Hackers que descobriram a vulnerabilidade estimam que 25% de todos os sites estejam sujeitos a ataques devido ao problema.
A Microsoft alertou na última sexta-feira (20/09) que uma falha crítica no ASP.Net – ambiente de programação em servidores Windows – poderia ser usada por hackers para invadir páginas criptografadas da Web e roubar dados como nomes de usuário e senhas.
A vulnerabilidade se tornou pública neste mesmo dia, pouco antes do anúncio da empresa, quando dois pesquisadores, que descobriram o problema, mostraram como explorá-lo em uma conferência de segurança realizada em Buenos Aires, Argentina.
De acordo com o comunicado da companhia de Redmond, a falha atinge todas as versões do ASP.Net. Portanto, uma correção terá que ser providenciada para todos os sistemas operacionais ainda suportados, do Windows XP Service Pack 3 (SP3) e Server 2003 ao Windows 7 e Server 2008 R2. Outros produtos, como o IIS e o SharePoint também serão atualizados.
Os hackers responsáveis pela demonstração, Rizzo e Duong, disseram que os ataques que exploram a falha podem acessar aplicativos Web com prioridade administrativa, provocando desde a “perda de dados sigilosos à destruição completa do sistema”. Eles estimam que 25% de todos os sites usem o ASP.Net.
Enquanto a correção não vem
Embora a Microsoft tenha dito que uma correção está a caminho, ela não divulgou um cronograma. Enquanto isso, sugere aos desenvolvedores uma medida paliativa:
“Você pode se prevenir ao ativar o recurso customError do ASP.Net, e configurá-lo para sempre retornar a mesma página de erro – independentemente da falha encontrada no servidor”, escreveu Scott Guthrie, responsável por algumas equipes de desenvolvimento da empresa, inclusive a que comanda o ASP.Net. “Ao direcionar todas as páginas de erro a um único lugar, você impedirá que um hacker distinga entre os diferentes erros ocorridos”.
O diretor de operações de segurança da empresa nCircle Security confirmou que a vulnerabilidade é “preocupante”.
“Quanto aos serviços públicos, as pessoas ficarão temerosas com ataques que poderão acessar qualquer documento. Por exemplo, arquivos 'web.config', nos quais estão contidos o tradicional usuário/senha”.
Para ajudar os desenvolvedores, a Microsoft publicou um script em Visual Basic capaz de detectar a vulnerabilidade em aplicações ASP.Net, além de disponibilizar um fórum exclusivo para as perguntas referentes ao problema.
fonte:http://idgnow.uol.com.br/seguranca/2010/09/20/microsoft-alerta-para-falha-critica-que-atinge-aplicacoes-em-asp.net/
quarta-feira, 22 de setembro de 2010
terça-feira, 21 de setembro de 2010
Redes sociais: sete brechas que podem colocar sua empresa em risco
Sites como Facebook e LinkedIn são fonte rica para invasores em busca de dados para golpes de engenharia social, aponta executivo de segurança.
As redes sociais são uma rica fonte para hackers, que podem colher dados corporativos valiosos ou se infiltrar em redes empresariais, alertou um diretor de segurança da informação de uma grande empresa de trading.
“Os sites de redes sociais são uma verdadeira praga”, pelo menos da perspectiva de segurança corporativa, afirmou Alan Lustiger, diretor de segurança de informação da Gain Capital Holdings, durante a conferência The Security Standard 2010 esta semana, em Nova York (EUA).
Sete brechas
Eis as sete razões apontadas por Lustiger:
1 - A busca em sites sociais por nomes de empresas revela, mesmo que parcialmente, uma lista dos funcionários, o que já facilita bastante o trabalho de quem pretende explorar ataques de engenharia social.
2 - Endereços corporativos de e-mail publicados em sites sociais fornecem informação valiosa. Se o esquema de formação dos e-mails (inicial do primeiro nome e sobrenome, ou primeiro nome mais “sublinhado” e sobrenome) for o mesmo da senha, então a segurança estará comprometida. “Você estará a meio caminho de divulgar seu usuário e senha”, diz.
3 - Informações publicadas em sites sociais dão pistas para tentativas de adivinhação de senha – nomes de crianças, comida favorita, equipes esportivas, etc.
4 - Concursos falsos anunciados em sites sociais que exigem todo tipo de dado, e que poderiam ser usados para redefinir senhas: que escola você frequentou, nome de seu primeiro animal de estimação, seu tio favorito, entre outros.
5 - URLs encurtadas usadas frequentemente no Twitter podem levar a qualquer lugar - e a URL não lhe dá pista alguma de qual lugar seria esse.
6 - O garimpo de informação em quadros de avisos pode render notícias de vagas de TI em empresas dentro do alvo do invasor. Este, por sua vez, poderia se qualificar para uma entrevista e, nela, obter informações detalhadas sobre a rede corporativa no decorrer da discussão sobre o trabalho em potencial e sua experiência com tecnologias específicas.
7 - O uso do GPS pelo Google Latitude torna público o local onde a pessoa está no momento, revelando também todos os lugares onde ela não está. Pessoas que buscam um pretexto para entrar num prédio comercial poderiam usar esta informação para passar na empresa e pedir para falar com um empregado que sabidamente não estará lá.
Pé na empresa
Lustiger diz que tudo que os exploradores de engenharia social precisam é conseguir colocar um pé dentro da empresa, mesmo que seja na área da recepção. Basta que um deles entre, pergunte por alguém que não está lá, decida esperar e, então, peça à recepcionista para imprimir uma planilha que deveria ser levada à reunião com a pessoa que não está lá.
As recepcionistas, treinadas para serem solícitas, irão inserir um pen drive USB em seu computador para imprimir o documento. Ao mesmo tempo, na retaguarda, um malware estará plantando um backdoor, roubando dados ou liberando código destrutivo, diz o diretor – tudo sem deixar rastro.
Outros truques de engenharia social incluem conseguir qualquer vaga na empresa, dando ao invasor acesso interno às redes e mais tempo do que realmente precisariam para causar estrago. “Levaria minutos e não seria algo difícil de fazer”, diz.
Educar os empregados sobre os riscos é a melhor forma de bloquear vetores de ataque social, diz Lustiger. Relacionar essas medidas a suas vidas pessoais ajuda. “Por que um site web precisa saber sua data de aniversário?”, pergunta, apontando que a informação pode ser utilizada como um fator de identificação para mudar senhas ou roubar identidades. Ele tem uma data de nascimento falsa que utiliza para ajudar a protegê-lo contra roubo de identidade.
As recomendações de segurança física que os empregados deveriam seguir incluem não deixar que pessoas aproveitem a passagem por uma porta aberta depois que alguém a tenha destravado com um cartão, e pedir identificação a qualquer pessoa que não seja reconhecida como funcionário.
Quanto aos sites de redes sociais, as equipes de segurança corporativa deveriam promover a monitoração, mesmo que amostral, dos sites de rede social usados por seus funcionários em busca de informação que, tornada pública, poderia comprometer a segurança de ativos da empresa. “Os empregados estão colocando informação lá fora em seu próprio tempo livre”, diz.
Mesmo as empresas mais diligentes permanecem vulneráveis, afirma. “É virtualmente impossível defender-se contra um invasor de engenharia social realmente dedicado que tenha tempo suficiente”.
Um grande abraço a todos!
As redes sociais são uma rica fonte para hackers, que podem colher dados corporativos valiosos ou se infiltrar em redes empresariais, alertou um diretor de segurança da informação de uma grande empresa de trading.
“Os sites de redes sociais são uma verdadeira praga”, pelo menos da perspectiva de segurança corporativa, afirmou Alan Lustiger, diretor de segurança de informação da Gain Capital Holdings, durante a conferência The Security Standard 2010 esta semana, em Nova York (EUA).
Sete brechas
Eis as sete razões apontadas por Lustiger:
1 - A busca em sites sociais por nomes de empresas revela, mesmo que parcialmente, uma lista dos funcionários, o que já facilita bastante o trabalho de quem pretende explorar ataques de engenharia social.
2 - Endereços corporativos de e-mail publicados em sites sociais fornecem informação valiosa. Se o esquema de formação dos e-mails (inicial do primeiro nome e sobrenome, ou primeiro nome mais “sublinhado” e sobrenome) for o mesmo da senha, então a segurança estará comprometida. “Você estará a meio caminho de divulgar seu usuário e senha”, diz.
3 - Informações publicadas em sites sociais dão pistas para tentativas de adivinhação de senha – nomes de crianças, comida favorita, equipes esportivas, etc.
4 - Concursos falsos anunciados em sites sociais que exigem todo tipo de dado, e que poderiam ser usados para redefinir senhas: que escola você frequentou, nome de seu primeiro animal de estimação, seu tio favorito, entre outros.
5 - URLs encurtadas usadas frequentemente no Twitter podem levar a qualquer lugar - e a URL não lhe dá pista alguma de qual lugar seria esse.
6 - O garimpo de informação em quadros de avisos pode render notícias de vagas de TI em empresas dentro do alvo do invasor. Este, por sua vez, poderia se qualificar para uma entrevista e, nela, obter informações detalhadas sobre a rede corporativa no decorrer da discussão sobre o trabalho em potencial e sua experiência com tecnologias específicas.
7 - O uso do GPS pelo Google Latitude torna público o local onde a pessoa está no momento, revelando também todos os lugares onde ela não está. Pessoas que buscam um pretexto para entrar num prédio comercial poderiam usar esta informação para passar na empresa e pedir para falar com um empregado que sabidamente não estará lá.
Pé na empresa
Lustiger diz que tudo que os exploradores de engenharia social precisam é conseguir colocar um pé dentro da empresa, mesmo que seja na área da recepção. Basta que um deles entre, pergunte por alguém que não está lá, decida esperar e, então, peça à recepcionista para imprimir uma planilha que deveria ser levada à reunião com a pessoa que não está lá.
As recepcionistas, treinadas para serem solícitas, irão inserir um pen drive USB em seu computador para imprimir o documento. Ao mesmo tempo, na retaguarda, um malware estará plantando um backdoor, roubando dados ou liberando código destrutivo, diz o diretor – tudo sem deixar rastro.
Outros truques de engenharia social incluem conseguir qualquer vaga na empresa, dando ao invasor acesso interno às redes e mais tempo do que realmente precisariam para causar estrago. “Levaria minutos e não seria algo difícil de fazer”, diz.
Educar os empregados sobre os riscos é a melhor forma de bloquear vetores de ataque social, diz Lustiger. Relacionar essas medidas a suas vidas pessoais ajuda. “Por que um site web precisa saber sua data de aniversário?”, pergunta, apontando que a informação pode ser utilizada como um fator de identificação para mudar senhas ou roubar identidades. Ele tem uma data de nascimento falsa que utiliza para ajudar a protegê-lo contra roubo de identidade.
As recomendações de segurança física que os empregados deveriam seguir incluem não deixar que pessoas aproveitem a passagem por uma porta aberta depois que alguém a tenha destravado com um cartão, e pedir identificação a qualquer pessoa que não seja reconhecida como funcionário.
Quanto aos sites de redes sociais, as equipes de segurança corporativa deveriam promover a monitoração, mesmo que amostral, dos sites de rede social usados por seus funcionários em busca de informação que, tornada pública, poderia comprometer a segurança de ativos da empresa. “Os empregados estão colocando informação lá fora em seu próprio tempo livre”, diz.
Mesmo as empresas mais diligentes permanecem vulneráveis, afirma. “É virtualmente impossível defender-se contra um invasor de engenharia social realmente dedicado que tenha tempo suficiente”.
Um grande abraço a todos!
segunda-feira, 20 de setembro de 2010
Antivirus Gratuito ou Pago?
Creio que esta é uma pergunta muitas das vezes questionadas quando se está prestes a escolher uma solução antivírus. Antes de mais nada é preciso levar em consideração o custo-benefício da solução. Entre as soluções gratuitas disponíveis hoje, encontramos três soluções mais populares: AVG - AVAST - AVIRA. Interessante que os laboratórios desenvolvedores das soluções citadas acima desenvolvem versões pagas, o que nos levar a questionar o por que? Uma outra pergunta que é questionada "Antivirus gratuitos são confiáveis?". Atualmente duas tecnologias de detecção são utilizadas pelas maiorias das soluções, "Reativo" e "Proativo". Reativo é a detecção de ameaças as quais a solução possui vacinas para limpeza e remoção da mesma. Proativo é a detecção de ameaças através de analisadores heurísticos sem a necessidade das vacinas, é possível identificar uma ameaça apenas por seu comportamento no sistema. As soluções gratuitas em sua grande maioria são reativas, neste caso você pode está infectado e não sabe. Além de não poder contar com um suporte técnico, respaldo essencial na utilização da solução antivírus. Dentre as soluções pagas, destaco a Linha de Produtos ESET, desenvolvedora do conhecido NOD32 antivirus. Além de contar com a qualidade do produto comprovado por diversos testes de entidades idôneas, o produto traz outras características para manter seu computador seguro durante o acesso a internet, emails e mídias removíveis, além disso você conta com suporte técnico oferecido pelos distribuidores. Para mais informações sobre a linha de produtos ESET, acesse http://www.eset.com.br, para aquisição do produto solicite uma proposta envie um email para vendas@minasbyte.com.br.
Um grande abraço a todos!
Um grande abraço a todos!
Usuário e a Segurança Digital
A cada dia 300 mil novas ameaças são lançadas na Web, tornando assim cada vez mais perigoso o entretenimento, lazer, serviços e comunição proporcionados pela internet. Embora não seja ainda obrigatório a utilização de uma solução antivírus, muitos usuários tem se conscientizado da importância de se ter um bom antivírus em seu computador. Abaixo estão alguns motivos pelos quais algumas ameaças invadiriam seu computador:
** Utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor;
** Utilizar seu computador para lançar ataques contra outros computadores;
** Utilizar seu disco rígido como repositório de dados; destruir informações (vandalismo);
** Disseminar mensagens alarmantes e falsas;
** Propagar vírus de computador;
** Furtar números de cartões de crédito e senhas bancárias;
** Furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por você;
** Furtar dados do seu computador, como por exemplo, informações do seu Imposto de Renda.
Para se manter seguro a tantas ameaças, antes de mais nada é preciso manter os softwares utilizados no seu computador sempre atualizados. Principalmente o Sistema Operacional (Windows), uma vez lançado encontra-se com várias vulnerabilidades de segurança que são corrigidas ao longo de sua utilização. Por isso é de grande importância realizar as atualizações de segurança disponibilizadas pela Microsoft.
Além de utilizar um excelente software de antivírus, isso não inclui os gratuitos, afirmo isso e vou explicar no próximo POST "Qual a diferença entre uma solução antivírus gratuita e uma versão paga?".
Um grande abraço a todos e uma boa semana!
** Utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor;
** Utilizar seu computador para lançar ataques contra outros computadores;
** Utilizar seu disco rígido como repositório de dados; destruir informações (vandalismo);
** Disseminar mensagens alarmantes e falsas;
** Propagar vírus de computador;
** Furtar números de cartões de crédito e senhas bancárias;
** Furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por você;
** Furtar dados do seu computador, como por exemplo, informações do seu Imposto de Renda.
Para se manter seguro a tantas ameaças, antes de mais nada é preciso manter os softwares utilizados no seu computador sempre atualizados. Principalmente o Sistema Operacional (Windows), uma vez lançado encontra-se com várias vulnerabilidades de segurança que são corrigidas ao longo de sua utilização. Por isso é de grande importância realizar as atualizações de segurança disponibilizadas pela Microsoft.
Além de utilizar um excelente software de antivírus, isso não inclui os gratuitos, afirmo isso e vou explicar no próximo POST "Qual a diferença entre uma solução antivírus gratuita e uma versão paga?".
Um grande abraço a todos e uma boa semana!
quinta-feira, 16 de setembro de 2010
Cibercriminosos exploram novo bug em documentos PDF, adverte Adobe
A vulnerabilidade afeta a versão atual do programa para os sistemas Windows, Mac OS, Linux, Solaris e smartphones com Android.
Menos de uma semana após divulgar uma falha, ainda sem correção, no seu visualizador de arquivos PDF, a Adobe declarou ontem (13/9) que o software Flash também apresenta vulnerabilidades de segurança que podem ser exploradas por hackers.
Segundo um comunicado da empresa, a atual versão do programa contém uma bug crítico que, atualmente, já é utilizado para atacar computadores com Windows. As versões do aplicativo para os sistemas operacionais Mac OS, Linux, Solaris e o sistema móvel Android, da Google, também incluem o mesmo problema.
"A falha permite que um invasor infecte a máquina e assuma o controle do equipamento afetado", diz a nota. A descoberta foi creditada a Steven Adair, do grupo Shadowserver Foundation.
Reader e Acrobat
O mesmo bug também está presente nas aplicações Adobe Reader, visualizador gratuito de PDF, e Adobe Acrobat, ferramenta de criação de arquivos no mesmo formato. Isso porque que ambos incluem também recurso para conteúdos em Flash.
Segundo a fabricante, até o momento, não existem relatos de ataques ao Reader ou ao Acrobat usando esta vulnerabilidade.
A notificação de ontem (13/9) foi a segunda desde 08 de setembro, quando a Adobe publicou um alerta sobre uma outra vulnerabilidade de dia zero, também sem correção, para os programas de PDF.
OS ataques foram apelidados de "David Leadbetter", um conhecido técnico de golfe, cujo nome foi incluído em uma mensagem maliciosa de e-mail. Na época, a corporação anunciou que a correção para o aplicativo Flash seria lançada em 14 dias, provavelmente, durante a semana do dia 27 de setembro.
Já os dois bugs no Reader e Acrobat - divulgados na semana passada e na última segunda-feira - serão corrigidos no começo de outubro, com um patch de emergência.
fonte: http://www.blogger.com/post-create.g?blogID=3024136641954466810
Menos de uma semana após divulgar uma falha, ainda sem correção, no seu visualizador de arquivos PDF, a Adobe declarou ontem (13/9) que o software Flash também apresenta vulnerabilidades de segurança que podem ser exploradas por hackers.
Segundo um comunicado da empresa, a atual versão do programa contém uma bug crítico que, atualmente, já é utilizado para atacar computadores com Windows. As versões do aplicativo para os sistemas operacionais Mac OS, Linux, Solaris e o sistema móvel Android, da Google, também incluem o mesmo problema.
"A falha permite que um invasor infecte a máquina e assuma o controle do equipamento afetado", diz a nota. A descoberta foi creditada a Steven Adair, do grupo Shadowserver Foundation.
Reader e Acrobat
O mesmo bug também está presente nas aplicações Adobe Reader, visualizador gratuito de PDF, e Adobe Acrobat, ferramenta de criação de arquivos no mesmo formato. Isso porque que ambos incluem também recurso para conteúdos em Flash.
Segundo a fabricante, até o momento, não existem relatos de ataques ao Reader ou ao Acrobat usando esta vulnerabilidade.
A notificação de ontem (13/9) foi a segunda desde 08 de setembro, quando a Adobe publicou um alerta sobre uma outra vulnerabilidade de dia zero, também sem correção, para os programas de PDF.
OS ataques foram apelidados de "David Leadbetter", um conhecido técnico de golfe, cujo nome foi incluído em uma mensagem maliciosa de e-mail. Na época, a corporação anunciou que a correção para o aplicativo Flash seria lançada em 14 dias, provavelmente, durante a semana do dia 27 de setembro.
Já os dois bugs no Reader e Acrobat - divulgados na semana passada e na última segunda-feira - serão corrigidos no começo de outubro, com um patch de emergência.
fonte: http://www.blogger.com/post-create.g?blogID=3024136641954466810
quinta-feira, 2 de setembro de 2010
Microsoft - Desafios da Segurança Digital
Bill Gates, presidente da Microsoft, destaca os desafios relacionados ao acesso seguro neste novo mundo conectado que vivemos e o caminho para alcançarmos uma efetiva segurança, confiança e privacidade. Veja mais no link abaixo: http://www.microsoft.com/brasil/corpinfo/execmail/2007/02-06secureaccess.mspx |
ESET chega ao varejo!
A ESET acaba de lançar em todo o Brasil sua linha de produtos para o mercado de varejo:
http://idgnow.uol.com.br/mercado/2010/08/26/empresa-de-antivirus-eset-chega-ao-mercado-brasileiro/
http://idgnow.uol.com.br/mercado/2010/08/26/empresa-de-antivirus-eset-chega-ao-mercado-brasileiro/
Assinar:
Postagens (Atom)