Hackers já haviam invadido empresa por sistema de ar-condicionado e máquina de salgadinhos, agora invadem por cardápio de restaurante

Incapazes de invadir a rede de computadores numa grande empresa de petróleo, hackers infectaram com um malware o cardápio online de um restaurante chinês muito utilizado pelos funcionários. Ao escolherem seu almoço, eles acidentalmente baixaram um código que deu aos agressores uma base na ampla rede computacional da empresa.

lição com o incidente ficou clara: empresas que procuram proteger seus sistemas contra hackers e espiões do governo precisam procurar vulnerabilidades nos locais mais improváveis.

 

Na recente invasão do cartão de pagamentos da Target, hackers ganharam acesso aos registros da loja através do sistema de ar condicionado. [O sistema da Target, segunda rede de varejo dos EUA, sofreu um ataque em dezembro do ano passado, com o qual os criminosos roubaram dados de cartões de crédito de 40 milhões de clientes.] Em outros casos, hackers usaram impressoras, termostatos e equipamentos de videoconferência.

Os invasores instalaram um malware na rede dos equipamentos POS (ponto de venda) que processam o pagamento via cartões de crédito e débito. Através do malware os dados dos cartões foram copiados e transferidos para servidores em outros países, incluindo o Brasil. O ataque ocorreu justamente antes do feriado de Thanksgiving e da famosa Black Friday quando milhões de pessoas correm aos estabelecimentos para se aproveitar das ofertas. O acesso à rede se deu via um provedor externo de manutenção de ar condicionado, supostamente com acesso a fim de monitorar a temperatura e funcionamento dos equipamentos de refrigeração. Os criminosos roubaram a senha da empresa, obtiveram livre acesso à rede da Target e implantaram um malware nos equipamentos de ponto de venda. Tiveram tempo suficiente para testar primeiro em alguns antes de instalar em todos os POS. Com certeza não esperavam da vítima nenhum tipo de monitoração. Como de praxe o problema foi detectado bem depois.

 

“A beleza é que ninguém presta atenção nesses dispositivos”, declara George Kurtz, presidente da Crowdstrike, outra firma de segurança. “Então é bastante fácil para o intruso se esconder”.

Sete lições para profissionais de segurança

Sete lições para profissionais de segurança terem mais sucesso

Aprender com as falhas é uma das recomendações dos especialistas para os gestores tenham mais êxito no desafio de proteger os negócios de suas empresas.

Da Redação – Computerworld

14 de janeiro de 2014 – 07h30

A indústria e os profissionais de Segurança estão respondendo a altura, a medida que os roubos de identidade e os riscos de segurança crescem, ou repete falhas do passado? Enquanto as tecnologias para segurança se aprimoram, os criminosos também ganham acesso a ferramentas melhores. Eles é que estão ficando mais espertos?

A sabedoria tradicional diz que é necessário mais equipe com treinamento e certificações de segurança. Outros dizem que salários mais altos, um melhor entendimento dos criminosos ou mais executivos top de linha são necessários. Tudo isso ajuda, mas algumas equipes têm tudo isso e mesmo assim falham. Caem sistematicamente em armadilhas parecidas.

Com base em experiências reais, confira sete lições que qualquer profissional de segurança precisa aprender para ter sucesso:

1 – Segurança costuma ser vista como um problema
Geralmente,  profissionais de segurança são vistos como estraga prazeres, que trazem mais problemas que soluções. No mundo da computação em nuvem, por exemplo, milhares de artigos positivos são escritos por quem fala da tecnologia, mas os artigos da área de segurança só sabem falar quão ruim a nuvem é para segurança da informação.

A dica para superar isso é se esforçar para se tornar um facilitador. Pare de dizer não para os clientes e ofereça soluções seguras para as propostas apresentadas. Diga como garantir que o projeto seja entregue no prazo, no orçamento e com um nível de segurança adequado. Enquanto isso, vá analisando se e como a área de negócios enxerga valor nas suas abordagens.

2 – Segurança é encarada como uma solução única
Outro erro comum dos profissionais de segurança é achar que um tipo de solução pode resolver os problemas de cibersegurança de todos os tipos e tamanhos de empresa. Essa abordagem é errada porque erros de dimensionamento podem colocar uma empresa maior sob risco ou fazer uma empresa menor gastar desnecessariamente em uma solução muito abrangente.

A solução é oferecer aos clientes diferentes níveis de solução para as empresas. Estudar o mercado, acompanhar avaliações de consultorias como Gartner e Forrester, ficar em contato constante com associações de segurança, tudo isso ajuda a bolar o melhor pacote de soluções para cada caso e auxiliar as áreas de negócios a entenderem os riscos e benefícios associados à cada opção.

3 – Um pouco mais de humildade ajudaria
Não há dúvida que todos os clientes do mundo gostam de trabalhar com pessoas positivas, amigáveis, humildes e com atitudes pacientes. Essa descrição, infelizmente, não cabe à maioria dos profissionais de segurança. A consequência é que eles tendem a desprezar processos e trabalhar somente nas demandas que parecem mais ameaçadoras. O profissional de segurança adora combater inimigos e acaba se esquecendo a razão da segurança e da existência do seu time.

Para driblar esse problema, é necessário mostrar humildade genuína aliada à excelência profissional. Admitir que os criminosos estão cada vez melhores e trabalhando mais duro para derrotar o que você está fazendo é uma atitude interessante. Pensar assim fará o profissional de segurança pensar em ter  mais planejamento, colaboração e trabalhar em processos com ciclo me vida projetada. Paralelamente, uma boa atitude do profissional é se engajar em atividade sociais da companhia e mostrar que faz parte do time.

4 – Profissionais tendem a achar que o cliente não sabe nada da área
Alguns profissionais de segurança veem clientes como agentes irritantes, que não sabem do que estão falando quando o assunto é segurança. Combinada com a falta de paciência em realizar explicações claras, essa atitude leva o profissional a concluir que o cliente nunca entenderá o real problema. Um grande erro.

Ocorre que 90% das questões mal compreendidas, segundo especialistas, são erros relacionados às pessoas e a relacionamentos ruins. Os profissionais precisam entender que as pessoas que surgem com demandas não têm, como missão, irritá-los: elas têm família, torcem para times, praticam seus hobbies.  Relacione-se, conheça melhor cada pessoa, construa confiança e constate que cada um tem seus conhecimentos e que vale a pena um esforço para compartilhá-los.

5 – Cyber ética: você é uma ameaça interna?
Muitos profissionais de segurança costumam se ver como hackers do bem que não devem seguir políticas que os outros funcionários seguem. No entanto, quanto mais o profissional aprende e se torna “hacker do bem”, mais a tentação cresce. As informações com as quais vai se deparar testará a ética e a honestidade do profissional o tempo todo.

O ideal é não ter essa atitude. Respeitar as políticas da empresa, mesmo que tenha o poder de desrespeitá-lo, é a melhor forma de manter o emprego, reputação e ainda dar um bom exemplo. É bom nunca subestimar o risco aos quais se expõe, pois ninguém age sem deixar rastros.

6 – Esgotamento mental na carreira
Muitos profissionais de segurança sentem sintomas de esgotamento em algum ponto da carreira. Pesquisas indicam que a área de segurança é onde se encontra a maioria desses profissionais. Eles acham que todos os dias são ruins, levam para casa o que têm de negativo no trabalho, sentem-se exaustos o tempo todo, acham que todas as tarefas são tediosas e acham que nada do que fazem é valorizado.

Superar isso é difícil, mas requer uma boa dose de perseverança e equilíbrio entre a vida pessoal e a profissional. A melhor coisa na carreira é antecipar possíveis estresses e trabalhar em cima de sinais que podem levar ao esgotamento. Em segundo lugar, o profissional deve analisar sua situação pelo menos uma vez por ano para avaliar o que está bom, o que está ruim e o que poderia causar um problema. Não seria hora de planejar folgas, férias, buscar alguma realização pessoal?

Reconhecer a carreira como uma maratona, e não um sprint final, é uma boa atitude também. O profissional não vai ser usado, esgotado e descartado, como um ciclo único. A carreira é repleta de ciclos.

7 – Perspectivas ruins e sensação de estagnação
Muitos profissionais de segurança se esquecem de características comportamentais, como atitude, relacionamento, liderança, entre outros, para se concentrar só nas técnicas. Isso quase sempre leva à sensação de estagnação vivida pela maioria.

Para evitar que isso ocorra, a melhor forma é desenvolver estratégicas práticas, como respeitar sua própria posição como um papel importante na empresa, se voluntariar para comitês ou equipes de atividades paralelas na empresa e tentar gerar boas ideias para a organização, participando de discussões sobre problemas e eventuais soluções. Essas atitudes práticas auxiliam o desenvolvimento de características pessoais e melhoram as perspectivas de crescimento e as chances de avanço na carreira.

Fonte: http://computerworld.uol.com.br/carreira/2014/01/14/sete-licoes-para-professionais-de-seguranca-terem-sucesso/?goback=.gmp_4216332#!

Aplicativo Siri do Iphone – Caça aos muçulmanos?

Bom primeiramente, acho que todos sabem que um adepto do islamismo é chamado de muçulmano.

Pessoal da lista UndegroundBR postou isso e fiquei encucado, está tudo em alemão, mas o próprio pessoal da lista explica:

Para quem não entendeu nada do vídeo é o seguinte:
O cara está fazendo comparações de busca da Siri, basicamente religiões.
Ele procura por budismo, a Siri traz o conteúdo numa boa.
Porem quando ele pede para a Siri procurar por Islam, a Siri fala:

“EU SO POSSO PROCURAR POR ISLAM SE VOCE ATIVAR A GEOLOCALIZACAO”

ÃAA? Como assim… rsrrs.. Tirem suas conclusões.

Matéria completa:

http://stadt-bremerhaven.de/die-stunde-der-aluhuttraeger-siri-verlangt-bei-islam-suche-aktivierte-ortungsdienste/

Burlando a segurança do aeroporto

A notícia está falando sobre Evan Booth, que constrói armas de itens que você pode comprar depois da segurança do aeroporto. É uma coisa inteligente .
Não é novo , no entanto. As pessoas têm vindo a explicar como burlar a segurança do aeroporto por anos.

Já em 2006 , Evan explicou como imprimir seu cartão de embarque e evitar a verificação de foto – identificação, um truque que ainda parece funcionar.

Há muito mais se você começar a procurar ao redor da Internet. Mas a pesquisa feita pelo Evan Booth é bem interessante, basta clicar no site abaixo, e escolher as armas, e ele fez um vídeo explicando como fazer as armas, tudo feito com coisas que podem ser compradas após passas da segurança do aeroporto.

SITE: Clique Aqui

Senhas grandes são boas, mas podem gerar DOS

Muito se aconselha na internet os usuários a usar senhas longas e gerados aleatoriamente para proteger seus ativos digitais. Agora vem a prova definitiva de que o excesso de comprimento da senha pode ser prejudicial para a segurança.

Ele vem em forma de vulnerabilidade recém-remendada em framework de desenvolvimento do Django Web. Por padrão, ele usa o algoritmo PBKDF2 transformar senhas em texto simples em longas cadeias chamadas de hashes criptográficos. O problemas dessas senhas é passa-los através de várias rodadas de hashing que aumentam significativamente o tempo e os recursos computacionais necessários. Para grandes bancos de dados de senha, o esforço adicional pode literalmente adicionar séculos para o processo de quebra as senhas.

Os desenvolvedores do Django dizem, este esforço maior por segurança pode ser uma lâmina de dois gumes. Em um comunicado os desenvolvedores explicam o porquê:

 

Unfortunately, this complexity can also be used as an attack vector. Django does not impose any maximum on the length of the plaintext password, meaning that an attacker can simply submit arbitrarily large—and guaranteed-to-fail—passwords, forcing a server running Django to perform the resulting expensive hash computation in an attempt to check the password. A password one megabyte in size, for example, will require roughly one minute of computation to check when using the PBKDF2 hasher.

This allows for denial-of-service attacks through repeated submission of large passwords, tying up server resources in the expensive computation of the corresponding hashes.

Pouco depois alguém divulgou a vulnerabilidade de negação de serviço em um fórum público para desenvolvedores Django, mantenedores rapidamente correram para consertá-la. As atualizações, que limitam senhas para 4096 bytes, estão ligados à assessoria de segunda-feira. O cargo passou a usuários lembrou que os desenvolvedores do Django preferem receber divulgações de segurança privada em security@djangoproject.com para que eles possam corrigir a vulnerabilidade antes de se tornar amplamente conhecido.

Rock in Rio: Site falso engana mais de 200 pessoas

O portal rockinrioingressos.com.br, que vendia os bilhetes, não está mais no ar. Foram criadas comunidades nas redes sociais para denunciar a fraude e há denúncias de várias partes do País.

Os organizadores do evento afirmam que não se responsabilizarão pelo golpe. “A veracidade dos ingressos só é garantida pela venda oficial. Temos estratégias para evitar falsificações, mas elas podem acontecer”, diz Fabiane Guimarães, gerente de comunicação do festival.

Durante os três primeiros dias de shows, segundo Fabiane, não chegaram à organização casos de ingressos falsificados. “Mas foram presos alguns cambistas que tentavam vender ingressos nas imediações da Cidade do Rock”, diz.

As primeiras vítimas do golpe apareceram há poucas semanas. É o caso do físico Wahlem Santos, de Uberlândia (MG). Por meio de boleto bancário, ele pagou R$ 300 pelo ingresso, com direito a uma camiseta. Após desconfiar que havia sido enganado, descobriu que o boleto, na verdade, era uma ordem de pagamento. O número que consta no documento é o mesmo para todos os que compraram pelo site.

O empresário Rodrigo Toni, de São Paulo, adquiriu dois ingressos, cada um por R$ 450. “Recebi um comprovante da compra por e-mail. Fiquei tranquilo”, relata. Também foi o atraso na entrega que despertou a sua desconfiança. “Quando tentei entrar em contato, os e-mails começaram a voltar”, conta. Acostumado a fazer compras pela internet, Toni diz que não desconfiou do site.

Hotel e avião. Há casos em que o prejuízo foi ainda maior, já que também foram comercializados hotel e passagem aérea. Um professor de Camboriú, em Santa Catarina, relata ter perdido mais de R$ 2 mil.

Reportagem Completa

Skype está disponível para usuários do Outlook.com no Brasil

Conforme o Skype ganha mais e mais popularidade, também crescem o número de maneiras como os usuários podem se conectar, independentemente do tipo de dispositivos ou serviços que preferem. Esta semana a Microsoft anunciou que o Skype para Outlook.com está totalmente disponível em diversos países, permitindo que os usuários rodem o Skype a partir de suas contas do Outlook.com.

 

 

O Outlook.com é o primeiro serviço de e-mail conectado ao Facebook, Twitter, LinkedIn e Google para ajudar a reunir conteúdo relevante e maximizar as comunicações de todas as caixas de entrada dos usuários.

O e-mail é uma ferramenta pessoal e importante para a maioria das pessoas, mas há alguns momentos nos quais você deseja poder falar ao vivo ou bater papo cara a cara. Em uma pesquisa recente da Ipsos Public Affairs, 76% das pessoas disseram que suas conversas de e-mail frequentemente ou ocasionalmente resultam em uma chamada telefônica ou de vídeo – ou por outros meios de comunicação. Esses momentos são perfeitos para o Skype e, agora, a conexão face a face está na sua Caixa de Entrada a apenas um clique.

O lançamento do Skype no Outlook.com é outro exemplo de como o Skype vem suportando a interoperabilidade entre múltiplas plataformas. Nos últimos meses, uma série de anúncios evidenciou essa flexibilidade. Em julho, o Skype chegou a 100 milhões de instalações em Android. O Skype para Linux e o Skype para iPhone e iPad também foram novidades bem-vindas por usuários open source e do sistema iOS.

O Skype para Outlook.com já está disponível no, Alemanha, Brasil, Canadá, França, Estados Unidos e Reino Unido. Se você ainda não tem o Skype para Outlook.com, crie uma conta clicando aqui. Para saber mais sobre esse anúncio, visite o blog do Outlook.

Google Palestina Hackeado

Mirror do ataque: http://zone-h.org/mirror/id/20623377

 

FONTE: http://www.engenhariae.com.br/colunas/site-da-google-palestina-e-hackeado/

A página inicial do Google Palestina sofreu um ataque nesta segunda-feira (26/08), os responsáveis pelo ataque desfiguraram a página para exibir mensagens políticas no maior buscador do mundo.

As mensagens postadas na página se referiam ao fato de o Google Maps mostrar os territórios palestinos como se fossem pertencentes a Israel, em vez de mostrar claramente o nome “Palestina”.

No site, os hackers deixaram uma mensagem: ”Tio Google, nós dizemos oi da Palestina para lembrá-lo que o país no Google Maps não se chama Israel, se chama Palestina”, dizia a mensagem postada. “Pergunta: o que aconteceria se nós mudássemos o nome do país de Israel para Palestina no Google Maps?”, continuava o texto, que mostrava o mapa da região— em seguida, ainda sugeriram que os visitantes escutassem a cantora Rihanna.

Por volta das 17h35, o endereço google.ps levava para uma página que indicava “conta suspensa”. Segundo o siteZDNet, os servidores do Google não sofreram ataque. Os hackers conseguiram sequestrar o domínio do Google Palestina e redirecioná-lo para outro servidor no Marrocos. O domínio, no entanto, continua sob posse do Google.

Em maio deste ano, o Google trocou o nome de sua página inicial dirigida a usuários palestinos de “Territórios palestinos” para “Palestina”. Na época, o governo de Israel pediu ao Google que reconsiderasse sua decisão. Em uma carta enviada ao CEO do Google, Larry Page, o vice-ministro das Relações Exteriores de Israel, Ze’ev Elkin, afirmou que a medida pode minar os esforços para a paz na região.

O status oficial dos territórios palestinos é um assunto polêmico e ainda sem definição. Em novembro de 2012, a Organização das Nações Unidas (ONU) elevou o status da Palestina de “entidade” para “Estado observador não-membro” – medida que teve amplo apoio dos membros da organização, mas sofreu forte oposição dos Estados Unidos e de Israel.

Por mais que os hackers não estejam satisfeitos com a postura do Google sobre a Palestina, a empresa já tomou alguns pequenos passos para o reconhecimento da nação, que disputa territórios com Israel. A própria página do google.ps passou a exibir o nome “Google Palestinian Territories” para “Google Palestine” (de “Google Territórios Palestinos” para “Google Palestina”).