Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades

Foi lançado hoje o NoScript 2.0. Dentre as funcionalidades novas, um recurso que prevê uma nova forma de ataque de rebinding DNS que explora roteadores vulneráveis, que expõem o endereço IP interno do usuário para IPs externos.

O NoScript é uma extensão de Firefox que desabilita JavaScript, Java e Flash em todas as páginas não previamente autorizadas (whitelisted), o que evita ataques maliciosos como o XSS (Cross-site scripting), dentre outros.

Fonte: NoScript – JavaScript/Java/Flash blocker for a safer Firefox experience! – changelog – InformAction (via)

A Verizon fez uma pesquisa analisando relatórios de vazamento de dados corporativos dos últimos 6 anos do banco de dados do Serviço Secreto Estadunidense (USSS), envolvendo mais de 900 episódios de vazamento de informações e mais de 900 milhões de registros comprometidos.

Os dados mostram que nos últimos 6 anos, as empresas de serviços financeiros, hospedagem e vendas foram responsáveis respectivamente por 33, 23 e 15 porcento dos incidentes. Entretanto, nos dados do último ano (2009), uma maioria absoluta (94%) dos registros comprometidos são atribuídos a falhas em serviços financeiros.

O estudo completo pode ser conferido no site da Verizon.

Fonte: Data breaches blamed on organised crime • The Register

A Rapid7, empresa de segurança e patrocinadora do Metasploit, anunciou o lançamento do Centro Mundial de Excelência para Segurança na Web (Worldwide Center of Excellence (COE) for Web Security), uma iniciativa para aumentar a colaboração da empresa com a comunidade open source. Como parte da iniciativa, a Rapid7 irá patrocinar e ser parceira da W3AF, um framework opensource para auditoria de segurança.

Fonte: Rapid7 Launches Worldwide Center Of Excellence For Web Security And Kicks Off Initiative With W3AF Sponsorship And Partnership.

A equipe do Snort lançou hoje duas novas versões do sistema de prevenção e intrusão de detecção (IDS/IPS). A primeira, de número 2.8.6.1, é uma atualização com 3 correções de bug, nenhum deles sendo vulnerabilidade de segurança. O segundo lançamento foi a versão 2.9.0 beta, trazendo 10 funcionalidades novas. Veja o anúncio do lançamento no site do Snort para mais detalhes.

Fonte: Snort :: Snort 2.8.6.1 and Snort 2.9 Beta Released!

Foto: resting on mothers belly por ynskjen, CC-BY.

A Adobe se juntou à Microsoft num programa de reporte de vulnerabilidade de segurança, utilizando o Microsoft Active Protections Program (MAPP). O programa é uma iniciativa da Microsoft de compartilhar informação sobre as vulnerabilidades com empresas de segurança de software antes das mesmas serem disponibilizadas.

De acordo com o diretor de segurança da Adobe, Brad Arkin, a Adobe teria entrado em contato com a Microsoft no sentido de aprender e pegar dicas sobre a implementação de um programa semelhante ao MAPP, mas em reuniões perceberam que seria melhor unir os esforços a recriar uma solução semelhante. Assim, os produtos da Adobe serão os primeiros não-Microsoft a figurar no MAPP.

Fonte: Adobe joins Microsoft’s patch-reporting program – Computerworld

Foto: Adobe Duck por Peter Huys, CC-BY.

A Apple lançou hoje (28/07) o Safari 5.0.1 para Windows e Mac corrigindo vulnerabilidades múltiplas de segurança, incluindo execução arbitrária de código, negação de serviço ou obtenção de informação. Como não foram fornecidos detalhes específicos da vulnerabilidade, não podemos saber se foi uma correção do exploit autofill que divulgamos no domingo. A versão anterior, 4.1, também foi atualizada para 4.1.1.

Fonte: About the security content of Safari 5.0.1 and Safari 4.1.1 (via)

Foto: Safari por aditza121, CC-BY.

O OpenDNS é um serviço gratuito de DNS (resolução de nomes de domínio, que converte nomes de site em endereços IP) baseado em software livre e já consagrado no mercado. Uma opção interessante – e gratuita! – que eles oferecem é o FamilyShield. Este bloqueia automaticamente sites fraudulentos, de phishing ou que estejam disseminando malware, além de sites não adequados para crianças, como de conteúdo adulto, bem como sites de proxy e anonimizadores, que são com alguma frequência utilizados por crianças para passarem por esse tipo de filtro. A configuração do FamilyShield é simples e pode ser feita por usuários não-técnicos. Veja mais detalhes na página do OpenDNS FamilyShield.

Outra alternativa gratuita do OpenDNS, para aqueles que estejam interessados nos bloqueios de malware e phishing mas não nos de conteúdo adulto e afins é o OpenDNS Basic, que exige uma configuração um pouco mais técnica mas traz outros recursos interessantes, como relatórios de acesso. Veja mais detalhes na página do OpenDNS Basic.

Fonte: OpenDNS > FamilyShield

O Twitter apresentou problemas ontem e hoje, supostamente, no certificado digital. Apesar de o certificado (que expiraria ontem) ter sido recentemente renovado até o dia 15 de agosto de 2010, uma série de aplicações que dependiam do subdomínio api.twitter.com (utilizado por serviços de terceiros como o por exemplo o Tweetdeck) apresentaram problemas e essas aplicações não conseguiam mais se comunicar com o servidor do sistema de microblogging. O problema teoricamente pode se tornar uma grave falha de segurança se as aplicações permitirem conectar à API sem utilizar SSL. Relatos recentes afirmam que os aplicativos de integração de terceiros já voltaram a funcionar normalmente. Em breve mandaremos mais informações sobre o suposto incidente.

Fonte: @salgado_bruno (via computerworld)

Foto: Twitter por respres, CC-BY.

Um estudo do Ponemon Institute com 45 organizações estadunidenses de médio e grande porte mostrou que o cibercrime custa 3,8 milhões de dólares por ano para cada uma, com uma média de um ataque bem sucedido por semana.

Fonte: Cybercrime Costs a Business $3.8 Million/Year, Study Finds – CIO.com – Business Technology Leadership

Foto: Enterprise 2.0 conf – Rome, Dec 2009 – 082 por Ed Yourdon, CC-BY-SA.

A Google lançou ontem (26/07) uma nova versão de seu navegador Chrome, de número 5.0.375.125, corrigindo 5 bugs, incluindo 4 vulnerabilidades que poderiam ser exploradas, incluindo execução de código arbitrário e obtenção de informações sensíveis.  A nova versão já está disponível para Linux, Mac e Windows.

Fonte: Google Chrome Releases: Stable Channel Update (via)

Foto: Google Chrome Logo por Randy Zhang, CC-BY-SA