OWASP AppSecLatam 2011

É com grande satisfação que damos as boas vindas ao capítulo OWASP Global AppSec Latin América 2011, que este ano será realizado na cidade de Porto Alegre - RS, nos dias 04 à 07 de outubro na PUCRS (Pontifícia Universidade Católica do Rio Grande do Sul).

Os dias 4 e 5 de outubro foram reservados para a realização de cursos. Logo, nos dias 6 e 7 terão os debates abertos para início das sessões plenárias.

A conferência Global AppSec Latin América 2011 será uma reunião de líderes latino-americanos na área de Segurança da Informação, e irá apresentar temas e idéias de vanguarda sobre o assunto - Segundo a página oficial do evento. O evento estima atrair cerca de 250 profissionais relacionados ao governo, serviços financeiros, mídia, saúde, tecnologia, e diversas outras áreas.

O evento deste ano vai contar com as presenças de Bryan Sullivan, Pesquisador Sênior em Segurança (Adobe), e Chris Evans, Information Security Engineer (Google).

O valor das inscrições varia de R$ 250,00 a R$ 450,00. Com descontos especiais para membros do OWASP e estudantes.

Fonte: OWASP AppSecLatam

Prejuízo de empresas com cibertaques pode chegar a US$ 1,7 milhão

Pesquisa da Symantec revela que 27% das empresas entrevistadas sofrem ataques contra suas redes regularmente ou em grande número.

Quando 3.330 profissionais de tecnologia da informação foram entrevistados sobre cibersegurança, eles afirmaram que os ataques de códigos maliciosos são o principal tipo de violação que suas empresas sofreram no ano passado, embora “ações internas não intencionais” de funcionários também tenham causado muitos danos.

Enquanto 73% dos entrevistados na pesquisa “2011 State of Security”, patrocinada pela Symantec, disseram que os ciberataques eram mínimos, 21% afirmaram que eles ocorrem “regularmente”, e 6% indicou que sofreram “um grande número” de invasões em 2010.

Quando ciberataques ocorrem, os custos principais estavam relacionados ao “período de inatividade” e com “perda de produtividade”, de acordo com os profissionais de TI nos setores financeiro, manufatura, tecnologia de ponta, saúde, imobiliário, energia entre outros que responderam à pesquisa.

Os participantes da pesquisa também indicaram que consideram “ataques direcionados”, “hackers” e “espionagem industrial” como significativas ameaças à segurança de suas organizações, embora “funcionários bem-intencionados” quem, inadvertidamente, causam problemas de segurança, também tenham sido bastante citados.

Isso se deve à grande dor de cabeça originada pelo surgimento dos ataques com engenharia social a funcionários das empresas, via redes sociais, que envolvem enganar empregados para que eles baixem códigos maliciosos, de acordo com Ashish Mohindroo, diretor sênior de marketing de produtos da Symantec.

O estudo informa que a média de perda de produtividade nos últimos 12 meses foi de 915 mil dólares. Quando foi determinado que um ciberataque levava à perda ou prejuízos no relacionamento com o cliente, o montante passou a ser 1,14 milhão de dólares durante o ano passado, e a perda de dados importantes ficou avaliada em 1,7 milhão de dólares.

Quando perguntado sobre a efetividade das salvaguardas para conter ciberataques, o melhor método foi visto como “manter atualizações de correções e definições de arquivos”, e “perímetro de segurança”, o que só serve para mostrar que quanto mais as coisas mudam, mais elas tendem a ficar iguais.
(Ellen Messmer)

Fonte: Network World (US)

DISI '11

O Dia Internacional de Segurança em Informática (DISI) é realizado desde 2005 pela Rede Nacional de Ensino e Pesquisa (RNP), por meio do seu Centro Atendimento a Incidentes de Segurança (CAIS).

O evento acontece uma vez ao ano em uma capital brasileira, e reúne especialistas de segurança para compartilhar conhecimentos e disseminar a cultura e conscientização sobre segurança em ambientes informatizados.

O DISI 2011 ocorrerá nesta quarta-feira, dia 31 de agosto, na cidade de Curitiba (PR). Neste ano, o tema eleito para conduzir as discussões e atividades do DISI será "Conscientização em Segurança é um Dever de Todos".

As palestras são gratuitas, abertas ao público mediante inscrição e também serão transmitidas em tempo real através do site do evento.

Confira a grade de programação do evento, que ocorre no dia 31 de agosto:

[09:00 - 09:30] Abertura do Evento

[09:30 - 10:20] Como se Proteger no Mundo Digital: Cuidados Básicos
Palestrante: André Landim (CAIS/RNP)

[10:20 - 11:10] Proteja seu Dinheiro contra as Fraudes da Internet
Palestrante: Altieres Rohr (G1)

[11:10 - 11:30] Intervalo (coffee-break)

[11:30 - 12:20] Redes Sociais: Virtudes e Defeitos Colaterais da Nova Comunicação Digital.
Palestrante: Marcelo Tas

[12:20 - 14:00] Intervalo (Almoço)

[14:00 - 14:50] Conveniência.com e a Segurança da Informação
Palestrante: Luiz Eduardo (SpiderLabs/TrustWave)

[14:50 - 15:40] F@mília Digital Protegida – desafios da educação da nova geração
Palestrante: Viviane Luswarghi (PPP Treinamentos)

[15:40 - 16:00] Intervalo (coffee-break)

[16:00 - 16:50] Crimes Cibernéticos e Direito Aplicado ao Mundo Virtual
Palestrante: Gerson Charbel (Superior Tribunal Militar)

[16:50 - 17:00] Encerramento

Fonte: DISI '11

Fraudes eletrônicas aumentam perdas em 36%

Segundo dados da Federação Brasileira dos Bancos (FEBRABAN), só neste primeiro semestre de 2011 as perdas em virtude de fraudes bancárias por meio eletrônico já simbolizam um aumento de 36% em relação ao mesmo período do ano passado, totalizando o valor de R$ 685 milhões contra os R$ 504 milhões do ano anterior.

Wilson Gutierrez, diretor técnico da FEBRABAN, cita que esse aumento se deve principalmente a três fatores: O uso crescente dos meios eletrônicos como forma de pagamento, à ausência de uma legislação que iniba o avanço da ação dos criminosos com punições efetivas, e a negligência de alguns usuários em relação a procedimentos de segurança. Ele acrescenta que a fraude geralmente ocorre externamente, como captura de trilhas de cartões nas operações de compras, ou obtenção indevida de senhas de acesso e dados pessoais dos clientes.

Os criminosos de hoje se utilizam do que há de mais moderno no mercado e das mais sofisticadas técnicas de "engenharia social" para ludibriar os usuários de internet e com isso obter dados e informações sigilosas, que serão informadas ingenuamente pelo próprio cliente. Por meio da exploração da curiosidade e da ingenuidade, estes criminosos conseguem instalar programas maliciosos nos computadores dos usuários e capturar quaisquer informações manipuladas pelo mesmo.

Em contrapartida, a FEBRABAN sugere mudanças na legislação que possam de fato impedir a ação crescente desses criminosos. Defendendo que seja promulgada lei com tipificação específica aos novos "crimes cibernéticos" ou de natureza eletrônica.

Apenas para exemplificar, um dos artigos mais importantes (art. 163-A) diz respeito à definição de crime de atos de inserção ou difusão de códigos maliciosos na internet ou nos computadores dos usuários. “Esse artigo tem por objetivo atacar frontalmente os disseminadores de programas que, uma vez acionados pelos usuários de computadores, permitem capturar informações sensíveis, como senhas de acesso e dados pessoais”, observa Antonio Carlos de Toledo Negrão, diretor Jurídico da FEBRABAN.

Por fim, é de suma importância citar que uma das questões mais discutidas é a determinação do armazenamento de logs de acesso a internet. Conforme o diretor da FEBRABAN, o projeto de lei não irá ameaçar a liberdade e a privacidade dos internautas, pois “os logs são simples registros de data e hora de entrada e saída de uma máquina na internet, e o local onde está instalada. Equipara-se ao usual registro para entrada e saída em qualquer prédio comercial e de orgãos públicos“. De acordo com o projeto de lei as informações devem ser retidas pelo prazo de 3 anos em ambiente seguro, controlado e que seja auditado por autoridade pública competente.

Fonte: FEBRABAN

Hacker faz caixas eletrônicos 'cuspirem' dinheiro remotamente

Equipamentos também podem ser abertos com chaves comuns.

Especialista demonstrou as vulnerabilidades em Las Vegas, na Black Hat.

Altieres Rohr Especial para o G1

Pelo computador, hacker faz caixa eletrônico 'soltar' dinheiro. (Foto: AP)

Na tela do especialista em segurança Barnaby Jack há um botão rotulado “Jackpot!”. Ele clica e, imediatamente, um caixa eletrônico fabricado pela Tranax Technologies entrega o dinheiro que contém. Isso aconteceu durante a demonstração de Jack, que trabalha na empresa de segurança IOActive, na conferência de segurança Black Hat, que ocorreu entre os dias 24 e 27 de julho em Las Vegas, nos Estados Unidos.

O pesquisador também demonstrou um problema em caixas da Triton Systems. Ele conseguiu acessar as partes internas do equipamento usando uma chave padrão que pode ser facilmente comprada. Com isso, foi possível conectar um dispositivo USB e instalar um software malicioso no caixa eletrônico, capaz de roubar dados de cartões, senhas, e, claro, roubar o dinheiro.

A Federação Brasileira de Bancos (Febraban) informou ao G1 que desconhece a existência de caixas eletrônicas dessas marcas no mercado brasileiro.

'Dillinger'

Apesar de nenhum detalhe técnico ter sido publicado, a demonstração de Jack foi cancelada na conferência Black Hat do ano passado porque as brechas ainda não haviam sido corrigidas. Para realizar os ataques, o especialista criou um programa chamado Dillinger – nomeado em homenagem ao famoso ladrão de bancos dos Estados Unidos da década de 30.

Jack também colocou adesivos sobre as marcas dos caixas eletrônicos com o intuito de não revelar os fabricantes. Mas a audiência conseguiu facilmente identificar a marca da Tranax piscando na tela. A Triton revelou que era a fabricante do outro equipamento.

Segundo o especialista, um criminoso pode ser capaz de discar números de telefone aleatoriamente – uma prática conhecida como “war dialing” – para encontrar caixas eletrônicos, bem como varrer os IPs da internet. Ele disse que os caixas eletrônicos “atendem” as chamadas e as solicitações da rede de uma maneira específica, permitindo que hackers identifiquem um equipamento vulnerável. Embora apenas duas fabricantes tenham sido envolvidas na demonstração, Jack informou que não é difícil encontrar outras falhas semelhantes.

“O simples fato é que as empresas que fabricam esses equipamentos não são a Microsoft. Elas não têm 10 anos de ataques contínuos contra elas”, disse o pesquisador de segurança para a audiência de sua apresentação.

No início do ano passado, um vírus foi encontrado em caixas eletrônicos da Diebold, que é líder no mercado nacional. A praga tentava interferir com transferências bancárias americanas, ucranianas e russas. Não há registro desses ataques no Brasil; aqui, criminosos usam um dispositivo chamado Robocop para transmitir dados roubados via rede sem fio.

Fonte: http://g1.globo.com/tecnologia/noticia/2010/08/hacker-faz-caixas-eletronicos-cuspirem-dinheiro-remotamente.htm

Hacker usa Google Street View para localizar suas vítimas

Técnica usa sites com JavaScript para conseguir endereço MAC do roteador e logo depois o serviço de mapas do Google para achar a pessoa.

Um hacker chamado Samy Kamkar demonstrou durante a conferência de segurança Black Hat, uma técnica que usa dados de geolocalização e Javascript do Google Street View  para perseguir suas vítimas.

Em uma palestra intitulada “Como eu encontro sua namorada”,  Kamkar demonstrou seu projeto. Primeiramente, ele induz a vítima a entrar em um site que usa o JavaScript, para poder extrair o endereço de Media Access Control  (MAC) do roteador e que relate o identificador ao hacker.

A seguir, Kamkar insere o endereço MAC roubado no Google Location Services. Em segundos, ele tem um mapa mostrando a localização da vítima.

“Os navegadores são meios interessantes de se explorar”,  afirmou o hacker à platéia que acompanhava a sua conferência.

No entanto, Kamkar observou que algumas coisas precisam confluir para que o ataque funcione. Primeiro, o roteador precisa estar configurado com a sua senha de fábrica ou ele tem de ser um modelo que não exija credenciais para acessar a página de informações do sistema.  Além disso, o endereço MAC desse mesmo roteador tem de estar gravado no banco de dados do Google Street View, cujos carros contam com antenas que captam dados de redes Wi-Fi.

Mas, mesmo assim, a técnica é relativamente simples. Caso o código tenha sido escrito corretamente, o JavaScript fará uma varredura em dezenas de endereços IP até encontrar a localização do roteador.

Fonte: http://idgnow.uol.com.br/seguranca/2010/08/04/hacker-usa-google-street-view-para-localizar-suas-vitimas/

Segurança barra uso do Google Apps nas empresas

O Google gosta de se vangloriar de que mais de 2 milhões de empresas utilizam o Google Apps. Mas os profissionais de TI ainda estão preocupados sobre a segurança na nuvem e a funcionalidade limitada apresentada pelas ferramentas da companhia.
A computação em nuvem foi um dos principais temas abordados na conferência Catalyst Burton Group, que aconteceu na última semana, nos Estados Unidos. Mas, ao entrevistar o público presente no evento, as respostas sugerem que a gigante de buscas e outros provedores de computação ainda têm um caminho para percorrer, se quiserem a confiança dos especialistas de que o seu modelo de segurança é realmente adequado.
Primeiro é importante destacar que, embora considerem que os Google Apps ainda precisam de alguns recursos avançados já disponíveis no Microsoft Office, os profissionais de TI reconhecem que estão impressionados com as capacidades da ferramenta para colaboração na Web.
“A capacidade de colaboração em documentos em tempo real tem sido útil no trabalho. Mas as limitações do Google Docs se tornam logo aparentes para quem precisa de tabelas dinâmicas e planilhas com outras ferramentas especializadas”, disse Jonathan LaChance, gerente de rede global e telecom da National Instruments, em Austin (EUA).
Mas, durante a conferência, outros profissionais declararam que as preocupações de segurança relacionadas ao Gmail os impediriam de mudar o atual sistema de correio eletrônico interno.
"Há muitas coisas boas nos Google Apps para nossos alunos, mas para nossa faculdade e funcionários, por questões de segurança, preferimos manter nosso próprio sistema", declarou Eddie Sorensen, diretor sênior de serviços de infra-estrutura da Utah Valley University.

Fonte: