Os principais veículos de comunicação deram ênfase aos resultados dos testes realizados pelo Tribunal Superior Eleitoral (TSE) para verificar o nível de segurança do sistema de votação brasileiro. Segundo o TSE, nenhum especialista em segurança conseguiu burlar os dispositivos de proteção instalados em urnas eletrônicas. O desafio contou com a participação de 38 especialistas de diversas áreas, representando diferentes instituições e empresas privadas ligadas às ciências da computação.

Segundo o secretário de Tecnologia de Informação do TSE, Giuseppe Janino, o teste público, inédito em todo o mundo, comprovou a segurança do processo eleitoral brasileiro.  Em termos de segurança, chegamos a nossos objetivos e creio termos aqui uma grande evidência de que o eleitor pode ficar tranquilo."

Será mesmo que há motivos para comemorar? Será que os testes foram executados com transparência e com total flexibilidade de ataques e técnicas por parte dos potenciais candidatos a “invasores” das urnas? O Blog Blindagem Digital questionou, antes do período de início dos testes, a quantidade de procedimentos e burocracias  que poderiam afastar aqueles que mais poderiam contribuir para um teste desta natureza,

O Blog lança um desafio ao TSE; sigam o exemplo da Oracle,  que colocou o Oracle Unbreakable Linux de cara para a Internet e promoveu competição para testar a segurança do mesmo com a participação de milhares de especialistas ao redor do mundo e sem burocracias ou limitações de ferramentas ou técnicas que poderiam ser utilizadas para comprometer o sistema.

Clique aqui para ler o post “Teste do TSE para segurança do sistema de votação é repleto de burocracia”, publicado no Blindagem Digital antes do início dos testes do TSE.

A empresa de segurança Sophos divulgou em sua mais recente pesquisa um estudo que aponta que o novo sistema operacional da Microsoft Windows, o Windows 7, lançado permanece com alto nível de vulnerabilidade a atividades maliciosas.

A empresa conduziu testes infectando o sistema operacional e os dados comprovaram que o sistema é suscetível a oito em cada dez vírus. Este estudo é algo que preocupa uma vez que ele comprova a possível insuficiência do User Account Control (UAC), funcionalidade de segurança incorporada aos sistemas operacionais Windows Vista e Windows 7 que pede permissão aos usuários antes de rodar aplicações duvidosas, e que a instalação de adicionais de proteção anti-vírus ainda é necessária.

(mais…)

Estudo da empresa de segurança Dasient identificou que mais de um milhão de sites em todo mundo estão infectados por malware. O total de páginas infestadas é 5,8 milhões São cerca de sete mil sites infectados diariamente

O cofundador da Dasient, Neil Daswain, observa observa que a taxa de reincidência da infecção em sites que já foram ‘limpos’ é de 39,6%. Os  responsáveis pela disseminação  dos códigos usam scripts automatizados ou anúncios maliciosos, entre outros meios, para procurar continuamente carregar os malwares pelos sites.

Todo cuidado é pouco aos milhões de usuários do serviço Facebook, a rede social mais movimentada da Web. Programas da rede social estão instalando códigos hostís no computador dos usuários do serviço.  A descoberta foi feita pelo chefe de pesquisas de segurança de softwares da AVG Technologies, Roger Thompson, quando descobriu que um dos aplicativos do site era um antivírus falso. Roger descobriu que a aplicação City File Department, um jogo onde os usuários incorporam bombeiros e respondem a chamados de emergência, foi modificado para instalar antivírus falso a partir de download automático. O antivírus falso é, na verdade, um kit que contém cavalo-de-tróia e rootkit, dois dos piores códigos hostís colocam os invasores em total controle do sistema operacional do usuário. (mais…)

A Microsoft vai liberar na próxima terça-feira o maior pacote de atualização de segurança de sua história.  O pacote fará correção de falhas em todas as versões do sistema Windows, assim como brechas nos softwares Internet Explorer, Office e SQL Server

Todas as versões do Windows receberão correções, além de programas como o Internet Explorer, Office e SQL Server. Oito dessas correções são consideradas "críticas", o nível mais grave no ranking da Microsoft. Ao todo serão 13 correções, uma a mais que os pacotes recordistas até então, de fevereiro de 2007 e outubro de 2008.

Pela primeira vez a empresa incluirá correções para o Windows 7, sistema operacional que será lançado no próximo dia 22. Muitas pessoas em todo o mundo já usam o software, tanto em sua versão de testes (beta) quanto numa versão final que foi liberada gratuitamente para download há cerca de dois meses.

O pesquisador de segurança Bogdan Calin fez uma análise nas 10 mil contas de usuários do Hotmail que vazaram na web e chegou a conclusão de que  a maioria dos usuários afetados, protegiam o webmail com senhas simples ou fracas.

Ao observar os dados o pesquisador constatou que duas senhas fracas – 123456 e 123456789 – foram as mais utilizadas pelas vítimas. Das 9,8 mil contas legítimas, ele encontrou 82 que usavam uma destas duas combinações.

A senha mais longa encontrada foi “lafaroleratropezooooooooooooooo”. As 10 senhas mais usadas no Hotmail foram as  seguintes:

1. 123456
2. 123456789
3. alejandra
4. 111111
5. alberto
6. tequiero
7. alejandro
8. 12345678
9. 1234567
10. estrella

A boa prática diz : forme sua senha com no mínimo 8 caracteres mesclando letras, números e caracteres especiais (#,!,@,$) e não utilize a mesma senha em todos os serviços on-line

Ontem notificamos aqui no Blog Blindagem Digital o comprometimento de milhares de contas do serviço Windows Live da Microsoft, responsável pelo sign-on único de serviços como Hotmail, Microsoft Messenger (MSN) e Xbox Live. Agora foi a vez do Google. O Gmail está sendo alvo de "grande esquema de phishing", segundo confirmou a própria companhia nesta terça-feira (6) à rede "BBC". 

A "BBC" teve acesso a duas listas que traziam detalhes de mais de 30 mil nomes e senhas que foram postados on-line. Assim que soube do ataque o Google procurou identificar as contas e forçar redefinições de senha nas contas afetadas. 

Assim como o Windows Live, é de extrema importância que os usuários do gmail troquem suas respectivas senhas para evitar qualquer tipo de surpresa em relação ao uso do sistema de correio eletrônico como o roubo da credencial e comprometimento da caixa postal.

Podemos observar que mesmo serviços considerados seguros como Hotmail e Gmail podem sofrer incidentes resultando no comprometimento das credenciais de usuários. Muitos Internautas utilizam o mesmo usuário e senha para o acesso a diferentes sites na Web. Estes incidentes reforçam a necessidade para que os usuários adotem boas práticas de segurança evitando  o compartilhamento da mesma senha para diferentes serviços da Internet. . 

No caso do Gmail já há a confirmação de que as credenciais foram comprometidas a partir de sites falsos utilizando-se a técnica de phishing (usuário acessando site falso e divulgando suas credenciais de acesso que são capturadas). Em relação ao Hotmail, a Microsoft ainda conduz processo de investigação para compreender  como as senhas vazaram.

Atenção máxima a todos os usuários que utilizam hotmail, MSN Messenger, Xbox Live e outros serviços associados ao .net passport, credencial única de acesso a todos os serviços on-line da Microsoft! O site Neowin divulgou da presente data que  os e-mails e respectivas senhas de milhares de contas do serviço Windows Live foram publicadas on-line. De acordo com informações divulgadas pela BBC, um usuário anônimo postou os detalhes das contas no dia 1 de outubro no pastebin.com, um site usado para desenvolvedores compartilharem trechos de códigos.

O site Neowin divulgou ter removido as informações e confirmou ter visto parte da lista e confirmado que as informações parecem ser verdadeiras – entre as extensões de e-mail estão @hotmail.com, @msn.com e @live.com. A  lista continha informações de cerca de 10 mil contas iniciadas com as letras “a” e “b”. Por isso é possível que existam outras listas. 

Este autor que vos escreve, por ter seu userid do serviço live iniciando-se com a letra “a”, já providenciou a troca da senha procurando resguardar a confidencialidade de acesso a sua caixa postal assim como proteger a conta de serviço do videogame Xbox Live uma vez que a conta é associada ao .net passport.  Usuários do serviço Xbox  correm o risco de perder seu acesso ao Xbox Live uma vez que com o conhecimento de suas credenciais de acesso os “Tags” poderiam ser roubados.

É importante que todos os usuários que utilizem o Hotmail e serviços associados efetuem a troca de sua senha imediatamente.

A Microsoft confirmou que as informações foram postadas na Internet e disse estar investigando a origem do problema para tomar as devidas ações cabíveis.

O exploit que explora o novo furo de segurança em plataformas Windows foi liberado para uso público a partir do projeto Metasploit. O código, que explora uma nova vulnerabilidade observada no Windows SMB v2, eleva o nivel de alerta aos usuários domésticos, administradores de rede e equipes de segurança  uma vez que a Microsoft ainda não liberou o patch de correção da vulnerabilidade. Estamos, mais uma vez, diante de um ataque do tipo “zero day” onde o exploit é publicado antes que o fabricante tenha oportunidade de criar e distribuir a correção (patch).

(mais…)

 Apple anunciou um grande pacote para a correção de 47 falhas de segurança consideradas críticas para Mac iPhone 3.1 e QuickTime. Segundo informções divulgadas pela empresa, algumas das vulnerabilidades podem garantir controle total dos sistemas aos invasores, acionados pela simples navegação ou execução de arquivos maliciosos.

Das correções divulgadas pela empresa podemos ressaltar patches para o  iPhone 3.1 ,  QuickTime 7.6.4 (apresentou problemas com buffer overflow) e atualizações para versões antigas do OS X,