Publicado em Sexta - 30 de Março de 2007 | por Luiz Celso

Windows Microsoft sabia da falha em arquivos ANI

A empresa de segurança Determina afirmou que avisou a Microsoft sobre a nova falha no processamento de arquivos .ANI, descoberta esta semana na ativa pela McAfee, em dezembro do ano passado. A Microsoft confirmou que recebeu a notificação e que estava trabalhando com a Determina para lançar um patch, mas a gigante de softwares ainda não lançou uma correção quase 4 meses após ter sido informada do problema.

Em sua defesa, a Microsoft afirma que o extenso processo de desenvolvimento, teste de qualidade e localização dos patches leva muito tempo. Cada correção é um “desafio único” porque afeta partes diferentes do software e por isso pode causar conseqüências inesperadas em outros aplicativos se a correção não for testada com cuidado.

A falha no processamento de arquivos ANI é grave. Bloquear a extensão “.ani” não funciona porque os sites maliciosos podem utilizar qualquer extensão para o arquivo malicioso. Alguns dos sites que exploram a falha utilizam a extensão JPEG, comumente usada por fotos e figuras na web, de modo a dificultar o bloqueio.

A brecha também pode ser explorada via e-mail, mas somente usuários do Outlook 2002 e 2007 podem se proteger do problema desativando a exibição de mensagens HTML. Usuários do Outlook Express e do Windows Mail não estão protegidos completamente mesmo com esta configuração, de acordo com o SANS Internet Storm Center. Internautas que utilizarem outros clientes de e-mail ainda estão vulneráveis caso cliquem em um arquivo malicioso anexado.

A empresa de consultoria eEye lançou um patch temporário para usuários que querem se proteger da falha. Como o patch é disponibilizado por terceiros, a Microsoft não presta suporte. A eEye também afirma que o uso da correção é “por conta e risco” do usuário. O patch proibe que arquivos ANI sejam carregados a partir de uma pasta que não a de sistema.

De acordo com a Determina, é muito fácil explorar a falha até mesmo no Windows Vista e, em alguns casos, o Mozilla Firefox também pode estar vulnerável, já que a brecha se localiza em um componente do Windows e não dos navegadores web.

A Microsoft deve lançar as correções de segurança de abril no dia 10, mas a empresa pode considerar o lançamento de um patch fora de ciclo devido ao alto risco representado pelo problema. Mesmo assim, a empresa já teve quase 4 meses para corrigir a falha, então mesmo um patch “rápido” agora não seria supreendente.
Leia mais...

Gerais Security Week começará na terça

Publicado em Sexta - 30 de Março de 2007 | por Luiz Celso

Começa nesta segunda-feira (02/04) e vai até quarta-feira (04/04) a sexta edição do Security Week Brasil, um dos principais eventos de segurança da informação e gerenciamento de risco, no Transamérica Expo Center, em São Paulo.

A Security Week é organizada pela Via Forum, que estima receber durante os três dias aproximadamente 3 mil pessoas, sendo a maioria profissionais de TI e gestores da segurança da informação.

O cronograma deste ano prevê a realização de diversas palestras com especialistas brasileiros e internacionais. Entre eles, Anchises De Paula, da VeriSign; Maurício Gaudêncio, da Cisco; Gilberto Netto, do Serpro; Ana Cláudia, da Microsoft ; Leonardo Scudere, da CA; Ivan Alcoforado, da Accenture; Luiz Nanini, da 3Com; Sérgio Basílio, da Symantec; Herberto Yamamuro, da Nec; Márcio Lebrão, da McAfee; Hermann Pais, da EMC; Carlos Guimarães, da Sun Microsystems; Rogério Moraes, da ISS; Adalberto Salles, da Medidata; Marcus Moraes, da Allog; e Gustavo Souza, da Disec.

Entre as personalidades internacionais estão Tom Patterson, autor do livro Mapping Security e criador do Mapping Security Index (MSI), indicador mundial para medir o risco dos países e auxiliar o planejamento das multinacionais. Durante o Security Week Brasil, o executivo fará uma adaptação dessas métricas, baseadas nas empresas brasileiras.

Em paralelo às palestras, a organização prevê ainda a realização de pequenos cursos com os convidados internacionais. De acordo com Robert Janssen, CEO da Via Forum, essa é a melhor oportunidade de conhecimento para os profissionais brasileiros. O tema do evento é Jogos Pan-Americanos, que será sediados este ano no Brasil. Segundo Janssen, a competição é a definição que melhor representa o esforço realizado diariamente pelas empresas do mundo inteiro para garantir a confiabilidade, segurança e precisão do ativo mais importante da economia do século 21: o conhecimento.

Anote na sua agenda:

Evento: Securtity Week Brasil 2007
Data: 2 a 4 de abril de 2007
Local: Transamérica Expo Center
Endereço: Avenida Dr. Mário Villas Boas Rodrigues, 387 - Santo Amaro
Inscrições SecFin: Apenas para convidados
Leia mais...

Hackers e Cia Hackers preferem atacar PCs brasileiros

Publicado em Sexta - 30 de Março de 2007 | por fgp

País é responsável por 41% dos computadores infectados por bots na América Latina, esses programas maliciosos permitem controle remoto da máquina.
Leia mais...

Gerais Uso de Linux elimina garantia e assistência técnica da Compaq

Publicado em Sexta - 30 de Março de 2007 | por fgp

Consumidores da Compaq/HP esbarram na decisão de não prestar assistência a computadores rodando outro sistema que não seja Windows.
Leia mais...

Gerais Symantec: Microsoft é a mais rapida nas correções

Publicado em Quarta - 28 de Março de 2007 | por fgp

A Symantec publicou uma investigação onde conclui que a Microsoft é a companhia que tem a mais rápida reação para corrigir as vulnerabilidades detectadas em seus softwares.
Leia mais...

Segurança Investimentos em segurança wireless e biometria

Publicado em Terça - 27 de Março de 2007 | por Luiz Celso

A expansão das redes Wi-Fi, que estimularam o uso de laptops em trânsito por profissionais remotos, está obrigando as empresas a investir mais em segurança para dispositivos sem fio. É o que constata uma pesquisa da IDC, que revelou um crescimento dos investimentos em mecanismos para proteção para ambiente wireless em 2006.

O estudo global da consultoria mostrou que no ano passado as empresas aumentaram em quase 35% os gastos com tecnologias de segurança para dispositivos wireless, entre as quais estão os sistemas de NAC (Network Admission Control), que gerenciam a entrada de profissionais remotos e de prestadores de serviços que se logam por notebook ou outros equipamento sem fio nas redes corporativas.

A segunda tecnologia que mais cresceu foi a de biometria para reforço das senhas nos controles de acesso. Segundo a IDC, os investimentos nessa tecnologia aumentaram 32% em 2006 em comparação com os gastos no ano anterior.
Leia mais...

Network 10% dos internautas britânicos sofreram ataques

Publicado em Terça - 27 de Março de 2007 | por Luiz Celso

Um em cada dez internautas britânicos sofreu algum tipo de ataque online por parte de crackers em 2006, gerando prejuízos de 875 libras (cerca de R$ 3,56 mil), em média, para cada usuário. É o que diz uma pesquisa realizada no Reino Unido pelo programa Get Safe Online em parceria com a consultoria YouGov e que contou com a participação de 2,4 mil usuários.

Do total de vítimas, 6% delas foram apanhadas por crackers ao fazer compras online, 4% foram abordadas ao navegar por sites em geral e 3% foram enganadas por meio de phishings ou spywares, que se apoderaram de suas senhas bancárias ou números de cartões de crédito. Um dado preocupante do estudo indica ainda que mais da metade das pessoas que foram prejudicadas pelos golpes não seguiram os passos básicos para se proteger na Web.

O relatório indica ainda que 49% dos entrevistados não tinham proteção antispyware, enquanto 20% confessaram que já haviam respondido mensagens de spam. Além disso, 10% das pessoas disseram clicar em links de spams que chegavam via e-mail , 25% delas declararam que nunca mudaram suas senhas na Web e 5% usam um único password para todos os lugares de acesso restrito. Para completar o quadro, menos de 50% dos internautas se sentem responsáveis por sua segurança na Internet .

“Precisamos conscientizar os internautas para que eles tomem as mesmas precauções básicas na Internet, como quando realizam transações em lojas normais”, declarou Pat McFadden, um dos autores da pesquisa. Ainda de acordo com Tony Neate, diretor administrativo da Get Safe Online, “se o usuário tiver mais cuidado na hora de proteger suas informações pessoais, será possível reduzir sensivelmente as atividades criminais na Web”.
Leia mais...

Segurança Senador tem perfil do MySpace hackeado

Publicado em Terça - 27 de Março de 2007 | por Luiz Celso

Visitantes do perfil do senador norte-americano John McCain no MySpace se surpreenderam nesta terça-feira (27/03) com um anúncio feito pelo político sobre sua mudança de posição sobre o casamento gay.

No falso anúncio, publicado em seu perfil, o político republicano assume que mudou sua idéia e apóia completamente o casamento gay, “particularmente entre mulheres apaixonadas.

O co-fundador do site de notícias online Newsvine, criador do design do template usado no perfil de McCain, assumiu ser o responsável pela mudança no site.

Mike Davidson, co-fundador do Newsvine, afirmou em seu site que confiscou a página do MySpace por que o comitê de McCain usou seu design sem dar os devidos créditos.

Davidson também afirmou que imagens suas eram usadas na página, o que lhe consumia banda em benefício de McCain.

Nem um representante do comitê de McCain nem Davidson estavam disponíveis para comentar a história. O perfil do senador já foi restabelecido.

Cada vez que alguém visita o perfil de McCain no MySpace, é minha banda que está sendo usada para entregar parte da página!, afirmou Davidson no Newsvine.

Acho que a idéia de políticos que criam uma conta no MySpace e fingem que realmente a usam é um bocado enganador, por isto decidi que era hora de pregar uma peça.

Como a página de McCain usava o template original de Davidson, ele precisou apenas substituir a imagem original, posicionada abaixo da foto do político, com a que alardeava o apoio ao casamento gay.

A única coisa que precisei para efetivamente mudar a página de McCain com minha própria mensagem foi substituir minha imagem no meu servidor por uma outra no meu servidor, explicou Davidson.

Nenhum servidor, a não ser o meu, foi mexido, o que não implica em nenhuma quebra de lei. Foi um hack imaculado.
Leia mais...

Segurança Mês dos Bugs em PHP - Março 2007

Publicado em Terça - 27 de Março de 2007 | por fgp

Alerta do CAIS 20070315

O CAIS gostaria de alertar a todos para alguns cuidados que podem ser tomados para se aumentar a segurança em aplicações PHP.
Leia mais...

Segurança 7 formas de manter secretos sua pesquisa e você

Publicado em Segunda - 26 de Março de 2007 | por Luiz Celso

A maior ameaça para a sua privacidade pode não vir dos cookies, spywares ou rastreamentos dos web sites ou ainda da análise dos seus hábitos de navegação. Ao contrário, isso pode vir de engenharias de busca que coletam, gravam e armazenam suas buscas na internet.

Ferramentas de engenharia rastreiam seus termos de busca, descobrem os sites que você visita como resultado de suas pesquisas, o tempo que você gasta nas suas pesquisas e seu endereço IP. Com tudo isso, é possível descobrir quem você é, o que gosta e não gosta e também o que você faz enquanto está online.

Pesquisas arquivadas podem ser intimadas pelo governo federal e usadas em qualquer situação que o governo deseje. Tais arquivos também podem inadvertidamente ser divulgados ao público, para que todos vejam. Por exemplo, em agosto de 2006, a AOL acidentalmente publicou relatórios de buscas de 650 mil usuários, informações que rapidamente se espalharam pela internet.

Isso significa que você deve abrir mão da sua privacidade toda vez que usar um sistema de busca? Não, se você for esperto. Siga essas sete dicas para manter a sua privacidade, independente do sistema de busca que utilizar.

1. Não se cadastre

Se você se cadastra em uma das ferramentas de busca, você torna fácil para as companhias que administram esse serviço construir um perfil detalhado sobre você, porque eles conseguem identificar você nas suas buscas. Você pode pensar que nunca faz algum tipo de cadastro nesses sites, mas existe uma boa chance que você tenha feito, possivelmente sem saber disso.

Já foi o tempo em que as ferramentas de busca eram simplesmente ferramentas de busca. Hoje em dia, elas são ecossistemas inteiros de sites e serviços. O Google, por exemplo, oferece dezenas de serviços, incluindo o correio eletrônico gratuito Gmail, software de serviços online, recursos de blog e outros. Para a maioria deles, você precisa se logar se quiser usá-los.

Para fins de privacidade, nunca faça pesquisas enquanto estiver logado em qualquer serviço de busca, como o e-mail. Desta forma, se você estiver logado no Gmail, não pesquise na internet.

Uma alternativa é usar o navegador Firefox para serviços como Gmail e outros, como o Internet Explorer, para fazer pesquisas no Google. Dessa forma, vai ser muito mais difícil para as ferramentas de busca correlacionar sua identidade com suas pesquisas. Para segurança máxima, use um serviço de anonimização ou um software como o Tor para o browser que você usa para fazer buscas.

Se você não gosta desta idéia de usar dois browsers, instale diferentes perfis no navegador - um para uso de e-mail e outro para serviços de pesquisa e ainda um diferente para as buscas que você faz atualmente. Mais uma vez, isso vai tornar mais difícil para as ferramentas de busca correlacionar a pesquisa e a sua identidade.

O Firefox permite que você crie perfis separados, mas o Internet Explorer não. No Firefox, use o gerenciamento de perfil para criar perfis distintos. Para isso, abra o comando prompt e navegue até o diretório onde o Firefox está instalado (dependendo da versão, pode ser no C:Program FilesMozilla Firefox). Digite firefox.exe - ProfileManager e pressione Enter. O Profile Manager, como mostra a figura abaixo, aparece. Clique em Create Profile e siga as instruções para criar seu perfil. Crie quantos perfis você quiser e varie o uso para as buscas, veja a página de ajuda do Firefox Como gerenciar perfis.

2. Mantenha-se seguro contra o Google

Se você é como a maioria das pessoas, você faz todas - ou a maioria - das suas buscas usando uma única ferramenta: o Google. Isso significa que você está particularmente vulnerável, porque o Google terá um registro de todas as suas pesquisas. Mesmo se você não se cadastra no Google, ele pode rastrear suas buscas porque usa cookies para acompanhá-lo sessão por sessão.

Você pode, é claro, deletar todos os seus cookies antes de visitar o Google. Mas isso é problemático porque eles podem ser bastante úteis. Eles podem, por exemplo, logar você em alguns sites automaticamente ou salvar suas preferências pela forma como você usa os sites.

Uma solução simples é bloquear somente o Google nos cookies em seu PC. A forma de fazer isso varia de um browser a outro. No Internet Explorer, por exemplo, escolha Ferramentas>Opções da Internet, clique em Privacidade e depois no botão Sites. Na janela Adress of Web site, digite www.google.com e depois em bloquear.
De agora em diante, quando você visitar o Google, ele não terá permissão para colocar um cookie no seu disco rígido e não será capaz de rastrear suas pesquisas.

No Firefox 2, selecione Ferramentas>Opções, selecione o botão Privacidade e clique em Exceções. Depois digite www.google.com no Endereço de web site e clique em bloquear. Se você usa outra ferramenta de busca, coloque o endereço dela também.

Perceba que, porque o Google não colocará mais cookies no seu disco rígido, você pode não ser mais capaz de usar vários serviços do Google, como o Gmail. Se você é um usuário Firefox, você pode também usar o CustomizeFirefox extension que entre outras coisas, torna-o anônimo quando você usar o Google.

O Google tem numerosos serviços que você pode assinar, incluindo os serviços RSS, chamado de Google Reader e Google Groups, que permite a você ler grupos de notícias e outras comunidades de debates. Quanto mais serviços como este que você assinar, mais o Google saberá sobre você.

Além das suas pesquisas, ele sabe que blogs e grupos de notícias você lê e participa, por exemplo, o que facilita para a gigante criar um perfil fidedigno sobre você.

3. Mude regularmente seu endereço IP

As ferramentas de busca podem correlacionar todas as buscas por meio de um rastreamento do endereço de IP que você está usando e depois o utiliza para linkar todas as buscas que você realiza naqueles sites.

Existe uma forma simples de burlar isso: mude regularmente seu endereço de IP. Operadoras de banda larga determinam a você um endereço de IP para usar a internet. Estes endereços IP dinâmicos tipicamente ficam designados para o seu PC por um longo período. Para obter um novo endereço, desligue o seu modem, mantenha-o assim por alguns minutos e depois ligue novamente. Isso limpa seu antigo endereço IP e atribui a você um novo.

Se você é uma daquelas poucas pessoas que possuem endereço IP estático - por exemplo, no trabalho - você não poderá usar esta técnica. Ao invés disso, você vai ter que navegar anonimamente com software como o Tor.

4. Use ixquick

Esta é a maneira mais fácil de se certificar de que a informação sobre as suas buscas e pesquisas não serão usadas para construir um perfil sobre você: use uma ferramenta de busca que não arquiva o histórico de suas pesquisas. Isso é exatamente o que o ixquick promete. Ele diz que deleta todas as informações sobre suas pesquisas dentro de 48 horas, então a informação simplesmente não está disponível para qualquer um usar. Se o governo intimar os dados, não há nada para eles obterem.

5. Não inclua informações pessoais em suas pesquisas

Nós sempre Googamos nós mesmos algumas vezes, somente para ver o que está circulando na web sobre nós. Mas todas as vezes que você usa uma informação pessoal em buscas, como seu próprio nome, endereço ou outros dados relacionados, você torna mais fácil para a ferramenta saber quem você é e depois correlacionar com as buscas. Pior, isso pode fazer com que abram brechas se você estiver procurando por informações como o seu número de identidade e alguém acessar as gravações de suas pesquisas.

6. Faça pesquisas críticas em um ponto público de hot spot

Se você precisa de qualquer jeito fazer uma pesquisa com informações pessoais ou uma pesquisa que é sensível por alguma razão, não faça isso em casa ou no trabalho. Ao contrário, vá até um ponto público de hot spot para fazer a pesquisa a partir de lá. Certifique-se de que está usando um hot spot que não exige que você se autentique, ou então sua privacidade estará comprometida.

7. Evite usar o serviço de busca do seu provedor de internet

O seu provedor de serviços sabe o seu endereço de IP, o que significa que ele pode seguir todos os web sites que você visita. Isso é suficientemente ruim para a privacidade, mas, se além disso você também usa a ferramenta de busca, o seu provedor passa a ser capaz de correlacionar seu endereço de IP com as pesquisas e construir um perfil ainda mais detalhado sobre você.
Leia mais...