Somos Conectados

Tag: hacker

  • Hardware for hacking – Trocando teclados por placas de circuitos.

    Hardware for hacking – Trocando teclados por placas de circuitos.

    Durante muito tempo as pessoas aprenderam a considerar que os hackers são pessoas que entendem muito de computadores e que conseguem fazer coisas fantásticas.

    O que para muitos parece mágica, na verdade é aplicação de vários conceitos de tecnologia e muita criatividade.

    Mas existe um erro clássico ao pensar que hackers precisam de computadores para hackear alguma coisa. Um dos nomes mais famosos da história entre os hackers, Kevin Mitnick, era notório por hackear telefones, os nossos antigos orelhões.

    Kevin era capaz de fazer aquele esquema clássico que todo mundo imaginava ser possível, ter créditos infinitos para ligações. Kevin era um hacker de telefones, um phreaker. Desde as origens, hackear não depende apenas de conhecimentos avançados sobre softwares, bancos de dados e redes lógicas de comunições, mas também e muito principalmente de conhecimentos em hardware e eletrônica.

    O Somos Conectados trará para vocës uma série de informações sobre dispositivos físicos que em muitos casos são o que possibilita o hacking. Dispositivos contruídos especificamente para invasões!

    Rubber ducky

    Vamos começar com talvez o mais popular e mais queridinho entre os gadgets hackers, o rubber ducky.

    Há muito tempo atrás, na época dos faroestes digitais, não existiam as janelas. Os computadores tinham como interface os terminais de comandos. Naquela época não existiam os mouses e a única forma do computador e seres humanos “conversarem” era através da digitação, através do teclado.

    Mesmo quando surgiram os mouses e as janelas para poder clicar, a forma como os computadores foram construídos não evoluiu muito em seu esquema básico. Desde então, os teclados são soberanos. Isso mesmo, o teclado manda praticamente sem nenhum tipo de resistência, o que ele digitar é imperativo de ser executado pelo computador.

    Porém os teclados sim, sofreram mudanças em sua construção e a partir de determinado momento abandonaram os antigos conectores PS/2 para usarem conectores USB. Os USB são bem mais modernos. Quando você desconectava um computador usando um conector PS/2 você precisava reiniciar o computador para poder reconhecer novamente o dispositivo. Com os USB nós podemos remover e adicionar teclados que são instantaneamente reconhecidos.

    Invenção do Rubber Ducky

    Esse histórico todo é importante, lembra que os hackers são pessoas com bastante conhecimento tecnológico e criatividade para aplicar esse conhecimento? Pois é, foi aí que Darren Kitchen se perguntou, se os pen-drives usam portas USB e os teclados usam portas USB, e os teclados são soberanos, se eu colocar um código malicioso em um pen-drive e o computador achar que ele é um teclado, ele vai executar tudo cegamente?

    Darren descobriu que não, mas que com alguns ajustes, ele conseguiria fazer algo mais ou menos assim. E ele construiria o primeiro Rubber Ducky que passaria por melhorias até chegar ao que temos hoje em dia.

    Com um CPU de 60 MHz 32-bit, interface JTAG com GPIO e um bootloader DFU, o Rubber Ducky é um microcomputador disfarçado de pen-drive, e que o seu computador vai “pensar” que é um teclado.

    O Rubber Ducky é provavelmente um dos gadgets mais famosos para se hackear principalmente após ganhar notoriedade aparecendo em um seriado que ficou bem famoso por contar a história fictícia de um hacker mas usando conceitos tecnológicos e ferramentas reais, o Mr. Robot.

    O Rubber Ducky é provavelmente um dos gadgets mais famosos para se hackear. Principalmente por aparecer em um seriado que ficou bem famoso por contar a história fictícia de um hacker, mas ferramentas reais, o Mr. Robot.

    Além do Rubber Ducky outras categorias de gadgets que exploram essa falha da confiança cega dos computadores em teclados surgiram. Os USB Ninja, por exemplo, que imitam até mesmo o seu cabo de carregar o celular!

    USB Ninja imita um cabo comum de carregar o celular, mas ele na verdade tem um circuito embutido que permite executar um código remotamente, a partir desse momento ele muda a comfiguração e seu computador vai pensar que é um teclado, usando o mesmo conceito do Rubber Ducky.

    Assim como podem executar códigos em computadores, o Rubber Ducky e o USB Ninja também podem hackear o seu celular! Isso acontece pelo fato de que a porta de energia é a interface usada por técnicos e fabricantes para fazer configuraçoes nos aparelhos. Ela também é a porta de entrada para um USB Ninja ou Rubber Ducky ganharem acesso ao seu aparelho e tudo o que estiver nele. Ou para executar um comando para instalar uma porta de acesso que pode ser usada sempre que o hacker quiser, as famosas backdoors.

    E aí? Você jã conhecia o Rubber Ducky e o USB Ninja?

  • Documentos de bancos brasileiros vazam devido a vulnerabilidades de sistemas

    Documentos de bancos brasileiros vazam devido a vulnerabilidades de sistemas

    É cada vez mais comum notícias de vazamentos de dados. Seja no âmbito privado, corporativo e até mesmo de caráter nacional, dados sigilosos do governo expostos para quem quiser ver.

    Criminosos especializados utilizam técnicas avançadas para burlar o sistema e capturar bandos de dados inteiros de pessoas e corporações. São roubadas senhas, logins, endereços, telefones, documentos importantes e principalmente informações de cartões de crédito.

    São informações valiosas que valem muito dinheiro, e há quem pague muito por este tráfego de dados, que são utilizados para entrar em contas de banco, emails redes sociais obtendo benefícios para quem o utiliza causando estragos para a imagem e perda de grandes negócios, claro que tudo é ilegal, entretanto, estas práticas em crescido gradativamente.

    Estes fatos, têm contribuído para que as empresas reforcem a segurança e implantem ações preventivas, estas rotinas asseguram a integridade dos usuários e evitam que ataques tenham sucesso.

    Um vazamento de 250Gb de um servidor desprotegido, por exemplo, expôs informações de documentos digitalizados de várias instituições financeiras.

    A repercussão motivou pesquisadores brasileiros a identificar a vulnerabilidade de sistemas de dados e apps. Foram informações pessoais (RG, CPF, CNH), comprovantes de endereço, contratos, ordens de pagamento, demonstrativos, holerites, contracheques e até mesmo cartões de crédito. Com estas informações nas mãos, os criminosos podem se passar pelas pessoas e elaborar golpes cada vez mais complexos.

    Em casos de empresas com este vazamento, pode ser aplicada uma  multa, que pode chegar a 2% do faturamento da empresa, entretanto, o sistema de GIA, sistema do governo que compila as informações, garante um atenuante para provar que sua empresa está dentro das melhores práticas de segurança e está pronta para proteger os dados de seus clientes, parceiros e fornecedores.

    Todos estamos expostos a Hackers e malwares, e para nos manter conectados de forma segura, é sempre bom ter soluções preventivas, veja algumas ações que podem ajudar a manter o sistema sem riscos : Utilize sempre softwares originais, criptografia de dados, redes virtuais privadas, senhas fortes e antivírus potentes.

    Diante dos fatos, não importa o tamanho de sua empresa, negócio, até mesmo de sua rede social, o essencialmente importante é manter seus dados seguros, para evitar transtornos, prejuízos e baixa produtividade.

    Qual era o problema?

    Os documentos vazados se encontravam em um bucket do Simple Storage Service (S3), serviço de armazenamento em nuvem da Amazon. Por conta de uma configuração errônea, o servidor estava público, possibilitando o acesso de um usuário não-autenticado para realizar o download dos arquivos armazenados. (https://thehack.com.br)

  • Apple pede para usuários trocarem a senha o mais rápido possível

    Depois que o site australiano The Age informou que donos de dispositivos da Apple espalhados no país tiveram seus aparelhos travados por hackers que pedem pagamento para efetuar o desbloqueio, a Apple divulgou um comunicado sobre o assunto, negando a falha de segurança no iCloud, mas sugeriu que os usuários alterem as suas senhas.

    A empresa ainda não sabe como os dados dos usuários foram obtidos, mas os donos dos aparelhos recebiam um e-mail da empresa dizendo que seu dispositivo havia sido encontrado por meio da função “Buscar iPhone” e que deveria ser feito um pagamento entre US$ 50 e US$ 100 para o desbloqueio.

    tela
    Mensagem que aparece nos dispositivos

    A Apple informou que nenhum dado do iCloud foi roubado e ainda informou mas no comunicado alertou : “Os usuários impactados devem alterar seu ID, o mais rápido possível e evitar usar o mesmo nome de usuário e senha para vários serviços. Os usuários que precisam de ajuda adicional podem entrar em contato com a AppleCare ou visitar a sua loja mais próxima.”

    Além disso o Paypal informou que o e-mail para o pagamento “[email protected]” não esta ligado a uma conta válida, e o serviço reembolsou os usuários que pagaram o resgate. Com informações do Electronista.com

    Nossa dica: Troque suas senhas e nunca tenha a mesma senha para vários serviços na internet.

  • Espionagem digital, estamos seguros?

    Bom essa é uma pergunta interessante, para muitas pessoas a resposta é bem clara, não, não estamos seguros contra a espionagem digital. Mas mais importante do que saber que você não está seguro é saber porque, e contra o que exatamente você não está seguro.

    Vamos fazer algumas considerações:

    • Nenhum sistema, de nenhum tipo, é totalmente seguro contra invasões ou quebras de regulamentos.
    • A espionagem em si consiste em adquirir informações por meio de observação de circunstâncias, ou linhas de comunicação, que a priori deveriam ser restritas somente aos envolvidos diretamente.

    Todos que recorrem a espionagem tem um objetivo estratégico por trás desse artifício, e geralmente estão bem determinados a conseguir o que pretendem. Por mais seguro que qualquer sistema seja, qualquer que seja a arquitetura desse sistema, ele não será 100% livre de falhas de segurança, seja essa falha estrutural ou procedimental(pessoas), logo, por mais seguro que um sistema seja ele só conseguirá atrasar em maior ou menor quantidade de tempo a exploração de uma brecha.

    Certo, não estamos seguros contra a espionagem digital e pressupõe-se que obter essa segurança seja impossível, mas e daí?

    Espionagem digital

    Saber que não estamos seguros, nos trás uma sensação esquisita, naturalmente desperta a preocupação, mas voltemos ao exercício clássico de lógica quando o assunto é o hack mal intencionado: “Afinal, Por que algum expert iria dedicar o tempo dele para obter dados sobre a minha vida?” – e continuando o raciocínio – “Esse motivo, para que alguém perca tempo me espionando, é suficientemente forte para que esse alguém não gaste esse mesmo tempo roubando um banco, ou fazendo qualquer outro tipo de invasão que poderia torná-lo mais rico?”

    “Afinal, Por que algum expert iria dedicar o tempo dele
    para obter dados sobre a minha vida?”

    Pensando dessa forma, a menos que você seja presidente de um país, você tem mesmo que se preocupar tanto assim em ser espionado? Vale mesmo a pena que alguém gaste o tempo dele espionando você? E mesmo que você seja um presidente, convenhamos, não faz parte do jogo? Governar uma nação não vem com a necessidade implícita de adquirir informações sobre o panorama mundial e o desenvolvimento de ações dos outros governos? É o básico em estratégia e alguém que não é versado em um mínimo de estratégia não merece a presidência, e um povo que pense o contrário certamente merece um presidente estrategicamente deficiente.

    Então sim, uma superpotência pode saber o que você anda publicando por aí, mas porque fariam isso?
    Vemos notícias sobre medidas de prevenção do governo para a proteção contra a espionagem, e isso levanta muitas vertentes, primeiro é que quanto mais protegido é um cofre maior será a curiosidade dos criminosos para saber  o que ele guarda, o que será que há para se esconder para que se tema uma espionagem? Segundo, se a privacidade é um direito, não seria o momento de aprender a usá-la? Vemos notícias de proposição de bases locais para serviços como Twitter e Facebook, mas qual é a intenção de uma base local? Dados podem ser transportados com qualquer conexão a internet, não faz sentido a não ser que essas bases sejam auditadas e se forem auditadas a infração de privacidade acontecerá para todos que tenham seus dados nessas bases, ou seja, todos nós.

    A falta de uma democracia que audite a internet de forma igualitária para todas as nações, e a própria natureza de liberdade do ideal da internet dificultam esse tipo de discussão e definições.

    “(..) não faz sentido a não ser que essas bases sejam auditadas
    e se forem auditadas a infração de privacidade
    acontecerá para todos que tenham seus dados nessas bases,
    ou seja, todos nós. (…)”

     O que sabemos, é que certamente não existe garantia de privacidade no mundo digital, mas se faz necessário sempre ponderar até que ponto a falta de privacidade é nociva ao cidadão comum, e até que ponto o uso de determinados serviços implica em uma ciência implícita de falta de privacidade?
    Até que ponto, eu enquanto usuário de uma rede social, compreendo que parte da cultura de utilização de uma rede social é ter a ciência de que a privacidade é subjetiva, e o quanto nos dedicamos à manutenção dessa privacidade?

    Portanto, ninguém está livre da espionagem digital, mas a forma como vivem suas vidas exclui a grande maioria das pessoas do grupo de alvos de interesse para alguém.

  • Banco Central da Austrália sofre ataque virtual

    O Banco Central da Austrália foi alvo de um ataque virtual nesta segunda-feira (11), segundo as autoridades, e a imprensa informou que a ação foi cometida com programas chineses para buscar informações sensíveis.

    O BC australiano confirmou os ataques após uma reportagem do jornal “Australian Financial Review”, que informou que vários computadores foram contaminados com um malware. Uma fonte do banco confirmou à AFP a existência do vírus, mas não revelou as informações subtraídas e os alvos procurados, nem confirmou a relação com a China.

    Comunicado Oficial

    Segundo o banco a instituição tem medidas de segurança que isolaram os ataques e asseguraram que o vírus não fosse espalhado em toda a rede ou sistema do banco. “Em nenhum momento, esses ataques causaram a perda de dados ou informações do banco ou fizeram os sistemas serem corrompidos”, disse o comunicado.

    Malware usado

    De acordo com uma investigação da Australian Financial Review, um dos ataques envolvidos foi com um e-mail intitulado “Planejamento Estratégico ano 2012”, que foi enviado para e aberto por vários membros da equipe.

    Ele continha um malware, que conseguiu passar pelos controles de segurança existentes, mas não foi capaz de se espalhar através do sistema do banco.

    O governo chinês negou que esteja por trás de ataques cibernéticos.

  • A morte das senhas – Elas não podem mais proteger você.

    Você tem um segredo. Ele pode arruinar a sua vida.

    E nem é tão bem guardado assim, uma sequência de caracteres, 6 talvez 16 se você for do tipo cauteloso, mas que pode revelar tudo a seu respeito, sua conta bancária, senha do cartão de crédito, seus emails, seu endereço.

    Na era da informação nós compramos a ideia de que as senhas podem nos proteger. Mas em 2012 isso se provou uma mentira, uma fantasia, e qualquer um que ainda o diga ou é um idiota, ou tenta fazer de você um.

    Olhe a sua volta, hackers invadindo sistemas e divulgando listas de logins e senhas pela web são acontecimentos regulares.
    E a forma como as contas estão interligadas faz com que uma pequena falha gere resultados devastadores, graças a uma explosão de informações pessoais armazenadas na nuvem quebrar senhas nunca foi tão fácil.

    É aterrorizadoramente fácil crackear nossas vidas digitais. Imagine que eu quero entrar em seu e-mail. Tudo o que preciso fazer é digitar seu nome e talvez a cidade em que você nasceu, para encontrar a sua idade no Google. E com essas informações, a AOL, por exemplo, me dá o reset da senha e posso logar como se fosse você.

    Primeira coisa a fazer logado? Pesquiso a palavra “banco” para encontrar emails do seu internet banking, vou até lá e clico em “Esqueceu a senha?” uso o email de reset e agora controlo o seu email e tenho acesso a informações da sua conta bancária.

    O fator em comum em todas as ocorrências de invasão é a senha. E isso vem de uma época em que nossos computadores e dispositivos ainda não eram hyper-conectados.
    Hoje em dia, nada do que você faça, nenhuma precaução que você tome, nem uma senha longa e randômica, nada pode parar alguém que esteja verdadeiramente dedicado em crackear sua conta.

    A era das senhas chegou ao fim, nós só não percebemos isso ainda.

    Senhas, são tão velhas quando a civilização, e desde que existem elas vem sendo quebradas.

    Vamos começar com a forma mais simples de hack, adivinhação.

    A falta de cuidado que a possibilita, é o maior risco de todos. Apesar de há anos as pessoas serem informadas para não fazerem isso, continuam usando senhas fáceis de adivinhar.

    Quando o consultor de segurança Mark Burnett compilou uma lista de 10000 senhas mais comuns, ele encontrou a senha mais usada pelas pessoas, e acredite era “password” e a segunda mais popular? O número 123456.

    Se você usa senhas fáceis, entrar em suas contas é algo trivial. Alguns programas gratuitos como o Cain and Abel ou John the Ripper automatizam a quebra de senhas como essas, de forma tão simples que qualquer idiota pode fazer isso.

    Tudo o que você precisa é de uma conexão com a internet e uma lista de senhas comuns – que é facilmente obtida na internet e geralmente em formatos amigáveis de bancos de dados.

    O mais chocante não é apenas que as pessoas ainda usem senhas como essas, mas que as empresas de serviços online continuem permitindo isso, pois a mesma lista que é usada para um hack pode ser usada para a segurança das contas. Não seria possível, pois nem as empresas tem acesso ao que usuário digita? A lógica é boa mas incompleta, o fato de usarmos algoritmos de encriptação baseados em hash como o MD5 para senhas, impede que os valores sejam descriptografados, mas para cada valor existe um hash correspondente, então ter uma lista de senhas comuns, também significa ter uma lista de hashs comuns a serem evitados.

    Outro erro comum, é o reuso das senhas. Durante os últimos 2 anos mais de 280 milhões de senhas foram postadas online para qualquer um visualizar. LinkedIn, Yahoo, Gawker, e eHarmony todos esses tiveram falhas de segurança nas quais logins e senhas foram roubadas e divulgadas pela web.

    Uma comparação de dois dumps revelou que 49% das pessoas reutilizava a mesma senha entre os sites hackeados.

     


    "O reuso das senhas é o que realmente mata" - Nas palavras de Diana Smetters, uma engenheira de softwares na Google que trabalha na autenticação de sistemas. Os hackers que divulgam as suas senhas na internet são, relativamente falando, os bonzinhos, os maus vendem essas informações no mercado negro, os dados da sua conta ja podem até
    estar comprometidos e você nem desconfia.

    Hackers também conseguem senhas através de truques, enganam as pessoas, e uma das formas mais conhecidas é o phishing. Um site muito semelhante ao original, mas falso. Uma senha bem elaborada pode não passar de um esforço inútil, pois é desnecessário tentar quebrar sua senha, se ela for fornecida livremente.

    Geralmente, o phishing começa com um e-mail falso de uma companhia famosa com um link para um site que é uma cópia quase perfeita.

    Há algum tempo atrás, meu pai recebeu um e-mail da Cielo, com uma promoção para o uso do cartão de crédito, e me chamou para ver se era verdadeiro, ao seguir o link o site exibido era quase indetectável, na dúvida acessei o site oficial da Cielo, e encontrei o site falso entre os que na página oficial são delatados como no link: http://www.cielo.com.br/portal/cielo/cobrancas-indevidas.html

    Imagem de E-mail - phishing. Muitas são as costumeiras mensagens de instituições bancárias, sempre fique com um pé atrás

     

    Veja que os 4 sites apresentados, são muito bem construídos e enganam facilmente pessoas desatentas com a segurança.

    Os casos de phishing são inúmeros, o Centro de Atendimento a Incidentes de Segurança - CAIS da Rede Nacional de Ensino e Pesquisa - RNEP
    catalogou uma grande quantidade de fraudes que podem ver vistas neste link:

    Uma forma ainda mais sinistra de roubar senhas, é o uso de spywares, programas ocultos instalados em seu computador que secretamente enviam informações para outras pessoas, pesquisas indicam
    que 69% das invasões no ano de 2011 foram resultado desses programas maliciosos.

    Em 2010, o FBI ajudou a prender hackers da Ucrania que usaram o ZeuS um programa especializado em roubar senhas de bancos para roubar 70 milhões de 390 vítimas que eram essencialmente pequenas empresas nos Estados Unidos.

    As pequenas empresas estão entre os maiores alvos, elas tem mais dinheiro que pessoas comuns, e menos segurança que as grandes corporações.

    E infelizmente os problemas não param por aí, a memória é outra grande fraqueza. Devido a possibilidade de esquecermos nossas senhas, todos os mecanismos de senhas tem que possuir
    uma funcionalidade para redefini-las, e esses mecanismos são alvos frequentes de hackers que usam engenharia social, uma forma de hack que obtem de você suas senhas com base na analise da sua vida.

    E quem faz isso? Quem são as pessoas interessadas na destruição de vidas?

    Basicamente, dois grupos assustadores.

    O primeiro, são os grupos de criminosos, e são assustadores pois são bem organizados e com recursos consolidados para as atividades criminosas, como o caso dos hacker ucranianos citados há pouco.

    O segundo grupo, é provavelmente ainda mais assustador, jovens entediados.Nerds frustados ou revoltados, crianças geniais querendo se exibir ou brincar de forma incomum, entre alguns outros casos bem específicos e que assustam pela capacidade inovadora empregada, que pode torná-los imprevisíveis e difíceis de serem combatidos. Existem casos catalogados de jovens de 14 anos que ficavam ligando para empresas de forma aleatória pedindo por redefinições de senhas, eles não eram hackers propriamente ditos, mas não eram menos efetivos. E com um pouco de dedicação conseguem acesso a contas de e-mail, arquivos e fotos.

    Novos sistemas de segurança precisam ser pensados e aplicados. Biometria? É cara, e cheia de erros, quase ninguém usa. E se ninguém usa, ela não se torna melhor e nem mais barata. Outro problema dessa tecnologia é que não tem redefinição de senha, se você perder o pedaço de um dedo em um acidente, você perdeu a conta que seria acessada por aquela digital junto, o mesmo para a íris.

    As diversas inovações em interatividade e integração de serviços na vida digital estão gritando silenciosamente que o nosso sistema de segurança, que certamente nunca será perfeito, está, atualmente, muito obsoleto.

     

  • Site da Google é invadida no Paquistão

    Página inicial da Gigante do mercado é invadida

    A página inicial do Google Paquistão invadida por hackers turcos. Se você acessar google.com.pk, encontrará uma página preta com algumas escritas em turco, deixando mensagens ligadas aos últimos acontecimentos. O texto traduzido de forma livre diz “eboz. Meus manos e um amigo sempre estarão lá por mim. Não há um tiro por mim que não sinta a respiração”.

    Os hackers substituíram o logotipo do Google e barra de pesquisa com uma imagem de dois pinguins andando em uma ponte com uma mensagem em turco. Além disso, os hackers escreveram na página “O Paquistão Abatido”, que provavelmente significa que o Google Paquistão home page foi retirado do ar.

    De acordo com últimas notícias, “Google ainda não deu declarações sobre o assunto e não sabe por que sua edição Paquistão foi hackeado, por quem e de onde”.

  • Hacker destrói vida digital de repórter sem violar senhas

    Mais uma vez a computação nas nuvens é colocada em prova e demostra muitas fragilidades ainda, a ultima vitima foi o repórter da revista “Wired” Mat Honan, que sofreu vários ataques de um hacker que não violou uma senha sequer. Abaixo explicamos os caso e damos dicas de como se proteger.

    A sequência de ataques foi feita remotamente por um hacker, que se identifica como Phobia, e fulminou a vida digital do jornalista. Além de fotos, apps e outros arquivos nos dispositivos, as contas no iCloud, no Twitter e no Google foram sequestradas. O mais assustador é que nenhuma senha foi violada por programas ou pragas virtuais.

    O criminoso se aproveitou de descuidos primários de Honan e de falhas da Apple e da Amazon em proteger informações de seus usuários.O alvo inicial era a conta do jornalista no Twitter, que indicava no próprio perfil um endereço do Gmail para interessados em fazer contato. O hacker supôs que os dois serviços estivessem ligados -para sequestrar o Twitter, seria preciso invadir o Gmail. Ele, então, pediu uma nova senha para o Google, que indicou parte do endereço secundário a recebê-la, o “[email protected]”, do serviço de e-mail da Apple. O próximo passo era ter acesso à ID Apple.

    A ajuda veio pelas mãos do serviço de assistência AppleCare, que fornece senhas provisórias por telefone mediante três informações pessoais: e-mail, endereço de cobrança e quatro últimos dígitos do cartão de crédito.

    O primeiro item era fácil de adivinhar. O segundo foi encontrado com uma busca rápida pela rede. O terceira foi obtido na Amazon.

    Pelo telefone, Phobia pediu à loja virtual que inserisse um novo número de cartão de crédito na conta do jornalista. Precisou apenas indicar e-mail e endereço físico.

    O criminoso, então, voltou a ligar para a Amazon pedindo uma nova senha, que foi concebida com dados de Honan que ele já tinha em mãos. Ao entrar na conta da Amazon, o hacker conseguiu os quatro últimos dígitos do cartão ligado à ID Apple.

    Em seguida, houve a sequência de invasões, que resultou na destruição da vida digital do repórter. Desde então, Honan já recuperou as contas no Twitter e no Google. Ele mandou o MacBook para a assistência técnica, mas não sabe se será possível recuperar os arquivos pessoais.

    Em resposta, a Amazon diz ter encerrado o serviço de acrescentar cartões via telefone. A Apple tomou medida parecida e suspendeu a emissão de senhas por telefone.

    Fonte : Folha.com

  • Internet banking: Como se proteger dos cibercriminosos

    No Brasil, o uso de internet banking ultrapassou as transações bancárias em caixas eletrônicos, de acordo com informação divulgada pela Febraban (Federação Brasileira de Bancos). Se, por um lado, isso representa que o brasileiro perdeu o medo de realizar atividades financeiras pela internet, por outro, sinaliza para um aumento dos riscos a que as pessoas estão expostas. Prova disso está no fato de que, atualmente, os bancos instalados no país – e por consequência, seus usuários –são um dos principais alvos dos cibercriminosos.

    A recente atuação dos ciberativistas do Anonymous, que invadiram e derrubaram o site de uma série de bancos brasileiros, chamou a atenção da população para a vulnerabilidade do internet banking. No entanto, a ação foi apenas uma pequena parcela dos muitos ataques a esse meio que têm ocorrido com cada vez mais frequência.

    Em 2011, o Laboratório da ESET identificou mais de 16 ataques de phishing voltados a bancos brasileiros. O que confirma que o setor encabeça a lista dos segmentos mais atraentes para o cibercrime.

    Os bancos brasileiros estão entre os que mais investem em segurança da informação no mundo. No entanto, esse investimento, por si só, não garante a tranquilidade no uso dos serviços online bancários. Na prática, os próprios usuários precisam tomar cuidados para não se transformarem em vítimas dos cibercriminosos. Preparamos algumas dicas :

    Qual antivirus usar ? Preparamos um artigo, com os melhores antivirus gratuitos de 2012, clique aqui para ler

    Fonte: ITweb

  • Stream de informações, comunicações e bloqueio do msn alheio.

    Acordo, checo o twitter pelo meu celular, e fico por dentro de uma grande quantidade de notícias em tempo real ou não.

    Acesso o Facebook, e tenho uma série de informações sobre meus amigos, acontecimentos, e imagens engraçadas.

    E não importa o horário do dia, basta acessar qualquer um destes sites, ou extensão, ou app deles  para uma stream de informações de grande intensidade  e ininterrupta.

    Filtrar tanta informação, consumir tanta informação, não é exagero dizer que não há tempo e nem é prudente fazê-lo.

    Pois qual a utilidade de absorver informação em grandes níveis se essa absorção lhe tomará o tempo necessário para usar tais informações de alguma forma produtiva? O vício produzido e envolvido na stream de informações exclui o conceito da prática e da aplicabilidade, a própria comunicação sofreu grande influência dos tempos atuais, são bem frequentes as conversas por msn em que se compartilham imagens, vídeos ou links diversos, e por mais que possa parecer absurdo, muitas vezes nos tornamos muito dependentes desse veículo de informação.

    Um teste simples é a simulação, imagine-se tentando logar em sua conta do messenger e… Um aviso de que sua conta está temporariamente indisponível é intermitentemente mostrado todas as vezes em que você tenta logar. Isso causaria algum impacto na sua vida atual?

    Ou como você usaria uma ferramenta que lhe permitisse inutilizar uma conta de msn, congelá-la por tempo indeterminado. Você lançaria mão desse tipo de recurso?

    Pois é, não é preciso muito para refletir sobre o impacto que essa ferramenta causa no dia-a-dia, e se você quiser acesso fácil a máquinas alheias crie um aplicativo com esse tipo de funcionalidade e coloque nele um belo trojan e o sucesso será garantido.

     

    Mas como fazer? Ora o próprio ProRat super conhecido nos sites frequentados por pessoas com intenções maliciosas lhe permite incluir o server criado em um arquivo de outro tipo, como uma imagem, música, ou no anteriormente sugerido, um programa que congele contas de msn alheio. Mas como distribuir? Ora, é verdade os e-mails hoje em dia tem um sistema de proteção anti-vírus bloqueando arquivos executáveis, mas esse bloqueio não impede arquivos compactados com o Winrar e mesmo que o façam, não poderiam impedir um arquivo de extensão confiável, compactado e protegido com o Themida.

    Não é o tipo de conhecimento inacessível, muita gente já idealizou isso, é o caso do Ice Cold Reloaded, um programa de interface simples, fácil de adquirir e que cumpre o que promete, execute esse programa e você será capaz de congelar o msn de sua vítima.

    Mas… E sempre tem um mas… O Ice Cold Reloaded guarda em si um trojan, como anteriormente sugerido, de modo que se você quiser usá-lo terá que abaixar suas proteções, interromper seu anti-vírus, e ficar vulnerável, em pouco tempo sua máquina será hospedeira.

    Esse tipo de recurso é muito útil para criar uma  zombie net por exemplo, ou roubar arquivos em geral.

    Então é isso galera, informação é fácil conseguir, mas é preciso saber filtrar. No twitter selecione o que você quer saber através de quem você segue, no Facebook você pode ocultar atualizações de determinados contatos evitando sempre curtir páginas dos spammers que assumiram a rede social, se pretender prejudicar alguém seja perspicaz na escolha das ferramentas ou o prejudicado pode ser você, o ideal mesmo não é que você seja um lammer, e sim um hacker, conhecer o funcionamento das ferramentas, criar as suas próprias e sempre se lembrar que ações tem consequências, e se estiver dependente desses recursos citados para a sua comunicação no dia-a-dia, considere regredir um pouco lembrando que a interação com as pessoas ainda é mais agradável com um toque pessoal.

  • Cidade atacada por hackers quer gastar R$ 400 mil em segurança


    Hackers invadiram o site da Prefeitura de Colatina, no Noroeste do Espírito Santo, na noite de segunda-feira (4/7). Piadas, foto de personagem de um filme e até videoclipe foram postados.

    A ação foi rápida e logo a publicação foi retirada. Esta não é a primeira vez que o site do município sofre com invasões. A última vez foi em 2007. A Prefeitura de Colatina vai investigar o que aconteceu e investir mais em tecnologia e sistema que possam impedir novas ações.

    “Vamos gastar cerca de R$ 400 mil para atualizar a nossa rede e adquirir novos equipamentos”, disse o secretário de Tecnologia da Informação Jorge Generoso.

    Mas R$ 400 mil é muito dinheiro, é muito dinheiro para sites de empresas grandes, quanto mais de uma cidade como Colatina, com pouco mais de 100.000 habitantes. Com esse dinheiro haveria a possibilidade de criar uma escola técnica.

  • Polícia identifica hackers do grupo Anonymous

    A polícia italiana identificou hoje alguns membros do grupo de hackers Anonymous, que organiza e executa ataques a sites institucionais e empresarias do mundo todo.

    Os investigadores do Centro Nacional Anticrime Informático (CNAIPIC), coordenado pela Procuradoria de Roma, denunciaram 15 pessoas, das quais cinco têm menos de 18 anos.

    Os agentes também executaram 32 buscas em toda a Itália e uma na Suíça, no cantão Tessino, onde dezenas de computadores foram apreendidas. Segundo as autoridades, a operação ainda não foi concluída.

    Os investigadores também estão analisando a localização de cerca de 30 pessoas que tiveram algum tipo de contato com os membros do grupo de hackers que, na Itália, atacou os sites da Câmara dos Deputados, do Senado, do Governo Federal, da multinacional petrolífera Eni, da empresa de energia Enel, do grupo de telecomunicações Mediaset (cuja propriedade é do primeiro-ministro Silvio Berlusconi), e da emissora de televisão Rai.

    Entre os “anônimos” identificados, destaca-se um italiano de 26 anos, que nasceu e reside no cantão Tessino. Ele usa o apelido de “Phre” e costumava organizar os ataques. Os alvos, no entanto, eram escolhidos após uma discussão, via Internet, entre vários membros do grupo.

    Já o mais jovem hacker do Anonymous, de 15 anos, tinha a tarefa de realizar os chamados “penetration test”, que consiste em verificar a segurança de um sistema.

    Desde janeiro deste ano, o grupo realizou dezenas de ataques na Itália, sendo que o último foi registrado ontem, no site da Autoridade para as Garantias nas Comunicações (Agcom).
    Caso sejam condenados, os hackers podem pegar uma pena de cinco anos de prisão por crimes de acesso abusivo, danificação de sistema informático e interrupção do serviço público.

  • Morte de Obama foi noticiada por Hackers que invadiram Twitter da Fox

    Milhares de norte-americanos que seguem o Twitter da emissora Foxnews levaram um susto hoje (feriado de 4 de julho) ao acessarem o microblog. A página foi invadida por hackers, que publicaram textos anunciando a morte do presidente dos Estados Unidos.

    Obama teria sido assassinado a tiros, no dia da independência dos EUA. A emissora pediu desculpas pela invasão. Apesar de a emissora confirmar a invasão à sua conta destinada aos assuntos do mundo da política, os textos sobre “a morte de Obama”, continuavam no ar hoje pela manhã, por volta das 8h50.

    O grupo que alegou a autoria da invasão chama-se Scriptkiddies. Eles sabotaram a conta @foxnewspolitics, voltada para a cobertura de política. Ao invadir o perfil, publicaram comentários suspeitos, depois tuitaram mensagens como se a emissora já tivesse retomado o poder da conta e ,em seguida, divulgaram a morte de Obama.

    Outros portais de notícia não replicaram a informação, segundo o site Mashable. A Fox News confirmou a invasão do perfil, disse que investigará o ocorrido e desculpou-se pelos transtornos causados com a divulgação de informação falsa.

    As mensagens afirmavam que o presidente tinha sido assassinado a tiros, desejavam sorte ao novo ocupante do cargo e mandavam pêsames à família do líder norte-americano.

  • Hackers cometeram crime ao invadir sites oficiais, diz governo

    O diretor-presidente do Serpro (Serviço Federal de Processamento de Dados), Marcos Mazoni, disse nesta terça-feira (28) que os hackers que atacaram os sites do governo na última semana cometeram crime ao causar prejuízo ao Estado brasileiro.

    – Sem dúvida estamos falando de crime, porque colocou o Estado em situação de prejuízo. É um crime de lesa ao patrimônio público. Tivemos que gastar com pessoal, com horas extras de funcionários para responder aos ataques. É mesma coisa que quebrar uma loja da Receita Federal.

    De acordo com ele, o ponto crítico dos ataques do site do governo aconteceu na madrugada da última quarta-feira (22), quando o site da Presidência da República saiu do ar.

    Os hackers utilizaram uma técnica chamada de “negação de serviço”, na qual são feitas solicitações muito acima do normal a um site para tentar tirá-lo do ar. Segundo Mazoni, entre 0h20 e 1h30, os piratas virtuais enviaram mais de 300 mil solicitações de mil endereços diferentes, o que gerou 2 bilhões de requisições ao site, a maioria vinda da Itália, tirando-o do ar – normalmente o volume de acesso não passa de 10% disso.

    Apesar dos inconvenientes causados pelos ataques, Mazoni destacou que não houve nenhuma invasão que permitisse acesso aos bancos de dados de sistemas do governo. De acordo com ele, as tentativas nesse sentido foram “muito pouco significativas”.

    – Continuamos administrando ataques e podemos dizer que, até o presente momento, tiveram sucesso zero os que estão atacando sites administrados pelo Serpro. Todos os dados divulgados, supostamente retirados do nosso sistema, são possíveis de serem encontrados em qualquer site aberto do governo, como os dados da diretoria do Serpro.

    Segundo Mazoni, esse tipo de ataque é comum e deve continuar ocorrendo, e o Serpro e demais setores ligados à segurança digital do governo precisam estar preparados para responder a eles.

    Ele informou que, nas ações como a que tirou o site da Presidência do ar pelo excesso de solicitações, o Serpro tem um sistema que responde identificando os computadores de onde estão vindo essas requisições e bloqueando-os. Além dessa defesa automática, esse trabalho pode ser complementado de maneira manual em momentos críticos – na semana passada, o pessoal do Serpro responsável por responder a esses ataques dobrou.

    O diretor-presidente disse ainda que o Serpro vai implantar nos sites do governo uma nova geração do protocolo de internet – sistema que determina os endereços dos usuários – com o qual será mais fácil identificar da onde vêm os ataques.

  • 5 dicas de segurança

    Pode ser mais fácil de roubar a identidade de alguém que roubar um banco. Naturalmente, uma vez que sua identidade é roubada , o ladrão pode passar a roubar um banco, a partir de sua conta bancária, com isso gerar prejuízos para você e o banco.

    Muitas pessoas acham que nunca vai acontecer com elas, e muitas empresas oferecem pouca segurança até que haja uma violação dos dados, ou seja quando o ladrão já invadiu.

    Em uma recente repressão em todo o mundo, 532 pessoas foram presas por ligações com esquemas fraudulentos que vitimou mais de 120.000 pessoas e resultou em prejuízos estimados em mais de U$ 10,4 bilhões. (mais…)

  • Hackers vendem sites do Governo dos EUA por apenas R$ 500

    Dezenas de sites militares e do governo dos EUA foram colocados à venda por pouco mais de U$ 300. Um fornecedor de segurança descobriu que o controle de alguns sites militares e do governo estava sendo oferecido por apenas U$ $ 499.
    Na última sexta Imperva divulgou em seu blog de segurança de dados que vários grandes sites foram invadidos e estão à venda em fóruns clandestinos (veja imagens abaixo).

    No entanto, foi relatado por outro lado que o hacker está reivindicando o controle sobre um número de sites, incluindo EUA e governos europeus, instalações militares e de educação, e está disposto a vendê-los por entre U$ 55 e U$ 499. (mais…)