Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades

Segundo um estudo publicado essa semana, estima-se que os prejuízos decorrentes de fraudes em compras online somaram 3,4 bilhões de dólares americanos. Um valor bem grande, porém que indica uma melhora: o índice de fraude por compra realizada foi de 0,6% em 2011, menor que os 0,9% medidos em 2010 e também o menor valor nos 13 anos em que a pesquisa foi feita.

A pesquisa mostra também que dos 27% de lojas online que investiram em mCommerce (comércio eletrônico destinado a consumidores com aparelhos celular e tablets), a maioria absoluta (92%) vê que as fraudes por esses meios são iguais ou inferiores às das compras online tradicionais (no desktop).

Veja mais detalhes sobre o estudo da CyberSource/Visa em Criminals stole $3.4B from online revenues in 2011 – Help Net Security.

Trazemos ao leitor do blog mais um desafio a ser resolvido. Para este desafio serão necessárias habilidades de esteganografia,  criptoanálise e raciocínio lógico. Abaixo estão as instruções necessárias:

Descrição do jogo:

A imagem desta saborosa salada contém uma mensagem escondida e protegida por criptografia. A dica está implícita no desafio.

Seu objetivo:

Baixe a imagem JPEG a seguir (MD5: a5d78511149bcf68afddd82a1ed6db29) e faça uma análise de esteganografia e criptoanálise para descobrir a mensagem original escondida na figura.

Conhecimentos requeridos:

• Criptoanálise
• Esteganografia

Boa sorte a todos os participantes! E fiquem sempre ligados no @SegInfo, em alguns dias publicaremos o gabarito detalhado deste desafio. Enquanto isso, confira o primeiro desafio, de Análise Forense em Tráfego de Rede (gabarito) e o segundo desafio, Programação Web (gabarito). Até lá!

Usuários maliciosos podem causar danos a sistemas computacionais seja apagando arquivos importantes, zerando o disco inteiro, ou apagando seus passos nos registros do sistema. O DHS (Departamento de Segurança Nacional estadunidense) divulgou uma série de dicas para evitar esse problema. Vamos a elas:

• Implementar um plano de backup e recuperação de dados para manter cópias de dados importantes em um local seguro, diferente do mesmo local do computador ou servidor. Cópias de segurança de dados sigilosos não devem ser prontamente acessíveis em redes locais;
• Espelhar e manter uma imagem de arquivos críticos do sistema regularmente;
• Encriptar e proteger informações sigilosas
• Usar senhas seguras, implementar uma agenda de mudança frequente de senha, e não reutilizar senhas para múltiplas contas
• Monitorar atividades de rede sempre que possível
• Esteja sempre atento para táticas de engenharia soocial com o objetivo de obter informações sigilosas
• Elimine arquivos e informações sigilosas de seus discos de forma segura quando eles não forem mais necessários

Via US-CERT Current Activity – Best Practices for Recovery from the Malicious Erasure of Files.

A NSA, Agência de Segurança Nacional estadunidense e criadora do projeto SELinux, anunciou esta semana a primeira versão do SEAndroid, um port do SELinux para celulares Android. O SEAndroid traz uma ferramenta de segurança para o kernel Linux do Android (Mandatory Access Control) que permite isolar os processos e prevenir ataques maliciosos através da técnica de escalada de privilégios.

Por enquanto ainda não há como instalar o SEAndroid diretamente em qualquer celular; ele só está disponível como código fonte a ser aplicado sobre o código do Android “puro” (Android Open Source Project ou simplesmente AOSP), mas há instruções para compilação para emuladores e alguns celulares (especificamente o Nexus S). Veja mais detalhes na página do projeto SEAndroid.

Via NSA releases security-enhanced Android – The H Security: News and Features.

A Google realizou um experimento de solução de acesso bem interessante para quem faz uso frequente de computadores públicos, utilizando QR Code (código de barras bidimensional). A experiência da equipe de segurança do Google funcionava da seguinte forma: ao invés de digitar seu nome de usuário e senha, o usuário lia o QR Code em seu celular (utilizando alguma aplicação compatível, como o Google Goggles), era direcionado para uma página de login, entrava o usuário e senha no próprio celular e o login era realizado no computador.

Infelizmente a solução era apenas uma experimento e já foi tirada do ar. De qualquer maneira, podemos imaginar que teremos uma solução oficial do Google utilizando essa tecnologia num futuro próximo. Veja mais detalhes em Google Implements Secure Login for Public Browsers Using QR Codes.

Após três edições em São Paulo, a próxima edição do Web Security Information Forum – WSIF – acontecerá em Maceió nos dias 14 e 15 de abril de 2012. O evento contará com a participação de palestrantes referência na área, como Coriolano de Almeida Camargo, Emerson Wendt, Wagner Elias, Gisele Truzzi, Thiago Bordini, dentre outros. Veja mais detalhes sobre o evento, o local, a agenda de palestras e como realizar a sua inscrição em Wsif! Web Security Information Forum Maceió.

A Clavis Segurança da Informação oferecerá na próxima segunda (23/01) às 20h um webinar gratuito sobre Nmap, ferramenta software livre para exploração de rede e realização de auditorias de segurança.  O Nmap (de “Network MAPper”) é bastante utilizado para inventários de rede, gerência de atualizações e monitoramento da disponibilidade de serviços, além de ser usada na fase de reconhecimento e obtenção de informações em testes de invasão. O webinar apresentará algumas dessas técnicas e cenários simulando a fase de obtenção de informações em uma auditoria tipo teste de invasão.

O webinar é gratuito e possui vagas limitadas. Veja mais informações ou se inscreva no Blog Clavis.

A equipe de desenvolvimento do PHP liberou essa semana a versão 5.3.9, corrigindo mais de 90 bugs. Duas das falhas geravam uma condição de colisão de hash, o que permitia que usuários maliciosos pudessem realizar ataques de negação de serviço (DoS). Veja a lista completa de mudanças ou veja mais detalhes em PHP 5.3.9 Released!

Via Hash Collision DoS Vulnerability Fixed in PHP 5.3.9 CIO.com.

O SINDPD/RJ (Sindicato de Processamento de Dados do Rio de Janeiro) tem uma agenda quinzenal de palestras gratuitas sobre Software Livre. A próxima palestra, a ser realizada no dia 23 de janeiro (segunda-feira), será sobre Segurança da Informação: Análise com Padrões Abertos em Segurança de TI, com os palestrantes Igor Devulsky Prata e Luciano Castilhos Fernandes.

Veja mais informações sobre a ementa, palestrantes, local e realizar a sua inscrição em: SINDPD/RJ :: Ciclo de Palestras de Software Livre – 23/Janeiro – Análise com Padrões Abertos em Segurança de TI.

A Academia Clavis Segurança da Informação informa que estão disponíveis poucas vagas nos cursos de Teste de Invasão em Redes e Sistemas EAD e Fortalecimento de Servidores UNIX/Linux EAD.

No primeiro curso, os alunos realizam simulações controladas de ataques a redes, sistemas e ferramentas, aprendendo a realizar testes de invasão e analisar seus resultados em aulas aos sábados de manhã e quartas a noite, começando no dia 21 de janeiro. Já no curso de Fortalecimento de Servidores UNIX/Linux EAD, o enfoque é no processo de hardening de servidores *NIX em geral, conhecendo detalhes na configuração das principais aplicações web, como Apache, PHP, MySQL, BIND, além de técnicas de logging, detecção de intrusão, firewall e outros, com aulas as terças e quintas de noite, começando no dia 24 de janeiro.

Veja mais detalhes, como a ementa, instrutores, valores e uma promoção com desconto de 25% no site da Academia Clavis.