Dia de testes de hackers em urnas do TSE termina sem ameaça ao sistema

Fonte: http://g1.globo.com

Com rádio, ‘investigador’ capta interferência do teclado de uma urna.
Porém, ele classifica como improvável a violação do sigilo do voto.

O primeiro dia dos testes de segurança das urnas eletrônicas que serão usadas nas eleições de 2010 foi encerrado nesta terça-feira (10), no Tribunal Superior Eleitoral (TSE), sem nenhuma ameaça que pudesse colocar em cheque o sistema eleitoral brasileiro. Único a encerrar seu plano de ação logo no primeiro dia, o especialista em tecnologia da informação Sérgio Freitas, de 35 anos, conseguiu captar interferências eletromagnéticas dos teclados da urna eletrônica, por meio do uso de aparelhos de rádio AM/FM. “Em frequencias FM, ao digitar [no teclado da urna] era possível detectar interferências com o aparelho a uma distância de 5 a 10 centímetros da urna”, explicou.

A partir da captação dos sinais, em tese seria possível detectar o voto do eleitor, pois, segundo Freitas, cada tecla tem um som específico. No entanto, ele classificou como muito improvável a possibilidade de violação do sigilo do voto do eleitor no dia de uma eleição, pois seria inviável captar interferências nas seções eleitorais.

“Essa distância não é significativa em termos de possibilidade de quebra do sigilo do voto.
Considero, pela dificuldade, muito improvável que ocorra qualquer violação do voto do eleitor”, disse o especialista. O hacker citou que até hoje, no mundo, se tem notícia de que interferências semelhantes tenham sido detectadas a uma distância máxima de 20 metros. “No nosso país há muito mais possibilidades para você usar do que essa tecnologia, que seria cara e dependeria de equipamentos e filtros potentes”, afirmou Freitas. “A segurança é medida sempre em relação ao custo que se vai ter para empreender o ataque. Nesse caso, o custo seria altíssimo”, completou.
Sérgio Freitas, no entanto, deixou como sugestão a blindagem das urnas para que o processo se torne 100% seguro no que diz respeito ao sigilo dos votos.

Testes
Ao longo desta terça, 17 hackers iniciaram a tentativa de fraudar as urnas. Até sexta-feira (13), um total de 38 “investigadores”, como são chamados pelo TSE, trabalharão nas cinco ilhas montadas na sede do tribunal, em Brasília. Os hackers inscritos, a maioria especialistas em informática e tecnologia da informação, têm planos de testes que vão desde a quebra do sigilo do voto até a alteração do destino do voto digitado na urna. O secretário de Tecnologia da Informação do TSE, Giuseppe Janino, afirmou que não acredita na possibilidade de as barreiras que protegem o sistema eleitoral serem vencidas pelos hackers. O engenheiro da computação Valter Monteiro, representante de um grupo composto por cinco profissionais da Marinha do Brasil, disse ao G1 que sua equipe “busca a inserção de algum arquivo na urna”. Caso o objetivo seja atingido, em tese a urna eletrônica estaria sujeita a fraudes. O grupo vai participar dos quatro dias de teste. Ou seja, tentarão burlar a urna até sexta-feira (13). No dia 20, os "investigadores" que apresentarem as três melhores ideias para o aprimoramento do sistema eleitoral receberão prêmios de R$ 5 mil, R$ 3 mil e R$ 2 mil. Os testes são acompanhados por dois observadores internacionais da Organização dos Estados Americanos (OEA), que vieram de Washington especialmente para acompanharem a tentativa dos hackers burlarem o sistema eleitoral do Brasil. Dentre os observadores brasileiros, há representantes da Federação Nacional das Empresas de Informática, do Serviço Federal de Processamento de Dados (Serpro), do Tribunal de Contas da União (TCU), do Exército, da Câmara e da Polícia Civil do Distrito Federal.

Instalando o uebLOCK - Software de Bloqueio

Aqui vai a dica do nosso amigo Fernando. Este é o software que ele utiliza para bloquear o Orkut. Seguem os passos para a instalação.

Clique no botão Executar.


No assistente da instalação, clique no botão Próximo >.


Clique no botão Eu Concordo.

Instalando o uebLOCK.

Clique no botão Terminar.

Crie uma senha e confirme. Lembrando que a versão ficará disponível por 10 dias. Após isto, adquira o software. Após a criação e confirmação da senha, clique em OK.


A informação abaixo mostra queo uebLOCK está ativado.

Holandês de 17 anos ataca iPhones desbloqueados

Fonte: http://www.linhadefensiva.org

Vulnerabilidade no SSH de iPhones desbloqueados permitia fácil acesso ao aparelho

Um garoto holandês de 17 anos lançou um ataque específico para iPhones desbloqueados durante o fim de semana. Seu software, ao se instalar, de maneira automática, em aparelhos vulneráveis, exibia uma mensagem informando que “Seu iPhone foi hackeado porque ele é muito inseguro!
Por favor acesse doiop.com/iHacked e torne seu aparelho seguro agora mesmo!”. A mensagem informava ainda que o valor para corrigir a falha era de 5 euros.

O holandês conseguiu criar com facilidade o malware que atua de maneira automática por conta de uma falha de segurança no aparelho: por padrão, todos os iPhones compartilham uma mesma senha para os usuários “root” e “mobile”. Normalmente isso não é um problema, mas alguns telefones desbloqueados possuem o sistema de administração remota SSH. Sabendo disso, torna-se simples criar malwares automatizados para explorar a falha de maneira massiva, obtendo o acesso total por meio da senha única via SSH.

Após ser exposto na mídia especializada, o garoto pediu desculpas e postou uma nota na segunda-feira (02) que informa, gratuitamente, como corrigir a falha de segurança.

TJ-RS isenta Itaú por roubo de senha

Fonte: http://www.baguete.com.br/

A 15º Câmara Cível do Tribunal de Justiça do Estado do Rio Grande do Sul (TJ-RS) mudou uma sentença já dada e isentou o banco Itaú da responsabilidade por saques indevidos causados por um software malicioso que rouba senhas. Segundo informações publicadas pelo órgão, foi comprovada que a operação fraudulenta foi realizada por meio de um programa de computador – conhecido como spyware ou como cavalo de troia - que captura senhas e demais informações sigilosas do usuário. Ainda, segundo o site, o correntista descobriu que foram roubados R$ 4.487,53 de sua conta, após o roubo das senhas. Na Justiça de 1º Grau, a Juíza Aline Santos Guaranha, da Comarca de São Leopoldo, determinou ao banco o pagamento de R$ 4.487,53 por danos materiais e de 10 salários mínimos a título de danos morais.

No entanto, a instituição financeira recorreu ao Tribunal de Justiça solicitando a reforma da sentença. O argumento foi de que o sistema utilizado pelo banco na web é seguro e capaz de evitar fraudes.

"Os desembargadores concluíram que o correntista não adotou os cuidados necessários quanto à forma de se prevenir contra invasões de hackers em seu sistema”, afirma a nota publicada no site do TJRS.

Apple admite falha em sistema operacional Snow Leopard

Fonte: http://www1.folha.uol.com.br

A Apple confirmou uma falha em seu mais novo sistema operacional, lançado no último mês de agosto.

Mais de cem usuários reportaram o problema em fóruns de suporte da companhia. O problema, segundo eles, se relacionava à perda de dados cruciais - incluindo sites favoritos, imagens, vídeos, documentos e outros arquivos essenciais.


Mac OS X Snow Leopard, última geração do sistema operacional da Apple, tem falha que apaga dados de usuários; empresa confirmou

Aparentemente, de acordo com o jornal "The Daily Telegraph", a falha afeta usuários que já tinham uma conta habilitada antes de atualizar para o Snow Leopard.

Segundo os relatos, tudo indica que uma pequena falha faz com que os antigos usuários sejam cadastrados como convidados, e reseta todo o perfil toda a vez que o usuário sai do sistema.

Ao retornar à conta normal após logar nesta conta de convidados, alguns usuários constataram que os dados pessoais foram eliminados.

Usuários que fizeram back-up dos seus dados em um drive externo ou no Apple Time Machine podem restaurar os arquivos. Mas outras pessoas que não fizeram back-up recentemente estão impossibilitadas de restaurar seus dados nas respectivas máquinas.

A Apple disse que o problema ocorreu "apenas em casos extremamente raros", e que está trabalhando em uma atualização de software para corrigir o problema.

Clones virtuais rendem salário de US$ 300 mil a golpistas da internet

Fonte: http://g1.globo.com

Sites maliciosos induzem usuário a instalar programas que roubam dados.
Usuários devem ter antivírus instalados no PC para evitar problema.

Um novo meio de roubar dados confidenciais dos usuários de computador garante uma renda mensal de até US$ 332 mil a criminosos na internet – cada máquina infectada rende até US$ 0,55 para o bandido. O golpe utiliza programas de segurança fraudulentos, conhecidos como “scarewares”, uma espécie de clones de programas reais, deixando o computador vulnerável a diversas ameaças virtuais.

Nesse estilo de ataque, o usuário infecta o seu próprio computador ao acreditar que o programa que está sendo instalado é legítimo e de confiança. Os criminosos criam versões de antivírus, por exemplo, que se parecem com softwares reais, enganando o usuário que irá abrir a porta da sua máquina para que os golpistas roubem senhas, dados de contas bancárias, números de cartões de crédito. “Essas informações que valem muito no mercado negro”, afirma Paulo Vendramini, diretor de engenharia de sistemas para a América Latina da Symantec.

É muito difícil identificar um “scareware”, uma vez que esse tipo de programa consegue clonar um software legal. “O foco dos criminosos está em reproduzir programas de grandes empresas e sites de grande circulação como portais e de shoppings virtuais”, diz Vendramini.

Programas antivírus, além de avisar quando o computador está infectado por esses programas maliciosos, avisam o usuário que o site em que ele está navegando pode ser falso ou apresentar algum perigo.

Como ocorre o ataque? Os programas de segurança fraudulentos são propagados por meio de spams. O sistema de proteção do computador avisa que a máquina foi infectada e indica um programa para o usuário comprar com a promessa de consertar o problema. Esse software é falso e instala códigos maliciosos no PC, que passa dados privados do dono do PC para os criminosos. Em média, o valor pago pelo usuário desavisado é entre US$ 30 e US$ 100.

De acordo com o executivo, os bandidos estão tão organizados que eles recrutam pessoas para distribuir esses programas falsos. Cada computador infectado nos Estados Unidos rende US$ 0,55. Para receber a quantia de US$ 332 mil, os criminosos infectam mais de 600 mil máquinas mensalmente.

Ferramentas de busca também podem enganar o usuário. Ao procurar por um software para limpar a máquina da ameaça, o usuário encontrará programas maliciosos em destaque no resultado da busca. Isso porque os “scarewares” replicam os programas “reais”. Vendramini diz que sites de buscas estão melhorando seus sistemas para evitar esses problemas.

Os programas de segurança fraudulentos já estão disponíveis em diversas línguas e para outros sistemas operacionais como o Mac OS. A velocidade do crescimento e a eficiência dos “scarewares” é tanta que o índice de sucesso dos ataques é de 93%.

Facebook perde dados de 150 mil usuários

Fonte: http://www1.folha.uol.com.br

Milhares de usuários do Facebook não conseguiram entrar no site de relacionamentos durante o período das últimas duas semanas por causa de um problema com os servidores. Foram 150 mil usuários, ou o equivalente a 0,5% dos usuários do Facebook (que tem mais de 300 milhões de internautas).

Segundo o site da revista PC World, os usuários do Facebook estão, gradativamente, reavendo suas contas, ainda que alguns dados tenham sido totalmente perdidos.


Milhares de usuários do Facebook não conseguiram entrar no site de relacionamentos durante o período das últimas semanas

A justificativa dada pelo site foi a de que houve "um problema técnico em uma única base de dados". O site também descartou a hipótese de um ataque de piratas virtuais "ou outra atividade maliciosa".

Em comunicado, a porta-voz do Facebook, Brandee Barker, informou que "nossa equipe de engenheiros está trabalhando, e todos estes usuários devem ter o acesso das suas contas restabelecidos."

"Se a falha de um servidor afeta 150 mil pessoas, o que aconteceria se três servidores quebrassem? Idéia paranóica, talvez, mas com o crescimento do Facebook e com o site se tornando mais integrado na vida ordinária das pessoas e dos seus negócios, a segurança do site se torna um assunto público de grande relevância", diz a revista.

Cloud computing é um 'pesadelo para a segurança', diz CEO da Cisco

Fonte: http://computerworld.uol.com.br

São Francisco - Segundo John Chambers, tecnologia deve ser encarada de forma não tradicional em relação à segurança.

Durante apresentação na RSA, conferência de segurança realizada em São Francisco (EUA), John Chambers, CEO da Cisco, disse que a computação em nuvem é inevitável. Entretanto, a tecnologia vai modificar a estrutura de segurança das redes. “Não vamos ter ideia do que existe no data center das empresas”, afirmou. “Isso é bom para mim, que estou no mercado de rede. Vou vender muito equipamento para fazer isso funcionar”, comemorou.

Apesar do otimismo, Chambers ressaltou que “isso é um pesadelo de segurança e não pode ser gerenciado de maneira tradicional”. Para Ronald Rivest, professor de ciência da computação do MIT (Massachusetts Institute of Technology), a segurança de ambientes cloud será um ponto focal de boa parte do trabalho realizado pelo instituto na área de cyber segurança. O professor se mostrou otimista quanto ao futuro do conceito, por outro lado, afirmou que muito trabalho terá de ser feito para manter os ambientes seguros.

Os participantes da conferência, no entanto, ainda não mergulharam na tecnologia. “Não estou vendo grandes benefícios na nuvem”, disse Bruce Jones, CSO da Kodak. A questão delicada, para Jones, é a perda do controle sobre dados sensíveis. Para projetos de longo prazo, é mais simples comprar o hardware, afirmou o executivo.

De qualquer forma, Jones afirmou que o cloud computing pode funcionar em menor escala na sua empresa. “Para um piloto ou um projeto de pesquisa no qual queiram fazer alguma coisa com infraestrutura sob demanda e escalável. Funciona nesses casos, e se você não tiver muitas preocupações com a confidencialidade das informações”, disse o executivo.

Na opinião de Tom Gillis, vice-presidente de marketing da unidade de segurança da Cisco, à medida que os dados migrem para a nuvem, os serviços de segurança da companhia vão ficar mais importantes, e a habilidade da empresa em inspecionar dados sendo enviados para dentro e para fora das redes corporativas vai se tornar mais crítica.

E a tendência não vai retroceder, afirmou Chambers. Segundo o CEO da Cisco, o uso de ferramentas de web 2.0 pela empresa, como vídeo blogging e conferência, cresceu exponencialmente no ano passado. No primeiro trimestre de 2009, o executivo realizou 262 reuniões, sendo 200 virtuais, por meio dos sistemas de telepresença da companhia. “Essas aplicações precisam ser seguras. É a nossa vida”, disse.

Google corrige falha no Orkut e ferramenta do Facebook volta a funcionar

Fonte: http://pcworld.uol.com.br/

Após exportação de contatos do Orkut explorada pelo Facebook parar de funcionar, Google revela e corrige falha dentro da rede social

O Google afirmou que não bloqueou de forma premeditada a exportação de contatos da rede social Orkut, mas que a ferramenta sofreu uma falha na manhã da sexta-feira (2/10), já corrigida pelos engenheiros do buscador.

Em post no blog Data Liberation, o engenheiro Brian Fitzpatrick afirma que a indisponibilidade aconteceu durante "a integração de medidas adicionais de segurança" na exportação de usuários.

"A falha foi corrigida nesta manhã (...) e usuários podem novamente exportar seus contatos acessando a página Friends e clicando sobre o botão de exportação. Gostaria de me desculpar por qualquer incoveniência que possamos ter causado para usuários do Orkut", afirma Brian.

A exportação de contatos do Orkut foi o canal encontrado pelo Facebook em nova tentativa para se aproveitar da popularidade da rede social do Google, em campanha iniciada na quinta-feira (1/10).

Ao acessar o Facebook, um aviso convida os usuários a localizarem quais amigos na rede social do Google já estão inscritos no serviço criado por Mark Zuckerberg. "Você tem uma conta do Orkut? Veja se seus amigos do Orkut já estão no Facebook", afirma o alerta.

Em maio, o Facebook já havido oferecido um botão para barra do navegador que, clicado, mostrava quais usuários do perfil do usuário no Orkut já estavam cadastrados também no Facebook.

Plataformas de petróleo estão vulneráveis ao ataque de hackers

Fonte: http://www.inovacaotecnologica.com.br

As plataformas de petróleo operando em alto mar têm sistemas inadequados de segurança da informação, o que as deixa altamente vulneráveis aos ataques de hackers, vírus e vermes digitais.

O alerta foi feito por pesquisadores do instituto de pesquisas SINTEF, que abrange os países escandinavos.

Invadindo uma plataforma de petróleo
Os cientistas afirmaram que as companhias petrolíferas fizeram um bom trabalho no tocante à tecnologia de exploração de petróleo e aos cuidados com o meio ambiente e a segurança e saúde dos trabalhadores. Mas ficaram a dever no quesito segurança da informação.

"O cenário de pior caso, é claro, é aquele no qual um hacker conseguirá invadir e tomar o controle de toda a plataforma," explica Martin Gilje Jaatun, um dos membros da equipe que estudou plataformas petrolíferas de várias empresas.

"Felizmente isso ainda não aconteceu, mas nós registramos um grande número de incidentes que poderiam ter se transformado em algo deveras dramático. Por exemplo, ataques de vírus já fizeram com que um processo controlado eletronicamente se tornasse instável," diz Jaatun.

Plataformas robotizadas
As plataformas de petróleo são verdadeiras fábricas quase inteiramente automatizadas e totalmente interligadas por sistemas eletrônicos de sensores e atuadores, que monitoram e controlam a produção 24 horas por dia.

Um ataque malicioso que consiga entrar no sistema de controle da plataforma poderá eventualmente controlar todo o seu processo produtivo. Com um pouco mais de conhecimento do próprio processo, o invasor seria capaz de gerar erros que levariam a "consequências desastrosas," segundo os pesquisadores.

O avanço das tecnologias e a necessidade de diminuição dos custos traçou uma tendência clara de que a exploração petrolífera em alto mar seja crescentemente robotizada nos próximos anos, o que poderá deixá-las ainda mais vulneráveis a ataques, caso medidas adequadas de segurança não forem adotadas.

Criação de métricas
A principal origem das fragilidades encontradas pelos pesquisadores é a interligação das plataformas com os controles em terra. A exploração de petróleo segue o que se chama "operação integrada," em que o contato plataforma marítima-central de controle em terra é totalmente transparente - a maioria dos processos na plataforma são controlados pelo pessoal em terra por meio de PCs em rede.

Os pesquisadores fizeram entrevistas pormenorizadas com o pessoal envolvido em funções-chave de empresas petrolíferas operando na Noruega e na Finlândia e confirmaram que o número de incidentes de segurança nas plataformas vem subindo ano a ano.

"O estudo de segurança da informação nas plataformas mostrou que existe uma necessidade de criar métricas para medir os efeitos dos esforços dispendidos no aumento da segurança. Nós precisamos desenvolver novos mecanismos de mensuração que possam demonstrar como as diferentes formas de lidar com as contingências de segurança afetam questões básicas do negócio, como o tempo de operação e a lucratividade," recomendaram os pesquisadores.