[Notícia] Vulnerabilidade no schannel permite execução remota de código no Windows

Por Editor em 19 de novembro de 2014 | Enviar comentário

A Microsoft revelou um total de 33 vulnerabilidades no Windows, Internet Explorer e Office, sendo a MS14-066 (CVE-2014-6321) potencialmente catastrófica e afetando praticamente todas as versões do Windows. Usuários do sistema operacional, sobretudo servidores web, devem instalar imediatamente um patch de correções da Microsoft, divulgado no dia 11 de novembro. Até o momento, 14 atualizações de segurança já foram liberadas e duas (MS14-068 e MS14-075) ainda não tiveram suas data de lançamento determinadas.

A vulnerabilidade MS14-066 reside no pacote de segurança Canal Seguro (Schannel) que implementa os protocolos de segurança sockets layer e Transport Layer Security (TLS), de acordo com o comunicado da Microsoft. A incapacidade de filtrar adequadamente pacotes especialmente formados torna possível para os atacantes executarem código de ataque de sua escolha através do envio de tráfego malicioso para um servidor baseado em Windows.

Embora a vulnerabilidade afete principalmente servidores Windows, também é classificada como crítica para as versões cliente, uma indicação de que o bug de execução remota de código também pode ameaçar usuários de desktops e laptops Windows. Amol Sarwate, diretor de engenharia da Qualys, disse que a falha deixa máquinas cliente abertas se os usuários estiverem executando softwares que monitoram as portas de Internet e aceitam conexões criptografadas.

A divulgação da falha implica que todos os principais stacks TLS, incluindo Apple SecureTransport, GNUTLS, OpenSSL, NSS, e agora a Microsoft SChannel, tiveram uma vulnerabilidade grave este ano. Em alguns casos, as falhas meramente permitiam os atacantes contornarem as proteções de criptografia, enquanto outros, mais notavelmente o bug Heartbleed no OpenSSL e a MS14-066 no Windows, permitiam os adversários roubarem dados altamente sensíveis e executarem códigos maliciosos em sistemas vulneráveis, respectivamente.

A correção da vulnerabilidade foi uma das 16 atualizações da Microsoft programadas para este mês. Elas incluem uma correção para uma vulnerabilidade zero-day que já vem sendo explorada em ataques de espionagem altamente segmentados. Vale ressaltar que levou menos de 12 horas após a divulgação do Heartbleed para que ele fosse utilizado contra o Yahoo e outros sites. Assim sendo, qualquer pessoa que utiliza um computador com o Windows, especialmente se ele é executado em um servidor, deve garantir que atualização esteja instalada.

Para mais informações acesse este link.

AddThis Social Bookmark Button

[Notícia] Instituto coaliza disponibiliza 40 cartilhas grátis (via @LincolnWerneck)

Por Editor em 12 de novembro de 2014 | Enviar comentário

O instituto coaliza oferece 40 cartilhas grátis sobre diversos temas, a citar: combate ao cyberbullying, segurança da informação, compras seguras na Internet, direitos humanos e outros.

Acesse o catálogo pelo link.

 

 

AddThis Social Bookmark Button

[Notícia] Firewall pfSense completa 10 anos

Por Editor em 11 de novembro de 2014 | Enviar comentário

O programa de código livre para firewall/roteamento de pacotes pfSense completou 10 anos no último dia 5. Conhecido pela sua versatilidade, robustez e confiabilidade, desde sua criação o projeto fornece um produto com funcionalidades somente encontradas antes em custosas soluções comerciais.

Veja mais informações neste link.

 

AddThis Social Bookmark Button

[Notícia] Ministério da Defesa cria o Comando de Defesa Cibernética

Por Editor em 10 de novembro de 2014 | Enviar comentário

O Diário Oficial publicou a portaria Nº 2.777/MD, de 27 de Outubro de 2014, do Ministério da Defesa, criando assim o Comando de Defesa Cibernética (ComDCiber) Brasileiro, uma iniciativa do governo para reforçar a estratégia de defesa cibernética nacional. Segundo a portaria, o Estado-Maior Conjunto das Forças Armadas (EMCFA) fica responsável por supervisionar a implantação do Comando de Defesa Cibernética (ComDCiber) e da Escola Nacional de Defesa Cibernética (ENaDCiber), subordinados ao Comando do Exército.

O ComDCiber e a ENaDCiber contarão com militares das três Forças Armadas, sendo que caberá ao Exército Brasileiro criar o chamado Núcleo do Comando de Defesa Cibernética (NuComDCiber) e o Núcleo da Escola Nacional de Defesa Cibernética (NuENaDCiber), subordinados ao Centro de Defesa Cibernética (CDCiber), que serão os embriões do ComDCiber e do ENaDCiber. Aconteceu algo semelhante quando foi criado o CDCiber em 2011: primeiro criou-se um “núcleo”, ou seja, um grupo de trabalho, que posteriormente deu origem ao Centro como um todo.

Aos recém criados ComDCiber e ENaDCiber caberão organizar e executar os projetos governamentais de defesa cibernética, incluindo as medidas para efetiva implantação de uma defesa cibernética, a implantação de um Sistema de Homologação e Certificação de Produtos de Defesa Cibernética, o apoio à pesquisa e ao desenvolvimento de produtos de defesa cibernética, e a criação de um negócio batizado de “Observatório de Defesa Cibernética”.

Confira a fonte da notícia neste link.

AddThis Social Bookmark Button

[Notícia] Investimentos em cibersegurança corporativa registram aumentos desde 2009

Por Editor em 7 de novembro de 2014 | Enviar comentário

De acordo com relatório da CB Insights, desde 2009, os investimentos corporativos em segurança cibernética vem sendo divididos principalmente entre negócios em estágio inicial e em estágio médio, os quais tiveram respectivamente 38% e 39% de participação. Acordos em estágio final corresponderam a 23% das atividades de segurança cibernética empresariais ao longo do período.

Não obstante, desde 2010, os investidores corporativos participaram em mais de 140 negócios, totalizando US$ 1,37 Bilhões para empresas de segurança cibernética. Notavelmente, o ano de 2014 tem visto investidores corporativos participarem de um número maior de grandes acordos em relação ao ano passado. Até o momento, o total de financiamentos para segurança cibernética já é 29% maior do que o ano de 2013 e 129% maior que o de 2012.

Diversas empresas participaram de financiamentos em larga escala para cibersegurança, incluindo Skyhigh Networks (Salesforce Ventures) com 40 milhões de dólares, Centrify (Samsung Ventures, Fortinet, Docomo Capital) com 42 milhões de dólares, e Ionic Security $ 25,5M série B (Google Ventures), para citar algumas. Negócios em fase inicial neste ano foram creditados principalmente à startups, existindo uma grande diversidade de áreas de atuação, indo desde APIs de autenticação (Authy), inteligência de segurança cibernética crowd-sourced (ThreatStream) e criptografia de tráfego para navegadores (Zenmate).

Em relação ao mercado norte americano, o estado da Califórnia possui o domínio, sendo as empresas sediadas no Vale do Silício responsáveis por 57% dos negócios em cibersegurança do país. Os outros estados pertencentes ao top 3 são respectivamente Massachusetts (7%) e New York (5%). Quanto aos principais investidores corporativos em empresas de segurança cibernética desde 2009, a Intel Capital lidera a lista, sendo seguida respectivamente pela Google Ventures e Qualcomm Ventures.

Maiores informações através do link.

AddThis Social Bookmark Button

[Notícia] TSE autoriza PSDB auditar urnas eletrônicas do 2º turno das eleições de 2014

Por Editor em 6 de novembro de 2014 | Enviar comentário

Na última terça-feira (04/11) o Tribunal Superior Eleitoral (TSE) autorizou, por unanimidade,  o acesso aos dados do segundo turno das urnas eletrônicas utilizadas nas eleições de 2014 depois de uma petição do PSDB.

O partido terá acesso aos logs, ordens de serviço, cópias digitais dos boletins, cópias impressas de votações das sessões eleitorais e acesso aos softwares das urnas eletrônicas.

O pedido da “auditoria especial” feito pelo PSDB cita informações divulgadas em redes sociais que poderiam comprometer as urnas eletrônicas em todo território nacional.

O presidente do TSE, Dias Toffoli criticou o fato dos partidos não apresentarem auditores independentes durante o processo eleitoral nem com verificação de eventuais fraudes nas audiências públicas convocadas pela Corte Eleitoral antes da votação. “Aliás, (os partidos) poderiam ter acompanhado (as sessões públicas de auditoria das urnas)… Nada disso é desenvolvido sem transparência”, disse Toffoli.

Mais informações, neste link.

AddThis Social Bookmark Button

[Linux] Offensive Security anuncia Kali Linux NetHunter

Por Editor em 5 de novembro de 2014 | Enviar comentário

Linux tuxA Offensive Security anunciou a sua mais recente criação – o Kali Linux NetHunter. NetHunter é uma plataforma mobile de testes de penetração Android para dispositivos Nexus construído em cima do Kali Linux, distribuição voltada a testes de penetração e conta com diversas funcionalidades de testes de penetração, obtenção de informações, entre outros.

Foram incorporadas algumas características surpreendentes para o Sistema Operacional NetHunter. Entre elas destacam-se o HID Keyboard Attack, BadUSB Man In The Middle e MANA Evil Access Point. Por enquanto, apenas os celulares da linha Nexus são suportados (Nexus 4, Nexus 5, Nexus 7 e Nexus 10). Contudo, seus desenvolvedores afirmam que o NetHunter ainda está em sua infância e que estão ansiosos para ver este projeto crescer entre a comunidade.

Confira mas detalhes, vídeos de demonstração, download e tutorial para instalação neste link.

AddThis Social Bookmark Button

[Notícia] Facebook dobra recompensas por falhas de segurança descobertas por White Hats

Por Editor em 4 de novembro de 2014 | Enviar comentário

curti_facebookO Facebook declarou que, a partir do dia 15 de Outubro, estendendo-se até o final de 2014, todos os bugs White Hat nos seus código de anúncios receberão recompensas duplicadas. O Facebook completou recentemente uma auditoria nessa área e encontrou uma série de bugs de segurança, mas gostariam de incentivar um exame complementar de White Hats para ver o que eles poderiam ter perdido. Além disso, uma vez que a grande maioria dos relatórios de bugs que são trabalhados com a comunidade White Hat estão focados nas partes mais comuns de código de Facebook, espera-se incentivar os investigadores a ficarem mais familiarizados com a área de anúncios para melhor proteger as empresas que os utilizam.

A chamada também destaca algumas amostras de bugs White Hat em anúncios que já foram corrigidas no passado:

1 – Resgate dos mesmos cupons de anúncios várias vezes sem verificar validade;
2 – Recuperar o nome de uma página não publicada através de ferramentas de criação de anúncios adivinhando o ID da página;
3 – A injeção de JavaScript em um e-mail de relatório de anúncios e, em seguida, aproveitando um erro CSRF para fazer com que uma vítima envie um e-mail malicioso para um alvo em seu nome.

“A melhor maneira de relatar um problema é usar a sua conta White Hat de testes: https://www.facebook.com/whitehat/accounts/. Boa sorte, e mantenham as submissões vindo!” disse Collin Greene, engenheiro de segurança no Facebook.

Confira mais detalhes neste link.

AddThis Social Bookmark Button

[Notícia] Google revela as funcionalidades que tornam o novo Android mais seguro

Por Editor em 3 de novembro de 2014 | Enviar comentário

Android LollipopEm um post recentemente publicado, a Google descreve as funcionalidades da nova versão do sistema operacional Android, o Lollipop, que o tornam mais seguro. Enquanto algumas capacidades, como a criptografia, já estavam incluídas na versão atual do Android, a nova versão do sistema operacional tornará as mesmas padrão.

Assim sendo, a empresa tornou a criptografia como padrão, fazendo com que todos os dados em um smartphone ou tablet Android sejam armazenados em um “cofre digital”, cuja segurança deve ser extremamente difícil de quebrar. O movimento, que tem causado muita consternação entre policiais e agências de inteligência, significa que os usuários não tem mais que fazer a escolha de ativar o recurso.

A companhia também desenvolveu o sistema SmartLock, que consiste de uma solução para bloquear e desbloquear o aparelho, através de distintos mecanismos, tais como reconhecimento facial ou proximidade de outro dispositivo, por exemplo um fone de ouvido. Não obstante, a Google também investiu na utilização de melhorias de segurança para o projeto Linux, conhecida como SE Linux, para fortalecer as bases do sistema operacional Android.

Segundo Adrian Ludwig, engenheiro chefe de segurança para o Android na Google, muitos dos recursos de segurança nasceram de fundações open-source do Android e do fato de que outros pesquisadores e empresas podem criar e testar novos recursos de segurança para o sistema operacional.

Maiores informações através do link.

AddThis Social Bookmark Button

[Notícia] Ataque POODLE expõe dados criptografados por SSL 3.0

Por Editor em 30 de outubro de 2014 | Enviar comentário

Três engenheiros de segurança do Google, Bodo Möller, Krzysztof Kotowicz e Thai Duong, descobriram uma vulnerabilidade no Secure Sockets Layer (SSL) 3.0 que faz com que o protocolo, que já possui 15 anos de existência, se torne praticamente impossível de ser utilizado com segurança, além de ser dificilmente corrigida.

A vulnerabilidade permite que informações criptografadas sejam expostas por um invasor com acesso à rede. Nomeada Poodle, a sigla para Padding Oracle On Downgraded Legacy Encryption, a vulnerabilidade é descrita tecnicamente no relatório elaborado pelos especialistas, apresentando um sério problema, uma vez que o protocolo é utilizado por sites e navegadores web, e permanecerá como um problema enquanto o mesmo for suportado.

A Apple anunciou em seu site de desenvolvedores que vai mudar em 29 de outubro do SSL 3.0 para o Transport Layer Security (TLS), protocolo mais moderno e menos vulnerável que o SSL. O Twitter já notificou os seus usuários que desabilitou o suporte ao SSL 3.0, enquanto o Mozilla aconselhou os usuários do Firefox instalarem o add-on de segurança que desativa o SSL 3.0, tendo afirmado que planeja desativar de vez o suporte ao protocolo na próxima versão do navegador, o Firefox 34.

A boa notícia é que poucos sites utilizam o SSL 3.0. Um estudo realizado pela Universidade de Michigan mostra que menos de 0,3 por cento da comunicação entre o site e o servidor depende de SSL 3.0, enquanto que 0,42 por cento dos top 1.000.000 domínios listados pela Alexa usavam o protocolo.

Maiores informações através do link.

AddThis Social Bookmark Button