Somos Conectados

Tag: segurança da informação

  • Suas credenciais de desenvolvedor podem estar comprometidas

    Suas credenciais de desenvolvedor podem estar comprometidas

    Se você usa alguma ferramenta Atlassian, preste atenção nestas informações. A plataforma online de relatórios de testes e estatísticas Codecov anunciou nessa última terça-feira que um invasor modificou o seu Bash Uploader Script, expondo informações sensíveis de seus clientes, do ambiente de integração contínua (CI).

    Mudanças no Bash Uploader começaram em janeiro.

    A Codecov fornece ferramentas que ajudam desenvolvedores a medir quanto do código-fonte é executado durante os testes, um processo conhecido como cobertura de código, que indica o potencial de bugs não serem detectados no código analisado.

    Ela tem mais de 29 mil empresas, a lista conta com Atlassian, Washington Post, GoDaddy, Royal Bank of Canada e Procter & Gamble.

    O Bash Uploader envia os relatórios de cobertura de código para a plataforma Codecov e detecta configurações específicas de CI, coleta relatórios, e faz o upload da informação.

    O atacante focou no instrumento de coleta de dados começando no dia 31 de janeiro. Ele mudou o script para entregar detalhes do ambiente dos clientes para um servidor fora da infraestrutura da Codecov, o que ficou visível na linha 525.

    A fraqueza que o atacante explorou para ganhar acesso foi um erro no processo de criação da imagem Docker da Codecov, que permitiu extrair credenciais protegendo a modificação do Bash Uploader Script.

    Após descobrir que o Bash Uploader coletou informações, a Codecov informou que o invasor pode ter usado a versão maliciosa do script para exportar os seguintes dados sensíveis:

    • Quaisquer credenciais, tokens, ou chaves que seus clientes estivessem passando pelo CI deles que poderia ser acessado pelo Bash Uploader Script quando executado.
    • Quaisquer serviços, datastores, e código de aplicações que poderiam ser acessadas com essas credenciais, tokens, ou chaves.
    • A informação remota do GIT (URL de origem do repositório) de repositórios usando os Bash Uploaders para carregar a cobertura para a Codecov no CI.

    Por causa do risco potencial, é fortemente recomendável que os usuários afetados atualizem suas credenciais, tokens, ou chaves presentes nas variáveis de ambientes nos processos de CI que utilizam o Bash Uploader.

    Clientes que estejam utilizando a versão local do do script devem verificar se a linha 525 existe e se está apontando para aquele IP externo e se estiver atualizar o quanto antes o arquivo substituindo pela última versão do script lançada pela Codecov.

    Na variante original, o script faz o upload de dados da variável “ENV” para a plataforma da Codecov. Depois que o atacando modificou o script, o Bash Uploader tambẽm estava enviando os detalhes para o novo endereço, um IP da Digital Ocean que não era da Codecov.

    Eles descobriram a alteração após um cliente que notou que o valor hash para o script do Bash Uploader no GitHub não era igual ao arquivo para o download.

    Baseado na investigação forense

    Parece que houve um acesso único ao nosso google cloud storage (gsc) começando em 31 de janeiro de 2021, que permitiu a alteração na versão do nosso bash uploader para exportar informações sujeitas a integração continua (CI) para um servidor externo. a codecov assegurou e remediou o script no dia 01 de abril de 2021 – Codecov

    Imediatamente ao saber do script comprometido, a empresa tomou ações para miticar o incidente, que incluiu o seguinte:

    • Troca de todas as credenciais internas, incluindo a senha usada para facilitar a modificação do Bash Uploader
    • Auditoria de como e quando a chave foi acessada
    • Estabeleceu ferramentas de auditoria e monitoramento para assegurar que esse tipo de mudança não intencional não aconteça com o Bash Uploader novamente.
    • Trabalhou com o provedor de hospedagem do servidor externo para garantir que o webserver malicioso foi descontinuado de forma apropriada.

    A Codecov disse que o incidente ocorreu apesar das suas políticas de segurança, procedimentos, práticas e controles que tem montados, e de seu continuo monitoramento da rede e dos sistemas por atividades incomuns.

    19 de abril de 2021, declaração da atlassian

    Nós estamos cientes do ocorrido e estamos investigando. Até o momento, nós não encontramos nenhuma evidencia de que fomos impactados nem identificamos sinais de comprometimento.

    Se você usa alguma ferramenta Atlassian, preste atenção nestas informações, mesmo com os posicionamentos oficiais da empresas, fica a dica do Somos Conectados, de que se você é um desenvolvedor web, revise sua política de senhas e esteja atento a acessos incomuns em seus repositórios, hospedagens e sistemas.

  • Falha de segurança pode revelar sites pornôs que você acessou, mesmo em “modo anônimo”

    Falha de segurança pode revelar sites pornôs que você acessou, mesmo em “modo anônimo”

    Se você nunca acessou um site pornô não se preocupe, mas se acessou algum site de entretenimento adulto, você pode ser o próximo alvo de hackers. O aviso vem do engenheiro de software Brett Thomas, o especialista em segurança alertou que o histórico de pornografia pode tornar público, associado ao nome real da pessoa no Facebook.

    Segundo o especialista é relativamente fácil para os hackers terem acesso a dados de pesquisa do usuário e históricos, mesmo usando os modos de navegação ‘privada’ ou ‘ anônima ‘. Estes modos não são o suficiente para proteger a privacidade online dos usuários, uma vez que a atividade online ainda deixa uma ‘impressão digital’ em todos os sites que o utilizador visita, explica Brett Thomas. Quase todos os sites que são visitados vão seguir o utilizador, uma vez que os dados são muito valiosos para as empresas.

    De acordo com Brett, a qualquer momento alguém poderia criar um site que permite procurar a pessoa pelo nome de usuário do Facebook, e ver o seu histórico de navegação. “Tudo que é preciso são duas violações de dados e um adolescente que queira criar o caos” disse ele, e completou “Eu acho que a próxima grande crise privacidade na internet pode expor os dados pessoais privados e potencialmente embaraçosas de pessoas comuns.”

    Se você pensava que limpar o histórico ou navegador no ‘modo anônimo’ deixava de deixar rastros dos vídeos eróticos que assiste, saiba que não é o suficiente. Com informações do Jornal Metro

  • Site vende informações pessoais suas e de seus vizinhos

    Site vende informações pessoais suas e de seus vizinhos

    Com o nome completo de alguém é possível acessar dados como data de nascimento, CPF e até mesmo nome de vizinhos, entre outras informações. O site está perturbando muitas pessoas, no ar desde junho, o Tudo Sobre Todos é mais uma ferramenta que surge com o intuito de revelar informações pessoais sobre os cidadãos, algo que é ilícito.

    Para acessar essas informações alguém precisa apenas acessar o site e possuir o nome completo de outra pessoa ou o CPF, além de comprar “créditos” para revelar dados como data de nascimento, endereço completo, empresas registradas sob o nome dessa pessoa e até mesmo seus vizinhos.

    A equipe do “Tudo sobre todos” diz que todos os dados foram obtidos através de cartórios, decisões judiciais publicadas, diários oficiais, redes sociais e consultas em sites públicos. As informações que o serviço não mostra estão disponíveis para compra. Para acessar, é necessário fazer um cadastro e colocar créditos, que custam R$0,99 cada. O website oferece ainda planos de até R$ 79.

    Na página do site, os administradores informam que são divulgadas apenas informações públicas. “Não mostramos informações que não são públicas, como raça, etnia, religião, opinião política, orientação sexual, histórico médico e dados considerados sensíveis”. A Top Documents LLC é o escritório de informações, sediado em Seychelles, África, responsável pelo website “Tudo Sobre Todos”.

    O Tudo Sobre Todos usa um domínio “.se”. Esse tipo de domínio é incontrolável, e foi só pela existência desse tipo de coisa que o Pirate Bay conseguiu funcionar. Em geral, esses domínios são de países pequenos, que se beneficiam desse tipo de conteúdo. São como paraísos fiscais dos domínios, ou seja fica ainda mais difícil para as autoridades rastrearem a origem das informações ou mesmo emitir uma ordem judicial, já que as legislações dos países diferem da brasileira.

  • Glória Pires cai em golpe na internet e perde R$13 mil

    A informação é do delegado Gilson Perdigão, titular da Delegacia de Repressão aos Crimes de Informática do Rio de Janeiro. Polícia vai encaminhar ao Ministério Público pedido de quebra de sigilo de dados de Glória Pires para apurar autoria do crime.

    A atriz recebeu um e-mail de um amigo que mora fora do Brasil, na mensagem, ele dizia que seu passaporte havia sido roubado e que precisava de 3.500 libras esterlinas, o que dá aproximadamente R$ 10.750 mil, ao câmbio de ontem, para voltar para o Brasil. De acordo com o depoimento da atriz, ela transferiu a quantia pela internet para a conta dele, em Buenos Aires.

    No entanto, tratava-se de uma conta em Londres. Mas Glória só percebeu o golpe quando ligou para o amigo para perguntar se o dinheiro tinha entrado na conta dele. Ao responder que não havia pedido dinheiro algum, eles chegaram à conclusão que o e-mail do rapaz havia sido hackeado.

    Agora, a Delegacia de Repressão aos Crimes de Informática do Rio de Janeiro irá encaminhar um pedido de quebra de sigilo de dados para apurar a autoria do crime.

    Golpes pela internet

    Hoje a internet é usada para diversos golpes, desde como ficar rico até contas de e-mail roubadas, e a regra sempre é a mesma, desconfie !, dinheiro não cai do céu e caso recebe um e-mail de uma amigo pedindo dinheiro certifique-se que ele realmente mandou esse e-mail e sempre mantenha seu antivirus atualizado

    Denunciar 

    Existe muitas maneiras de combater os golpes na internet. E uma delas é compartilhar em redes sociais divulgando os links que são golpes assim alertando outras pessoas para não entrarem na enganação. E também divulgar links que alertam e denunciam golpes praticados na internet.

    Outra maneira é denunciar para os órgão cope tentes para que estes tomem as providencias necessárias e prendam o infrator. Abaixo segue alguns links importantes para realizar uma denúncia:

    Enfim devemos estar sempre alerta para não cair em golpes, e procurar sempre alertar outras pessoas para que não sejam lesadas. Você também poderá ajudar divulgando este artigo nas principais redes sociais.

    Fonte: CBN

  • A morte das senhas – Elas não podem mais proteger você.

    Você tem um segredo. Ele pode arruinar a sua vida.

    E nem é tão bem guardado assim, uma sequência de caracteres, 6 talvez 16 se você for do tipo cauteloso, mas que pode revelar tudo a seu respeito, sua conta bancária, senha do cartão de crédito, seus emails, seu endereço.

    Na era da informação nós compramos a ideia de que as senhas podem nos proteger. Mas em 2012 isso se provou uma mentira, uma fantasia, e qualquer um que ainda o diga ou é um idiota, ou tenta fazer de você um.

    Olhe a sua volta, hackers invadindo sistemas e divulgando listas de logins e senhas pela web são acontecimentos regulares.
    E a forma como as contas estão interligadas faz com que uma pequena falha gere resultados devastadores, graças a uma explosão de informações pessoais armazenadas na nuvem quebrar senhas nunca foi tão fácil.

    É aterrorizadoramente fácil crackear nossas vidas digitais. Imagine que eu quero entrar em seu e-mail. Tudo o que preciso fazer é digitar seu nome e talvez a cidade em que você nasceu, para encontrar a sua idade no Google. E com essas informações, a AOL, por exemplo, me dá o reset da senha e posso logar como se fosse você.

    Primeira coisa a fazer logado? Pesquiso a palavra “banco” para encontrar emails do seu internet banking, vou até lá e clico em “Esqueceu a senha?” uso o email de reset e agora controlo o seu email e tenho acesso a informações da sua conta bancária.

    O fator em comum em todas as ocorrências de invasão é a senha. E isso vem de uma época em que nossos computadores e dispositivos ainda não eram hyper-conectados.
    Hoje em dia, nada do que você faça, nenhuma precaução que você tome, nem uma senha longa e randômica, nada pode parar alguém que esteja verdadeiramente dedicado em crackear sua conta.

    A era das senhas chegou ao fim, nós só não percebemos isso ainda.

    Senhas, são tão velhas quando a civilização, e desde que existem elas vem sendo quebradas.

    Vamos começar com a forma mais simples de hack, adivinhação.

    A falta de cuidado que a possibilita, é o maior risco de todos. Apesar de há anos as pessoas serem informadas para não fazerem isso, continuam usando senhas fáceis de adivinhar.

    Quando o consultor de segurança Mark Burnett compilou uma lista de 10000 senhas mais comuns, ele encontrou a senha mais usada pelas pessoas, e acredite era “password” e a segunda mais popular? O número 123456.

    Se você usa senhas fáceis, entrar em suas contas é algo trivial. Alguns programas gratuitos como o Cain and Abel ou John the Ripper automatizam a quebra de senhas como essas, de forma tão simples que qualquer idiota pode fazer isso.

    Tudo o que você precisa é de uma conexão com a internet e uma lista de senhas comuns – que é facilmente obtida na internet e geralmente em formatos amigáveis de bancos de dados.

    O mais chocante não é apenas que as pessoas ainda usem senhas como essas, mas que as empresas de serviços online continuem permitindo isso, pois a mesma lista que é usada para um hack pode ser usada para a segurança das contas. Não seria possível, pois nem as empresas tem acesso ao que usuário digita? A lógica é boa mas incompleta, o fato de usarmos algoritmos de encriptação baseados em hash como o MD5 para senhas, impede que os valores sejam descriptografados, mas para cada valor existe um hash correspondente, então ter uma lista de senhas comuns, também significa ter uma lista de hashs comuns a serem evitados.

    Outro erro comum, é o reuso das senhas. Durante os últimos 2 anos mais de 280 milhões de senhas foram postadas online para qualquer um visualizar. LinkedIn, Yahoo, Gawker, e eHarmony todos esses tiveram falhas de segurança nas quais logins e senhas foram roubadas e divulgadas pela web.

    Uma comparação de dois dumps revelou que 49% das pessoas reutilizava a mesma senha entre os sites hackeados.

     


    "O reuso das senhas é o que realmente mata" - Nas palavras de Diana Smetters, uma engenheira de softwares na Google que trabalha na autenticação de sistemas. Os hackers que divulgam as suas senhas na internet são, relativamente falando, os bonzinhos, os maus vendem essas informações no mercado negro, os dados da sua conta ja podem até
    estar comprometidos e você nem desconfia.

    Hackers também conseguem senhas através de truques, enganam as pessoas, e uma das formas mais conhecidas é o phishing. Um site muito semelhante ao original, mas falso. Uma senha bem elaborada pode não passar de um esforço inútil, pois é desnecessário tentar quebrar sua senha, se ela for fornecida livremente.

    Geralmente, o phishing começa com um e-mail falso de uma companhia famosa com um link para um site que é uma cópia quase perfeita.

    Há algum tempo atrás, meu pai recebeu um e-mail da Cielo, com uma promoção para o uso do cartão de crédito, e me chamou para ver se era verdadeiro, ao seguir o link o site exibido era quase indetectável, na dúvida acessei o site oficial da Cielo, e encontrei o site falso entre os que na página oficial são delatados como no link: http://www.cielo.com.br/portal/cielo/cobrancas-indevidas.html

    Imagem de E-mail - phishing. Muitas são as costumeiras mensagens de instituições bancárias, sempre fique com um pé atrás

     

    Veja que os 4 sites apresentados, são muito bem construídos e enganam facilmente pessoas desatentas com a segurança.

    Os casos de phishing são inúmeros, o Centro de Atendimento a Incidentes de Segurança - CAIS da Rede Nacional de Ensino e Pesquisa - RNEP
    catalogou uma grande quantidade de fraudes que podem ver vistas neste link:

    Uma forma ainda mais sinistra de roubar senhas, é o uso de spywares, programas ocultos instalados em seu computador que secretamente enviam informações para outras pessoas, pesquisas indicam
    que 69% das invasões no ano de 2011 foram resultado desses programas maliciosos.

    Em 2010, o FBI ajudou a prender hackers da Ucrania que usaram o ZeuS um programa especializado em roubar senhas de bancos para roubar 70 milhões de 390 vítimas que eram essencialmente pequenas empresas nos Estados Unidos.

    As pequenas empresas estão entre os maiores alvos, elas tem mais dinheiro que pessoas comuns, e menos segurança que as grandes corporações.

    E infelizmente os problemas não param por aí, a memória é outra grande fraqueza. Devido a possibilidade de esquecermos nossas senhas, todos os mecanismos de senhas tem que possuir
    uma funcionalidade para redefini-las, e esses mecanismos são alvos frequentes de hackers que usam engenharia social, uma forma de hack que obtem de você suas senhas com base na analise da sua vida.

    E quem faz isso? Quem são as pessoas interessadas na destruição de vidas?

    Basicamente, dois grupos assustadores.

    O primeiro, são os grupos de criminosos, e são assustadores pois são bem organizados e com recursos consolidados para as atividades criminosas, como o caso dos hacker ucranianos citados há pouco.

    O segundo grupo, é provavelmente ainda mais assustador, jovens entediados.Nerds frustados ou revoltados, crianças geniais querendo se exibir ou brincar de forma incomum, entre alguns outros casos bem específicos e que assustam pela capacidade inovadora empregada, que pode torná-los imprevisíveis e difíceis de serem combatidos. Existem casos catalogados de jovens de 14 anos que ficavam ligando para empresas de forma aleatória pedindo por redefinições de senhas, eles não eram hackers propriamente ditos, mas não eram menos efetivos. E com um pouco de dedicação conseguem acesso a contas de e-mail, arquivos e fotos.

    Novos sistemas de segurança precisam ser pensados e aplicados. Biometria? É cara, e cheia de erros, quase ninguém usa. E se ninguém usa, ela não se torna melhor e nem mais barata. Outro problema dessa tecnologia é que não tem redefinição de senha, se você perder o pedaço de um dedo em um acidente, você perdeu a conta que seria acessada por aquela digital junto, o mesmo para a íris.

    As diversas inovações em interatividade e integração de serviços na vida digital estão gritando silenciosamente que o nosso sistema de segurança, que certamente nunca será perfeito, está, atualmente, muito obsoleto.