Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades

O Kernel Linux 2.6.39 e versões mais recentes contam com uma falha, descoberta na semana passada, que permite que usuários maliciosos realizem ataques de escalada de privilégios, executando programas e/ou acessando dispositivos ou arquivos sem a autorização do usuário. O autor da descoberta publicou também uma prova de conceito, mostrando como a falha poderia ser explorada. O bug, identificado como CVE-2012-0056, já foi corrigido. Veja mais detalhes, incluindo um vídeo demonstrando a falha e a sua exploração, em PoC Linux privilege escalation exploits — PenTestIT.

Foi encontrada uma vulnerabilidade em determinados celulares Android da HTC que permite que uma aplicação maliciosa obtenha dados sobre as redes de internet sem-fio cadastradas no aparelho – tanto o nome da rede (SSID) quanto as credenciais (seja WEP ou WPA). O bug afeta 9 modelos, incluindo o Desire S e o Desire HD, mas não o Nexus One. A HTC já forneceu uma correção, e em alguns modelos ela já foi entregue através de atualizações over-the-air (OTA). Veja mais detalhes sobre a falha, a lista de aparelhos afetados e o que fazer para corrigir o problema em US-CERT Vulnerability Note VU#763355 – 802.1X password exploit on many HTC Android devices.

Saiu essa semana a quarta edição da revista Segurança Digital. A revista, disponibilizada em Creative Commons (CC-BY-NC), aborda bimestralmente temas de Segurança da Informação. A edição de janeiro trouxe matérias de segurança em Voz sobre IP (VoIP), fundamentos jurídicos de monitoramento de correio eletrônico, a importância de testes de invasão e previsões para 2012, dentre outras. Baixe e leia a revista, as edições anteriores ou veja mais informações em Segurança Digital.

No final do ano passado, algumas empresas que lidam com email em larga escala, tanto emissores – Facbeook, LinkedIn, PayPal – quanto receptores – Google, Yahoo!, Microsoft – criaram um grupo com o objetivo de diminuir a quantidade de spams, especialmente phishing, criando uma forma mais eficaz de certificar que uma determinada mensagem é realmente do remetente declarado. Assim, foi criado o DMARC – sigla de Domain-based Message Authentication, Reporting & Conformance.

O DMARC é um padrão proposto (a ser enviado para a IETF) que tem dois objetivos: facilitar para emissores e receptores determinar se uma dada mensagem foi ou não enviada pelo seu legítimo emissor, e o que fazer caso não seja, cooperando entre si trocando informações sobre os emails enviados, filtrando automaticamente emails ilegítimos da caixa de entrada dos usuários finais.

Para isso, ele utiliza dois padrões utilizados atualmente SPF e DKIM, e os complementa com uma nova camada de metadados. Atualmente, cerca de 15% do tráfego de emails relevantes (não spam/phishing) do Gmail vem de domínios protegidos pelo DMARC.

Veja mais detalhes em Google Online Security Blog: Landing another blow against email phishing e em Press Release: Leading Email Senders and Providers to Combat Email Phishing through DMARC.org.

A Clavis Segurança da Informação disponibilizou no final de semana o vídeo do seu quarto webinar sobre ferramentas de segurança da informação. Nesta edição, conduzida por Rafael Soares, foi apresentado o Nmap, software livre para exploração de rede e auditoria de segurança. Foram discutidas técnicas de varredura, que podem ser utilizadas para burlar filtros e sensores visando ter uma varredura sem ruídos no alvo.

Veja este webinar (cerca de 1h10 de vídeo) e os outros 3 webinars no site da Academia Clavis.

Acontecerá no próximo dia 14 de fevereiro (terça-feira) em São Paulo o GRC Meeting, encontro de especialistas em Governança, Riscos, Compliance e Segurança da Informação. Em sua nona edição, o evento terá palestras que estão no foco do setor de Segurança da Informação, como Cibersegurança, combate a fraudes, segurança em transações eletrônicas, dentre outros. Veja mais informações, como a grade da programação, palestrantes, no site do evento: GRC Meeting 2012 – 9ª edição.

Segundo um estudo publicado essa semana, estima-se que os prejuízos decorrentes de fraudes em compras online somaram 3,4 bilhões de dólares americanos. Um valor bem grande, porém que indica uma melhora: o índice de fraude por compra realizada foi de 0,6% em 2011, menor que os 0,9% medidos em 2010 e também o menor valor nos 13 anos em que a pesquisa foi feita.

A pesquisa mostra também que dos 27% de lojas online que investiram em mCommerce (comércio eletrônico destinado a consumidores com aparelhos celular e tablets), a maioria absoluta (92%) vê que as fraudes por esses meios são iguais ou inferiores às das compras online tradicionais (no desktop).

Veja mais detalhes sobre o estudo da CyberSource/Visa em Criminals stole $3.4B from online revenues in 2011 – Help Net Security.

Usuários maliciosos podem causar danos a sistemas computacionais seja apagando arquivos importantes, zerando o disco inteiro, ou apagando seus passos nos registros do sistema. O DHS (Departamento de Segurança Nacional estadunidense) divulgou uma série de dicas para evitar esse problema. Vamos a elas:

• Implementar um plano de backup e recuperação de dados para manter cópias de dados importantes em um local seguro, diferente do mesmo local do computador ou servidor. Cópias de segurança de dados sigilosos não devem ser prontamente acessíveis em redes locais;
• Espelhar e manter uma imagem de arquivos críticos do sistema regularmente;
• Encriptar e proteger informações sigilosas
• Usar senhas seguras, implementar uma agenda de mudança frequente de senha, e não reutilizar senhas para múltiplas contas
• Monitorar atividades de rede sempre que possível
• Esteja sempre atento para táticas de engenharia soocial com o objetivo de obter informações sigilosas
• Elimine arquivos e informações sigilosas de seus discos de forma segura quando eles não forem mais necessários

Via US-CERT Current Activity – Best Practices for Recovery from the Malicious Erasure of Files.

A NSA, Agência de Segurança Nacional estadunidense e criadora do projeto SELinux, anunciou esta semana a primeira versão do SEAndroid, um port do SELinux para celulares Android. O SEAndroid traz uma ferramenta de segurança para o kernel Linux do Android (Mandatory Access Control) que permite isolar os processos e prevenir ataques maliciosos através da técnica de escalada de privilégios.

Por enquanto ainda não há como instalar o SEAndroid diretamente em qualquer celular; ele só está disponível como código fonte a ser aplicado sobre o código do Android “puro” (Android Open Source Project ou simplesmente AOSP), mas há instruções para compilação para emuladores e alguns celulares (especificamente o Nexus S). Veja mais detalhes na página do projeto SEAndroid.

Via NSA releases security-enhanced Android – The H Security: News and Features.

A Google realizou um experimento de solução de acesso bem interessante para quem faz uso frequente de computadores públicos, utilizando QR Code (código de barras bidimensional). A experiência da equipe de segurança do Google funcionava da seguinte forma: ao invés de digitar seu nome de usuário e senha, o usuário lia o QR Code em seu celular (utilizando alguma aplicação compatível, como o Google Goggles), era direcionado para uma página de login, entrava o usuário e senha no próprio celular e o login era realizado no computador.

Infelizmente a solução era apenas uma experimento e já foi tirada do ar. De qualquer maneira, podemos imaginar que teremos uma solução oficial do Google utilizando essa tecnologia num futuro próximo. Veja mais detalhes em Google Implements Secure Login for Public Browsers Using QR Codes.