Décadas depois, estouro de memória continua sendo usado como ataque

O estouro de memória (buffer overflow) têm sido um sério problema de segurança para desenvolvedores de software por várias décadas, mas a história da pesquisa de exploit sobre esta classe de falhas é relativamente curta.

Fonte: http://threatpost.com/pt_br/blogs/decadas-depois-estouro-de-memoria-continua-sendo-usado-como-ataque-050310

Anúncios

Conheça os diferentes tipos de vulnerabilidades e ataques de hackers

Segurança da informação pode ser um assunto complicado. São muitos termos diferentes. Para elucidar um pouco como ataques e vulnerabilidades funcionam, a coluna Segurança para o PC preparou um “dicionário” em uma linguagem simples para que você possa entender o funcionamento de algumas brechas e saber como hackers ganham acesso não autorizado a diversos sistemas. Confira.Leia o artigo completo no G1 Segurança.

http://g1.globo.com/tecnologia-e-games/noticia/2010/05/conheca-os-diferentes-tipos-de-vulnerabilidades-e-ataques-de-hackers.html

Fonte: http://threatpost.com

Botnet Gumblar muda de tática para evitar detecção

Os criminosos por trás da botnet Gumblar têm adaptado as suas técnicas, como os atacantes estão acostumados a fazer, tendo em vista não só evitar a detecção como impedir os investigadores de baixar e analisar as novas versões do malware.

Uma análise da atividade recente da Gumblar mostra que a versão atual (ou uma das versões correntes) tem uma nova funcionalidade que verifica em qual país a máquina recentemente infectada está localizada durante a rotina de infecção inicial. O objetivo dos bandidos é evitar que o Gumblar infecte outras novas máquinas no Japão, onde os pesquisadores têm conseguido localizar e desmontar partes da rede da rede.

O vírus Gumblar vem infectando PCs e servidores por mais de um ano, com uma elevada taxa de sucesso. A nova alteração de orientação por parte dos atacantes mostra que ainda não estão contentes.

Os desenvolvedores do Gumblar notaram uma atividade incessante de muitos IPs japoneses visando seu sistema. O duro trabalho de análise dos dados colhidos no Japão resultou em uma resposta dos cibercriminoso. Há pouco tempo nos deparamos com uma nova variante do script infector criado pelos desenvolvedores do Gumblar, que verifica de que país o cliente remoto está vindo. O script usa um banco de dados IP para localizar o país do cliente. E se o país acaba é o Japão, o script pára e não ataca. Abaixo está a parte do código que implementa essa tarefa:

A nova pesquisa, feita por Vitaly Kamluk, do escritório japonês da Kaspersky, descobriu que a rede de Gumblar agora compreende pelo menos 4.460 servidores. Esse é um número bastante grande de servidores, e uma fração desse número seria suficiente para montar uma botnet muito grande.

“Neste momento ninguém tem informações sobre quantas as máquinas-cliente comprometidas estão na botnet Gumblar, mas acreditamos que é mais do que apenas o número de servidores comprometidos, porque o número de servidores representa apenas a contagem de usuários infectados que têm seus próprios sites e usam clientes FTP no sistema infectado “, Kamluk escreveu.

Google lança curso gratuito de segurança em aplicativos web

O Google lançou um novo curso de formação online para desenvolvedores de aplicativos Web projetado para ensinar-lhes como evitar erros comuns de programação que conduzem à vulnerabilidades como cross-site scripting, falsificação de solicitação entre sites e outros.

O curso, que faz parte do Google Code University, baseia-se em torno do conceito de um aplicativo para o Twitter, chamado Jarlsberg, uma aplicação real que o Google está lançando como parte do curso. Conhecido como “Exploits e Defesas de Aplicativos Web”, o curso oferece aos desenvolvedores a oportunidade de ver o funcionamento interno de uma aplicação fundamentalmente insegura, analisar as vulnerabilidades e aprender sobre os erros de programação que levaram a esses defeitos.

“Este curso foi feito em torno do Jarlsberg, uma pequena aplicação web que permite aos seus utilizadores publicar trechos do texto e armazenar arquivos diversos. “Infelizmente”, o Jarlsberg tem vários bugs de segurança que variam de cross-site scripting e falsificação de solicitação de cross-site, abertura de informações, negação de serviço e execução remota de código. O objetivo deste codelab é guiá-lo a descobrir alguns desses bugs e maneiras de aprender a resolvê-los, tanto no Jarlsberg como em geral,”, diz a documentação do curso.

Jarlsberg

O curso de desenvolvimento seguro é baseado em torno de uma série de desafios que exigem que os alunos passem e identifquem vulnerabilidades específicas no código do Jarlsberg. Depois que os alunos aprendem o básico de uma vulnerabilidade, tais como CSRF, eles então têm de encontrar uma maneira de usar essa falha para executar uma ação maliciosa específica na aplicação, tais como a mudança de alguns detalhes de um usuário logado na conta do utilizador sem o seu conhecimento.

Aulas de codificação segura para os desenvolvedores não são novidade, nem são o tipo de aulas de hacking ético que dão aos alunos a oportunidade de aprender técnicas básicas de ataque. Mas a idéia de dar aos desenvolvedores a oportunidade de ir atrás de vulnerabilidades em uma aplicação web projetada especificamente para esse fim é algo novo, e provavelmente muito necessária, dada a pouca instrução de segurança que a maioria dos desenvolvedores de aplicativo da Web recebe.

O curso de segurança é aberto a todos e disponível gratuitamente, assim como o código do Jarlsberg.

Fonte: http://threatpost.com

PCI com programa de certificação para profissionais de TI

O PCI Security Standards Council LLC, criado pela Visa, MasterCard, American Express e outras companhias de cartões de crédito, anunciou hoje um novo programa, denominado Internal Security Assessors (ISA), destinado a retalhistas e empresas de processamento de pagamentos obrigadas à conformidade com o standard.

Ao abrigo do novo programa, o conselho de segurança irá formar e certificar profissionais da área da segurança em TI, para que possam conduzir auditorias e assegurar a conformidade das suas companhias ao standard PCI. O programa mensal, de três dias de duração, será aplicado por todo o mundo e concebido para melhorar a qualidade das auto-auditorias realizadas por retalhistas e empresas de processamento de pagamentos com cartões, de acordo com Bob Russo, director-geral do PCI Security Council.

O standard PCI foi criado então pelas maiores companhias de cartões de crédito do mundo e cobre todas as organizações que aceitem transacções com cartões de crédito e débito. O standard especifica vários controlos de segurança de nível elevado que todas as companhias que lidam com este tipo de transacções são obrigadas a implementar.

As empresas, sobretudo as de média e grande dimensão, são obrigadas a submeter actualizações periódicas da sua conformidade com os requisitos do standard. Cada companhia de cartões de crédito conta com os seus próprios requisitos de validação. A Visa, por exemplo, obriga todos os retalhistas que processem mais de seis milhões de transacções anuais a passarem por auditorias presenciais realizadas com auditores externos qualificados para o efeito. Aos retalhistas mais pequenos é lhes dada a opção de conduzirem auto-auditorias anuais para validação da sua conformidade. A MasterCard tem requisitos semelhantes, mas determina que as auto-auditorias só possam ser feitas por elementos do departamento de tecnologia certificados pelo PCI Security Standards Council para o efeito.

O novo programa agora anunciado vem responder a uma necessidade muito importante, na opinião de Avivah Litan, analista do Gartner. “Este é um dos anúncios mais positivos que o conselho de segurança fez nos últimos tempos. Existe muito interesse neste tipo de formação por parte dos retalhistas, porque sabem que é importante conseguirem cumprir o standard PCI”, afirma a analista.

A exigência, por parte da MasterCard, de que as auto-auditorias apenas sejam feitas por auditores PCI qualificados veio estabelecer a necessidade urgente de se criar um programa de certificação ISA, diz Avivah Litan, para quem o programa de formação permitirá às companhias, sobretudo as maiores, maximizarem os conhecimentos e valências das suas próprias equipas de segurança em TI. “Existem muitas empresas com profissionais de segurança TI muito talentosos e especializados, sendo que muitos deles estão ainda mais capacitados para realizar auditorias que alguns auditores externos”, sublinha, acrescentando que o programa de formação deverá também ajudar as empresas a melhor compreenderem os requisitos para validação de conformidade. Cada sessão de três dias terá um custo de 2495 dólares por pessoa, sendo que este valor baixa para os 1495 dólares para as empresas que forem membros do PCI Security Standards Council.

Fonte: Computer World

Cibercrime cresce mais sofisticado

“Os atacantes evoluíram desde simples fraudes para campanhas de espionagem altamente sofisticadas, que tiveram como alvo algumas das maiores empresas mundiais e entidades governamentais”, constata Stephen Trilling, vice presidente sénior da área Security Technology e Response da Symantec. O fabricante lançou o seu último relatório sobre o estado da segurança na Internet durante o ano de 2009.

As principais tendências observadas no relatório deste ano incluem:
– Um aumento do número de ameaças-alvo focadas nas empresas. Tendo em conta o potencial de ganho monetário a partir da propriedade intelectual (IP) empresarial comprometida, os cibercriminosos estão a dirigir a sua atenção para as empresas. O relatório conclui que os atacantes estão a aproveitar-se da informação pessoal disponível, de forma aberta, em sites de redes sociais, para arquitectar ataques de engenharia social em indivíduos chave dentro de empresas alvo. O Hydraq adquiriu uma elevada notoriedade no início de 2010, mas esse foi apenas o mais recente de uma longa lista de ataques do género, incluindo o Shadow Network, em 2009, e o Ghostnet, em 2008.

Fonte: ComputerWorld

Segurança de cartões de crédito em risco

O executivo da The 451 Group, Josh Corman, diz mesmo que nem as actualizações previstas para o segundo semestre deste ano não trarão melhorias significativas. E vai ainda mais longe: o chamado padrão de segurança para a indústria dos cartões de pagamento (PCI DSS) está a condicionar os investimentos das empresas em segurança, fazendo-as muitas vezes optar pelas soluções mais adequadas à protecção dos seus activos.

O analista considera que uma das principais falhas do PCI DSS é que não tem em conta o cloud computing, o que faz com que as empresas que estão a adoptar esta nova platafroma, na expectativa de poupar recursos e dinheiro, não possam utilizar o standard de maneira a conseguirem cumprir os requisitos de conformidade. E as alterações que se espera entrem em vigor no próximo Outono não irão, segundo Corman, resolver esta lacuna.

O problema é que, com a actual situação de crise, os CIO e os CISO das empresas são obrigados a limitar os seus orçamentos de segurança e, uma vez que o PCI DSS é obrigatório para todos os que tenham que transaccionar operações com cartões de crédito, os seus requisitos têm que ser cumpridos, muitas vezes à custa de outras medidas de segurança não implementadas, diz o analista do The 451 Group.

Por outro lado, o analista admite que o PCI tem criado orçamentos onde estes não existiam. Uma afirmação comum é dizer que a segurança é à prova de recessões, mas a conformidade com o padrão PCI tem obrigado muitas empresas a fazer investimentos que, de outra forma, teriam sido cortados. “Seria certamente mais correcto afirmar que a obrigação de cumprir com este standard foi o que tornou a segurança à prova de recessão”, sustenta.

Pode ser discutível se o PCI DSS faz, ou não, um bom trabalho na protecção dos dados dos cartões de crédito, mas o que é indiscutível, na óptica de Josh Corman, é que fez um bom trabalho na protecção de todos os activos corporativos, o que, todavia, não corresponde à sua função principal. “O PCI não foi feito para proteger as empresas, mas os dados de clientes pelos quais são responsáveis”, sublinha.

A ideia comungada pela indústria é, no entanto, que o PCI DSS é um standard feito para proteger as redes das empresas. E, uma vez que é obrigatório para muitas delas, acaba por determinar as iniciativas corporativas na área da segurança, nem sempre as melhores opções, diz Corman. Muitos responsáveis de segurança dizem a este analista que os seus investimentos em segurança são condicionados pela necessidade de cumprirem o PCI DSS e passarem as respectivas auditorias. “Temos hoje mais medo dos auditores do que dos ciber-criminosos. Acham que isso está certo?”, perguntou à audiência.

A natureza das ameaças está constantemente em evolução, com os criminosos a tentarem todos os dias entrar nas redes alheias pelos métodos mais sofisticados que encontram. Entretanto, o PCI DSS é apenas actualizado a cada dois anos, o que faz com que fique para trás no combate às mais recentes técnicas no campo do cibercrime, acusa Josh Corman. O analista do The 451 Group afirma que alguns dos princípios que sustentam o standard não resistem a uma análise mais detalhada. Por exemplo, a correcção rápida e regular de falhas de segurança em sistemas operativos e aplicações é um dos argumentos promovidos pelos criadores do PCI. Mas das 90 intrusões que deram origem a roubo de dados em 2009, apenas seis teriam sido evitadas se fossem feitas correcções mais atempadas, de acordo com dados da Verizon Business citados pelo analista.

Da mesma forma, a ideia generalizada de que a maioria das intrusões são causadas por pessoal interno está também sobrevalorizada, porque apenas 20 por cento dos incidentes reportados pela Verizon podem ser ligados a este tipo de causa. E, destes 20 por cento, metade ficou a dever-se a erros de utilizador, não a intenções maliciosas. “Esse é um mito urbano que não corresponde à verdade”, diz Corman.

85% das fugas de dados resultam de malware personalizado

Os sistemas antivírus, obrigatórios pelo PCI, absorvem a maior fatia dos investimentos em segurança, mas 85 por cento das fugas de dados tiveram na sua origem a acção de malware personalizado para o efeito, que o software antivírus não consegue detectar, segundo o analista. A posição do PCI Council é que nenhum roubo de dados conseguiu ser bem sucedido numa rede totalmente cumpridora do standard PCI. “O conselho alega a infalibilidade do standard”, diz.

Fonte: Computer World

  • Calendário

    • Setembro 2017
      S T Q Q S S D
      « Maio    
       123
      45678910
      11121314151617
      18192021222324
      252627282930  
  • Pesquisar