Os principais veículos de comunicação deram ênfase aos resultados dos testes realizados pelo Tribunal Superior Eleitoral (TSE) para verificar o nível de segurança do sistema de votação brasileiro. Segundo o TSE, nenhum especialista em segurança conseguiu burlar os dispositivos de proteção instalados em urnas eletrônicas. O desafio contou com a participação de 38 especialistas de diversas áreas, representando diferentes instituições e empresas privadas ligadas às ciências da computação.

Segundo o secretário de Tecnologia de Informação do TSE, Giuseppe Janino, o teste público, inédito em todo o mundo, comprovou a segurança do processo eleitoral brasileiro.  Em termos de segurança, chegamos a nossos objetivos e creio termos aqui uma grande evidência de que o eleitor pode ficar tranquilo."

Será mesmo que há motivos para comemorar? Será que os testes foram executados com transparência e com total flexibilidade de ataques e técnicas por parte dos potenciais candidatos a “invasores” das urnas? O Blog Blindagem Digital questionou, antes do período de início dos testes, a quantidade de procedimentos e burocracias  que poderiam afastar aqueles que mais poderiam contribuir para um teste desta natureza,

O Blog lança um desafio ao TSE; sigam o exemplo da Oracle,  que colocou o Oracle Unbreakable Linux de cara para a Internet e promoveu competição para testar a segurança do mesmo com a participação de milhares de especialistas ao redor do mundo e sem burocracias ou limitações de ferramentas ou técnicas que poderiam ser utilizadas para comprometer o sistema.

Clique aqui para ler o post “Teste do TSE para segurança do sistema de votação é repleto de burocracia”, publicado no Blindagem Digital antes do início dos testes do TSE.

Após o recente apagão, surgiu a hipótese de que ele teria sido causado intencionalmente por alguém ou algum grupo tecnicamente capacitado para tal. Alguns especialistas reforçam essa teoria, mas outros refutam-na.
— A partir das informações disponíveis, é muito difícil afirmar que tenha sido um cracker o responsável pelo recente apagão nacional — explica Durval Menezes, da TMP Consultoria, especialista em segurança de dados, redes e criptografia, e atuando na área desde 1984. — Hackers do mal, os chamados “crackers”, em geral, ou são fanáticos lutando pelo que acreditam ser uma causa maior, ou estão simplesmente atrás de dinheiro, opção que motiva a nata da classe. No caso em questão, nenhuma dessas duas variáveis parece estar em jogo. Hoje, é muito raro um cracker que tenha capacidade para comprometer um sistema como o de Furnas. O que mais existe atualmente são os chamados “script kiddies”, curiosos que seguem receitas de bolo sobre como penetrar indevidamente em sistemas, sem entender muito bem o que estão fazendo ou como as coisas funcionam.

Segundo Menezes, o controle de linhas de transmissão elétrica geralmente se dá por meio de sistemas SCADA (Supervisory Control And Data Acquisition), que controlam e supervisionam a operação de uma instalação e capturam informações sobre seu funcionamento. São sistemas muito distribuídos, em que os dispositivos são constituídos de hardware bastante especial, tais como controladores lógicos programáveis, os chamados PLC (Programmable Logic Controller). Estes equipamentos, como são muito especificos, são normalmente mais dificeis de terem sua seguranca comprometida pelo cracker. Entretanto, esses esquemas de controle são normalmente supevisionados a partir de consoles que rodam em equipamentos mais normais e sob sistemas operacionais mais padrão, tais como OS/2, QNX, Windows NT 4 e o Solaris, da empresa Sun. A necessidade de se ter operação em tempo real é que os eventos em uma linha elétrica de potência se processam em alta velocidade, exigindo respostas igualmente rápidas, da ordem de milissegundos.
O desenvolvimento de sistemas é caríssimo, basicamente pela complexidade da fase de testes. Às vezes um sistema em tempo real é mais caro para testar do que para desenvolver. No entanto, uma vez testados, funcionam por anos a fio sem problemas. Em plataformas da Petrobras, por exemplo, ainda estão em funcionamento sistemas de monitoramento baseados em computadores VAX duais, rodando o sistema operacional VMS, arquitetura antiga mas muito robusta.
— Se é para imaginar situações de interferência maliciosa, no caso desse apagão, é muito mais plausível investigar a possível participação de alguém de dentro do que a atuação de cracker externo — teoriza Menezes. — Um funcionário que conheça minúcias do funcionamento do sistema e que, por algum motivo, esteja insatisfeito, desequilibrado, ou movido por maus propósitos, teria muito mais facilidade de interferir destrutivamente na operação.

Contudo, prossegue o especialista, todas as operações em um sistema assim deveriam ser “logadas”, ou seja, permanecem registradas em arquivos históricos chamados “logs”, que em geral são gravados em computadores separados, os chamados central logging server (servidor central de log), vulgo “chupa-logs”, fisicamente situados em local distinto e cuja senha apenas a chefia conhece. O acompanhamento e o gerenciamento desses registros é feito de acordo com um protocolo padrão denominado Syslog.
— O apagão também pode ter sido causado por pura incompetência — avalia Menezes. — Se um evento meteorológico poderoso afetou a linha de transmissão, um pararraios mal mantido, por exemplo, poderia ser o ponto fraco da grade elétrica. O aterramento de um pararraios precisa de cuidadosa manutenção preventiva periódica. Ou seja, uma manutenção displicente pode ter sido a causa do problema.

Isoladores elétricos mal mantidos também podem causar problemas em linhas de transmissão, como ocorreu nos dias 26 e 27 de setembro de 2007 na linha Campos – Macaé, causando desligamento total das cargas do Estado do Espírito Santo e parte das cargas da região norte do Estado do Rio de Janeiro. Nesse incidente (vide laudo oficial da ANEEL), “a deficiência na manutenção dos equipamentos causou uma situação de risco, já que nas linhas de transmissão e nas subestações que apresentaram sucessivas falhas no dia da ocorrência havia uma significativa quantidade de isoladores que estavam em operação e que não tinham as condições adequadas para garantir o desempenho satisfatório do sistema.” Nesse incidente, o defeito foi provocado por poluição na cadeia de isoladores em função de depósito de fuligem provocada por queimadas na região de Campos.

Já Alexandre Freire, consultor de segurança, considera possível a invasão. Segundo ele, há uma tendência de interligação entre as redes de automação (que controlam máquinas), corporativa e a internet.
— Hoje há a possibilidade de acessar uma rede industrial, e se ela não tiver cuidados e equipamentos de segurança para evitar acessos não-autorizados, muitas vezes pode-se chegar aos sistemas de controle a partir da internet — alerta.
Freire explica que o acesso não precisa ser feito diretamente. Um invasor pode se conectar pelo email de um funcionário que escolheu uma senha mais fraca. A partir dali ele consegue mapear a rede e estabelecer outros pontos vulneráveis.
— Isso não se faz o dia para a noite. É preciso ficar muito tempo mapeando a rede, escalonar o acesso para outras máquinas. Quem faz isso, sabe o que está buscando e quer prejudicar.
Ele conta a história de uma fábrica de cimento na qual todos os fornos e maquinário industrial eram controlados por computadores. Segundo ele, o operador se conectava com senhas fracas e não havia um esquema de segurança robusto, uma vez que os sistemas eram antigos, previstos para uma realidade pré-internet.
Para Freire o essencial é garantir uma segurança adequada dos sistemas e controlar o acesso entre as redes corporativas e de automação.

A hipótese da culpa de crackers para apagões elétricos foi novamente levantada recentemente em pronunciamento do presidente Obama e reforçada com a última edição do programa televisivo “60 Minutes” da rede americana CBS, que chegou a mencionar o caso brasileiro.

O governo americano costuma admitir que sua rede elétrica é vulnerável à ciberguerra, tendo patrocinado estudos com o objetivo de reforçar a segurança de redes de controle. De acordo com o “Wall Street Journal”, em abril de 2009, crackers supostamente da China e da Rússia teriam se infiltrado no sistema elétrico dos EUA, plantando software maligno que poderia ser usado no futuro para atacar a grade de distribuição. Naturalmente, essa teoria foi rapidamente rechaçada pelo governo chinês, o que repercutiu no site “China Daily”.
Na ocasião, a NERC (North American Electric Reliability Corporation), instituição que verifica a confiabilidade da grade elétrica nos EUA, declarou-se oficialmente preocupada com a falta de segurança dos sistemas elétricos daquele país, mostrando-se favorável à desconexão completa desses sistemas com relação à internet. Afinal, grandes apagões causados por ataques de crackers poderiam causar uma crise em âmbito nacional, prejudicando a atuação de órgãos de resposta imediata a emergências, o que poderia causar sérios impactos e prejuízos para qualquer país atingido.

— Qualquer sistema SCADA conectado, mesmo que indiretamente, à internet ou às redes administrativas de uma empresa ou instituição se torna vulnerável, nem que seja a um ataque DoS (denial of service) indireto, provocado, por exemplo, por uma propagação em massa de vírus entre as máquinas de escritório, gerando tráfego excessivo na rede local — explica Menezes. — Qualquer tentativa de invasão seria extremamente facilitada por uma conexão como essa. A rigor, nenhum administrador de sistema em sã consciência deveria permitir qualquer grau de interconexão entre uma rede SCADA e qualquer outra, muito menos a internet, além do mínimo necessário, e, mesmo este mínimo precisaria ser cuidadosamente protegido e monitorado.
Quanto ao governo Obama e os anteriores, tem sido bastante efetivo o expediente de alegar sérias necessidades ligadas à segurança nacional. Com o pânico popular, insuflado por uma obediente cobertura da mídia local, fica muito mais fácil obter junto ao Congresso aumentos na dotação orçamentária para as agências de segurança e inteligência. Não que agora tenha sido exatamente esse o caso, mas não se pode a princípio afastar tal possibilidade.

(Com a colaboração de Eduardo Almeida)

A empresa conduziu testes infectando o sistema operacional e os dados comprovaram que o sistema é suscetível a oito em cada dez vírus. Este estudo é algo que preocupa uma vez que ele comprova a possível insuficiência do User Account Control (UAC), funcionalidade de segurança incorporada aos sistemas operacionais Windows Vista e Windows 7 que pede permissão aos usuários antes de rodar aplicações duvidosas, e que a instalação de adicionais de proteção anti-vírus ainda é necessária.

Na análise da Sophos, o Windows 7, com o User Account Control na configuração padrão e sem anti-malware instalado, foi testado contra dez amostras de malware. Sete dos pacotes de software nocivo funcionaram, independentemente da ativação do UAC que impediu apenas um exemplo de malware, do tipo malware autorun (chamado de Autorun-ATK pela Sophos).

Entre as ameaças ”bem-sucedidas” estavam uma variante do famoso Zbot Tróia, e um pacote scareware. Dois cavalos - uma variante do Bredo e um trojan bancário - não funcionaram nas máquinas em que o Windows 7 estava instalado.
Mesmo bloqueando uma amostra de pacotes, a fragilidade do sistema de segurança da Microsoft é evidente para o pesquisador de segurança da Sophos, Chester Wisniewski. De acordo com ele ‘’sua incapacidade de bloquear qualquer ameaça mais pungente só reforça a idéia de que a configuração padrão do UAC não é eficaz em proteger um computador contra um malware moderno", afirma.

No início da semana, um relatório de segurança da Microsoft atestou que o Vista se saiu melhor do que outras versões do Windows. A taxa de infecção do Windows Vista SP1 foi 61,9% menor do que a do Windows XP SP3.

Para Wisniewski isso significa que o Vista é o bebê "menos feio da sua família" e nem por isso tem o direito de se gabar. "Você pode ter certeza que o próximo relatório irá destacar seu irmão mais novo ainda menos feio, o Windows 7", acrescenta.

O cofundador da Dasient, Neil Daswain, observa observa que a taxa de reincidência da infecção em sites que já foram ‘limpos’ é de 39,6%. Os  responsáveis pela disseminação  dos códigos usam scripts automatizados ou anúncios maliciosos, entre outros meios, para procurar continuamente carregar os malwares pelos sites.

A descoberta foi feita quando Thompson percebeu que um website russo, conhecido por hospedar software mal intencionado, recebia várias referências no Facebook. Após investigar, o pesquisador percebeu que as referencias eram feitas ao jogo City Fire Department.

O aplicativo havia sido modificado com um iframe, recurso que leva o conteúdo de uma página para outra, que pode conter códigos que aproveitam falhas no computador para ataques. Se alguma brecha fosse encontrada, algo que acontecia quase imediatamente, um antívirus falso chamado Antivirus Pro 2010 era automaticamente baixado

Thompson acreditava que os desenvolvedores do jogo poderiam ser os culpados pelo ataque. Mas o código malicioso estava hospedado no Facebook, indicando que os crackers que modificaram o jogo tiveram acesso as senhas dos criadores do City Fire Department.

Os desenvolvedores do City Fire Department perceberam o problema no Facebook nesta quinta-feira (15/10). Outros três ou quatro aplicativos também foram modificados, completou o chefe de pesquisas. O Facebook pode desativá-los até que sejam corrigidos.

Todas as versões do Windows receberão correções, além de programas como o Internet Explorer, Office e SQL Server. Oito dessas correções são consideradas "críticas", o nível mais grave no ranking da Microsoft. Ao todo serão 13 correções, uma a mais que os pacotes recordistas até então, de fevereiro de 2007 e outubro de 2008.

Pela primeira vez a empresa incluirá correções para o Windows 7, sistema operacional que será lançado no próximo dia 22. Muitas pessoas em todo o mundo já usam o software, tanto em sua versão de testes (beta) quanto numa versão final que foi liberada gratuitamente para download há cerca de dois meses.

Ao observar os dados o pesquisador constatou que duas senhas fracas – 123456 e 123456789 – foram as mais utilizadas pelas vítimas. Das 9,8 mil contas legítimas, ele encontrou 82 que usavam uma destas duas combinações.

A senha mais longa encontrada foi “lafaroleratropezooooooooooooooo”. As 10 senhas mais usadas no Hotmail foram as  seguintes:

1. 123456
2. 123456789
3. alejandra
4. 111111
5. alberto
6. tequiero
7. alejandro
8. 12345678
9. 1234567
10. estrella

A boa prática diz : forme sua senha com no mínimo 8 caracteres mesclando letras, números e caracteres especiais (#,!,@,$) e não utilize a mesma senha em todos os serviços on-line

A "BBC" teve acesso a duas listas que traziam detalhes de mais de 30 mil nomes e senhas que foram postados on-line. Assim que soube do ataque o Google procurou identificar as contas e forçar redefinições de senha nas contas afetadas. 

Assim como o Windows Live, é de extrema importância que os usuários do gmail troquem suas respectivas senhas para evitar qualquer tipo de surpresa em relação ao uso do sistema de correio eletrônico como o roubo da credencial e comprometimento da caixa postal.

Podemos observar que mesmo serviços considerados seguros como Hotmail e Gmail podem sofrer incidentes resultando no comprometimento das credenciais de usuários. Muitos Internautas utilizam o mesmo usuário e senha para o acesso a diferentes sites na Web. Estes incidentes reforçam a necessidade para que os usuários adotem boas práticas de segurança evitando  o compartilhamento da mesma senha para diferentes serviços da Internet. . 

No caso do Gmail já há a confirmação de que as credenciais foram comprometidas a partir de sites falsos utilizando-se a técnica de phishing (usuário acessando site falso e divulgando suas credenciais de acesso que são capturadas). Em relação ao Hotmail, a Microsoft ainda conduz processo de investigação para compreender  como as senhas vazaram.

O site Neowin divulgou ter removido as informações e confirmou ter visto parte da lista e confirmado que as informações parecem ser verdadeiras – entre as extensões de e-mail estão @hotmail.com, @msn.com e @live.com. A  lista continha informações de cerca de 10 mil contas iniciadas com as letras “a” e “b”. Por isso é possível que existam outras listas. 

Este autor que vos escreve, por ter seu userid do serviço live iniciando-se com a letra “a”, já providenciou a troca da senha procurando resguardar a confidencialidade de acesso a sua caixa postal assim como proteger a conta de serviço do videogame Xbox Live uma vez que a conta é associada ao .net passport.  Usuários do serviço Xbox  correm o risco de perder seu acesso ao Xbox Live uma vez que com o conhecimento de suas credenciais de acesso os “Tags” poderiam ser roubados.

É importante que todos os usuários que utilizem o Hotmail e serviços associados efetuem a troca de sua senha imediatamente.

A Microsoft confirmou que as informações foram postadas na Internet e disse estar investigando a origem do problema para tomar as devidas ações cabíveis.