLC) no Brasil há anos e comanda testes que a entidade realiza em locais de baixa renda.

Agora, ele afirma, em entrevista à Reuters, já ter "uma expectativa concreta" de que o sistema se massifique no Brasil em cerca de um ano.

De acordo com o executivo, que também atua na Eletrobras, "há vários grupos interessados com investimentos previstos só aguardando essa regulamentação".

Jatobá afirmou estar acompanhando de perto o desenrolar do assunto na Anatel e lembra que, no caso da conexão conhecida como "indoor" --só dentro de um determinado ambiente-- já existem exemplos de uso em hotéis e edifícios comerciais porque essa modalidade não depende de regras da agência.

"Agora isso poderá se massificar nas residências", acredita o executivo, já que a popularização pode baratear os custos dos equipamentos e se tornar uma opção a mais de conexão.

O presidente da Aptel prevê a união entre as operadoras de telefonia e as concessionárias de energia elétrica para levar essa nova opção aos clientes. "Eu acredito no modelo das parcerias", afirmou.

Ele lembra que "está aumentando muito a demanda das elétricas por recursos de telecomunicações" para a instalação de medidores eletrônicos e sistemas de acompanhamento remoto do consumo de energia nas casas.

Tal demanda poderá aproximar os dois grupos de empresas, na avaliação de Jatobá, já que as teles e os provedores de Internet podem ter na infra-estrutura elétrica uma forma de ampliar seu escopo de atuação. "Vai haver uma convergência natural das redes", espera.

Jatobá também informou que a japonesa Panasonic está participando dos testes de banda larga pela rede elétrica que a Aptel realiza em Barreirinhas (MA) e que, além de modems, fabrica para outros países equipamentos com a tecnologia PLC embutida, como televisores, câmeras de vigilância e sistemas de portão eletrônico.

Em Barreirinhas, o PLC é usado como canal de retorno da TV digital, o que garante a interatividade imaginada pelo governo nesse novo sistema de TV. "Nossa intenção é que isso aconteça também em outras localidades", afirmou.

O bairro Restinga, na periferia de Porto Alegre (RS), também vive um teste da tecnologia para conexões de locais públicos, como postos de saúde e escolas.

A tecnologia permite conexões em até 200 Mbps e, nos testes já realizados até agora, a Aptel conseguiu, "em condições normais", 60 a 70 Mbps. Jatobá explica, entretanto, que "várias medidas podem melhorar o desempenho da rede" e elevar a velocidade possível, como a segregação de circuitos.

Ainda não é possível mensurar o preço ao usuário final, segundo ele, porque isso vai depender "do mercado e do tipo de aplicação" que vai se dar a essa modalidade de conexão.

Fonte: Reuters

90% das falhas de segurança são evitáveis

Perto de nove em cada 10 falhas de segurança podiam ter sido evitadas através de medidas de protecção razoáveis, segundo o relatório Data Breach Investigations da Verizon. Com base em cinco centenas de investigações forenses de mais de 230 milhões de relatórios de quatro anos, a Verizon analisou centenas de falhas de segurança de dados empresariais, incluindo três das cinco maiores já reportadas.

Cerca de 73% das falhas resultaram de fatores externos, enquanto 18% foram resultado de ameaças internas. Perto de 40% foram atribuídas a parceiros de negócio. A maioria dos eventos resultou de uma mistura de fatores. De todas as falhas de segurança propositadas, 59% resultaram de ameaças de hacking e intrusões. Cerca de 40% dessas destinavam-se a atacar as aplicações ou software e 23% foram dirigidas ao sistema operativo.

Perto de 90% das vulnerabilidades que foram exploradas continham erros há pelo menos mais de seis meses antes do ataque. Três quartos das falhas foram descobertas por um fabricante de terceiras partes e já estavam ativas no sistema há algum tempo. O relatório do Varizon também alerta para o fato de que comprometimento de dados é a forma mais fácil, segura e mais lucrativa de furtar a informação necessária para cometer fraudes de identidade – que é a principal motivação para as falhas de dados. A Verizon aconselha as empresas a evitarem este tipo de eventos através do alinhamento dos processos com as politicas, já que em 59% dos eventos de segurança, as empresas tinham políticas e medidas de segurança definidas para o sistema, mas nunca foram implementadas.

Além disso, considera ainda que as empresas devem criar um plano de retenção de dados, já que 66% das empresas vítimas de perda de dados nem sequer tinham conhecimento do ciclo de vida dos seus dados. A segmentação da rede ajuda a prevenir e mitigar os riscos de perda de dados, de acordo com a Verizon. As empresas devem ainda criar um plano de resposta a incidentes de segurança, bem como definir medidas de alerta, já que apenas 14% dos incidentes analisados foram descobertos por funcionários internos das empresas.

Hackers usam site do PlayStation para vender falso antivírus

Brecha permite que golpistas ofereçam varredura para identificar pragas virtuais.
Resultado mostra que máquina está infectada e sugere a aquisição de um software.

Uma brecha no site norte-americano do PlayStation, console de videogame da Sony, permite que hackers ofereçam um falso antivírus para os visitantes da página. Segundo a empresa de segurança Sophos, que identificou o golpe, o objetivo é assustar os internautas com um alerta de segurança, para fazer com que eles gastem dinheiro em um “software inútil”.

“Os cibercriminosos conseguiram usar um ataque de injeção SQL para inserir códigos nas páginas que promovem os jogos ‘SingStar Pop’ e ‘God of War’, do PlayStation”, divulgou a Sophos nesta quarta (2). Segundo a Microsoft, esse tipo de ataque explora vulnerabilidades na validação de entrada e permite que o invasor execute comandos arbitrários no banco de dados.

Quando o usuário acessa as páginas de promoção desses jogos específicos, os códigos inseridos pelos hackers oferecem uma varredura no computador. Como resultado, eles dizem que a máquina está infectada com diversos códigos maliciosos e oferecem o falso antivírus para combater o problema. Aqueles que concordarem com a aquisição acabam passando suas informações de cartão de crédito para os golpistas.
Varredura feita por hackers indica que computador está infectado com diversas pragas. (Foto: Reprodução )

Antivirus

A Sophos disse já ter contatado a Sony, mas o site continua apresentando o problema. “Há milhões de pessoas que amam videogame em todo o mundo. Muitas delas visitam esse site regularmente, para saber as novidades do console. Se os usuários não tiverem proteção o suficiente para saber que estão seguros, podem ficar assustados e acabar passando seus dados financeiros para cibercriminosos”, explica Graham Cluley, consultor da Sophos.

Fonte: http://manoel.eti.br/games/hackers-usam-site-do-playstation-para-vender-falso-antivirus/

Intel libera especificação de interface do USB 3.0

Produtos equipados com o novo padrão devem chegar ao mercado entre 2009 e 2010, com retrocompatibilidade às versões 2.0 e 1.1

A Intel lançou a revisão 0.9 do Extensible Host Controller Interface (xHCI) para o Super-Speed USB, ou USB 3.0, como é conhecido oficialmente. A nova tecnologia permite uma velocidade de transferência de 600 MB por segundo, contra 480 MB por segundo da versão atual, a 2.0.

A especifiação disponibilizada pela Intel descreve os registradores e a estrutura de dados usados na comunicação entre o software e o hardware de um sistema. Ela está disponível sem o pagamento de royalties a todos o membros e contribuidores do USB 3.0 Promoter Group, responsável pelo desenvolvimento do novo padrão. O grupo é formado por empresas como Microsoft, HP, NEC e Texas Instruments. Entre os contribuidores não-associados estão a rival AMD e a Nvidia.

Em junho, a Intel tentou amenizar rumores que corriam em sites de tecnologia de que ela estaria criando o padrão por si própria, usando tecnologias de outro grupo. A companhia afirmou em seu blog oficia"

Fonte: Intel libera especificação de interface do USB 3.0 - 15/08/2008 - IT Web - Notícias

Site do COB é invadido por Hackers

No 11º dia de disputa dos Jogos Olímpicos de Pequim, o site do Comitê Olímpico Brasileiro foi vítima de hackers na madrugada de terça-feira (19/08).

Além da página inicial, os títulos das páginas internas também receberam a mesma mensagem, que critica o desempenho do Brasil durante a competição.

O COB chegou a tirar o site do ar, às 4h20m, para resolver o problema, mas não quis se pronunciar sobre o assunto. Ainda hackeada, a página voltou ao ar às 4h27m, mas saiu de novo em seguida. Por volta das 7h, uma mensagem do COB dizendo que o site estava fora do ar por motivos de manutenção foi colocada na página.

O ataque atingiu os endereços www.timebrasil.org.br e www.cob.org.br (ambos do COB) e foi realizado pelo grupo conhecido como RootDamages que, segundo o site Zone-h.org, já invadiu mais de 1.700 sites só em 2008.