“A Nova Era dos Ataques de Aplicações contra o Apple iOS” (BlackHat_EU_2011_Dhanjani_Attacks_Against_Apples_iOS) reúne pesquisas recentes para ilustrar os novos vetores de ataque com aplicações iOS. O público-alvo para o artigo inclui analistas de segurança e desenvolvedores de aplicativos para o iOS. Os seguintes tópicos são discutidos em detalhe: Ataques de manipulação de protocolo e design… Read More
Podcast do CERT sobre segurança para líderes empresariais
“Segurança da informação é uma exigência inegociável para as organizações que fazem negócios hoje. No entanto, a construção de uma cultura de segurança em empresas já existentes é uma tarefa complexa. Esta série de podcasts fornece princípios gerais e pontos de partida específicos para os líderes empresariais que querem lançar um esforço de segurança em… Read More
Vulnerabilidade XSS no Facebook utilizada para publicação automática no mural
Uma vulnerabilidade XSS – atualmente sem correção – na API mobile do Facebook está sendo explorada para enviar mensagens para os murais dos usuários, que servem como porta de entrada para o site especialmente criado para explorar a falha. A falha vem sento explorada há um tempo, mas só recentemente foi amplamente utilizada. Usuários da… Read More
iExploder: software para garantia de qualidade de navegadores web
Se você gosta de utilizar fuzzing para encontrar vulnerabilidades, é provável que você vá gostar do iExploder. Ele é inspirado no Mangleme – outra ferramenta similar para encontrar problemas de segurança e confiabilidade em navegadores web. Ele alimenta o navegador utilizado com códigos HTML e CSS ruins, de modo a testar a sua estabilidade e… Read More
OWASP Top 10: listando as ameaças e as ferramentas de detecção e correção
O analista de segurança Russ McRee publicou no Infosec Resources um artigo interessantíssimo que lista as 10 ameaças mais críticas das aplicações web (seguindo o Top 10 da OWASP) e correlaciona com as ferramentas para descobrir e corrigir essas vulnerabilidades, com tutoriais para cada um deles. O PenTestIT também gostou do artigo, que é apresentado… Read More
Os riscos de segurança dos celulares de segunda mão
As pessoas estão vendendo suas informações pessoais para completos estranhos sem sequer saber disso, diz um relatório da CPP que constatou que mais da metade (54%) dos celulares de segunda mão continham diversos dados pessoais do antigo dono. Para o estudo foram comprados diversos celulares de segunda mão e cartões SIM (chips) usados em sites… Read More
Twitter habilita o Content Security Policy (CSP) em seu site mobile
O Twitter, após algumas semanas de teste, implementou o Content Security Policy (CSP) – um novo padrão desenvolvido pela Mozilla para bloquear cross site scripting (XSS), que abordamos recentemente no SegInfo – em seu site mobile. O funcionamento do CSP é bastante simples: “Em um ataque XSS típico, o atacante injeta código javascript arbitrário em… Read More
Declaração do Comodo Group sobre fraude nos certificados SSL
O Comodo Group publicou em seu blog uma explicação para o recente comprometimento e emissão de certificados SSL fraudulentos, que já constam nas blacklists (listas negras) de todos os principais navegadores, como o Firefox – que noticiamos aqui, o Chrome e o Internet Explorer. Eles afirmam que nenhuma das chaves e CAs foram comprometidas. Em… Read More
Kernel Linux com diversas vulnerabilidades no protocolo ROSE
Foram encontradas uma série de vulnerabilidades no kernel Linux que podem ser exploradas localmente por usuários maliciosos para causar uma negação de serviço (DoS) e, potencialmente, escalar privilégios no sistema, como reportado no Secunia. As vulnerabilidades são causadas por erros na implementação do protocolo ROSE e podem ser exploradas, por exemplo, para causar corrupção de… Read More
A maioria dos usuários não se preocupa com segurança em smartphones, diz pesquisa
Os usuários são indiferentes aos muitos sérios riscos de segurança associados ao armazenamento e transmissão de dados sensíveis no iPhone, Blackberry e Android, de acordo com a pesquisa do Ponemon Institute. Seguem três dos resultados mais preocupantes da pesquisa: 89% dos entrevistados não sabiam que as aplicações do smartphone podem transmitir informações confidenciais de pagamento,… Read More