Especialistas da Universidade de Cambridge, noticiaram esta semana que descobriram um método de burlar o sistema de chip e pin dos cartões de crédito atuais.
Segundo os pesquisadores, há uma falha no processo onde se diz a máquina de cartão, se a validação irá ocorrer por chip+senha ou assinatura. Ao explorar esta "falha" de processo, é possível enganar a máquina e utilizar qualquer senha. Ainda no recibo, é impresso que foi validada a compra com senha.
Os pesquisadores afirmam ainda, que para corrigir o problema, todo o processo de autorização de compra deverá ser redefinido.
Até hoje, bancos acreditam que o sistema é seguro e normalmente reclamações de compras feitas com cartão e senha não são reembolsadas. Já foram registrados casos na Inglaterra, onde clientes reclamaram de compras não feitas por eles.
A notícia rendeu uma reportagem de 9 minutos na BBC, devido a importância do fato.
--
Atualmente o cartão com chip também é utilizado para certificados digitais. Os certificados A3 são os considerados mais seguros, porém com esta descoberta, podem ser invalidados os smart cards de criptografia.
Procurei informações nas operadoras de cartão, mas ninguém se pronunciou ainda.
Mais:
- http://threatpost.com/pt_br/blogs/experts-descobrem-como-quebrar-protecao-de-cartoes-de-credito-com-chip-021210
- http://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/
- http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/02/new_flaws_in_chip_and_pin_syst.html
sábado, 13 de fevereiro de 2010
Site da Receita Federal está fora do ar
O site da Receita Federal está fora do ar temporariamente, segundo informações do Serpro, para manutenção. A data prevista para retorno é 15/Fevereiro.
Especula-se que o site está sendo preparado para o período de pico do Imposto de Renda Pessoa Física. Neste período, tanto o download do software para declaração, quanto para consultas e informações da declaração congestionam o site.
Mais: http://ultimosegundo.ig.com.br/economia/2010/02/13/site+da+receita+federal+sai+do+ar+9397318.html
Especula-se que o site está sendo preparado para o período de pico do Imposto de Renda Pessoa Física. Neste período, tanto o download do software para declaração, quanto para consultas e informações da declaração congestionam o site.
Mais: http://ultimosegundo.ig.com.br/economia/2010/02/13/site+da+receita+federal+sai+do+ar+9397318.html
quinta-feira, 11 de fevereiro de 2010
Brainshare 2010
Novell Brainshare é a conferência da Novell, realizada anualmente em Salt Lake City, Utah. Este ano ocorrerá de 21 a 25 de Março, no Centro de Eventos de Salt Lake.
Dentre as sessões técnicas, eu e meu amigo Carlos Eduardo Mendes, vamos apresentar uma sessão sobre o Novell Identity Tracking Solution, componente para o Novell Sentinel e que tem como missão fornecer informações sobre o provisionamento e deprovisionamento de identidades.
Quando conversei com o Carlos Mendes sobre o evento, pensei em vários temas para apresentar, mas como o assunto de Conformidade interessa a muitas pessoas, acreditamos que Identity Tracking poderia ter mais chances de ser aprovado.
No início do ano recebemos a confirmação da Novell que nossa proposta tinha sido aceita. Vale lembrar que a comunidade Novell pode votar nas sessões que mais interessavam, então podemos dizer até que foi uma escolha do público.
Nossa apresentação já está quase pronta e depois do Brainshare vou postar aqui no blog. Agora o próximo passo é preparar o ambiente de demonstração.
Estão todos convidados para o Brainshare. www.novell.com/brainshare.
Dentre as sessões técnicas, eu e meu amigo Carlos Eduardo Mendes, vamos apresentar uma sessão sobre o Novell Identity Tracking Solution, componente para o Novell Sentinel e que tem como missão fornecer informações sobre o provisionamento e deprovisionamento de identidades.
Quando conversei com o Carlos Mendes sobre o evento, pensei em vários temas para apresentar, mas como o assunto de Conformidade interessa a muitas pessoas, acreditamos que Identity Tracking poderia ter mais chances de ser aprovado.
No início do ano recebemos a confirmação da Novell que nossa proposta tinha sido aceita. Vale lembrar que a comunidade Novell pode votar nas sessões que mais interessavam, então podemos dizer até que foi uma escolha do público.
Nossa apresentação já está quase pronta e depois do Brainshare vou postar aqui no blog. Agora o próximo passo é preparar o ambiente de demonstração.
Estão todos convidados para o Brainshare. www.novell.com/brainshare.
segunda-feira, 8 de fevereiro de 2010
A arte da Perícia Digital
Interessante entrevista com os Peritos Forenses, Marcelo Lau e Antonio Milagre. Vejam com atenção à técnica de esteganografia que consegue enviar um vírus dentro de um arquivo do PowerPoint.
quinta-feira, 4 de fevereiro de 2010
Quando uma política de Segurança ajuda o funcionário
Nestas horas que uma política de restrição no e-mail ajudaria o funcionário a não passar vergonha em rede nacional.
segunda-feira, 1 de fevereiro de 2010
Pushdo botnet ataca em SSL
Investigadores da Fundação Shadowserver, rastreiam e monitoram botnets ao redor do mundo. Segundo eles, a botnet Pushdo tem cerca de três anos e é utilizada na maioria das vezes para emissão de mensagens indesejadas, os spam's. Porém a Pushdo pode receber instruções para ataques mais nocivos.
Em monitoramentos recentes, verificou-se que alguns sites de grande relevância como FBI, Twitter e Paypal estão sendo atacados através de HTTP seguro. Estes sites normalmente aceitam estas conexões para autenticação e acesso seguro aos dados.
A diferença do ataque, faz com que o servidor web tenha mais trabalho, pois a conexão inicial do servidor web precisa gerar chaves de criptografia, o que eleva a utilização do servidor. Teoricamente, um ataque de negação de serviços nestas condições será mais rápido do que o método tradicional por HTTP não seguro. Além disso, especialistas de segurança reforçam mais a segurança no HTTP não seguro do que no HTTP seguro.
Por outro lado, o número de sites vulneráveis a este ataque é menor, pois a maioria não aceita conexões HTTPS.
Fiquem alertas e monitorem seus serviços web.
Mais: http://idgnow.uol.com.br/seguranca/2010/02/01/botnet-ataca-grandes-sites-com-enxurrada-de-conexoes-ssl/
Em monitoramentos recentes, verificou-se que alguns sites de grande relevância como FBI, Twitter e Paypal estão sendo atacados através de HTTP seguro. Estes sites normalmente aceitam estas conexões para autenticação e acesso seguro aos dados.
A diferença do ataque, faz com que o servidor web tenha mais trabalho, pois a conexão inicial do servidor web precisa gerar chaves de criptografia, o que eleva a utilização do servidor. Teoricamente, um ataque de negação de serviços nestas condições será mais rápido do que o método tradicional por HTTP não seguro. Além disso, especialistas de segurança reforçam mais a segurança no HTTP não seguro do que no HTTP seguro.
Por outro lado, o número de sites vulneráveis a este ataque é menor, pois a maioria não aceita conexões HTTPS.
Fiquem alertas e monitorem seus serviços web.
Mais: http://idgnow.uol.com.br/seguranca/2010/02/01/botnet-ataca-grandes-sites-com-enxurrada-de-conexoes-ssl/
terça-feira, 26 de janeiro de 2010
Mitnick clona celular ao vivo na Campus Party
Kevin Mitnick, o ex-hacker e atual consultor de segurança, fez uma demonstração ao vivo na Campus Party, de como é fácil clonar um número de celular.
Segundo Mitnick, não é necessário conhecer técnicas computacionais avançadas para promover um ataque, basta convencer o usuário a fornecê-las para você.
"Uma pessoa se sentiria mais a vontade em compartilhar uma informação, se ver que o número que está chamando é conhecido".
Mitnick alerta ainda para um novo método de ataque, onde no lugar do tradicional e-mail com um link para o usuário clicar, agora vem um número de telefone que direciona para uma central de atendimento falsa, que coleta informações do usuário. Esta nova técnica está sendo chamada de vishing.
Mais: http://tecnologia.ig.com.br/noticia/2010/01/26/campus+party+2010+mitnick+clona+celular+ao+vivo+9376814.html
Segundo Mitnick, não é necessário conhecer técnicas computacionais avançadas para promover um ataque, basta convencer o usuário a fornecê-las para você.
"Uma pessoa se sentiria mais a vontade em compartilhar uma informação, se ver que o número que está chamando é conhecido".
Mitnick alerta ainda para um novo método de ataque, onde no lugar do tradicional e-mail com um link para o usuário clicar, agora vem um número de telefone que direciona para uma central de atendimento falsa, que coleta informações do usuário. Esta nova técnica está sendo chamada de vishing.
Mais: http://tecnologia.ig.com.br/noticia/2010/01/26/campus+party+2010+mitnick+clona+celular+ao+vivo+9376814.html
sexta-feira, 22 de janeiro de 2010
Microsoft atualiza IE que afetou o Google
Alertado inicialmente pela McAfee, a Microsoft assumiu que havia uma falha no Internet Explorer que pode ter sido o pivô de um mega ataque ao Google da China.
A vulnerabilidade afeta todas as versões do Internet Explorer e foi divulgada logo depois do ataque ao Google.
O patch foi disponibilizado através do Windows Update neste dia 21 de Janeiro, para sistemas operacionais originais e basta o usuário aceitar o update.
Além disso, softwares de antivírus como McAfee já estão prontos para identificar vírus que exploram estas vulnerabilidades.
Se você utiliza Windows na estação ou servidor, atualize seu sistema imediatamente.
Mais: http://idgnow.uol.com.br/seguranca/2010/01/21/correcao-de-falha-no-ie-que-afetou-o-google-sai-nesta-quinta-21-1/
A vulnerabilidade afeta todas as versões do Internet Explorer e foi divulgada logo depois do ataque ao Google.
O patch foi disponibilizado através do Windows Update neste dia 21 de Janeiro, para sistemas operacionais originais e basta o usuário aceitar o update.
Além disso, softwares de antivírus como McAfee já estão prontos para identificar vírus que exploram estas vulnerabilidades.
Se você utiliza Windows na estação ou servidor, atualize seu sistema imediatamente.
Mais: http://idgnow.uol.com.br/seguranca/2010/01/21/correcao-de-falha-no-ie-que-afetou-o-google-sai-nesta-quinta-21-1/
Shon Harris lança 5a. edição do livro CISSP All-in-one
Shon Harris lança a quinta edição do seu famoso livro CISSP All-in-One. Utilizado pela maioria dos profissionais certificados, o CISSP All-in-One oferece uma linguagem didática sobre os assuntos de segurança da informação.
Por mais que você não domine completamente o idioma inglês, o vocabulário utilizado por Harris é simples sem o uso de linguagem rebuscada.
O livro traz ainda uma versão em PDF para leitura em Kindle ou outro dispositivo móvel, um simulado baseado em Windows com 800 questões e uma vídeo aula demonstrativa de outro produto feito por Shon Harris.
Eu utilizei o CISSP All-in-One como base dos meus estudos e recomendo a todos.
Mais: https://www.cccure.com/cart/products/CISSP-ALL-IN-ONE-FIFTH-EDITION-from-Shon-Harris.html
quinta-feira, 14 de janeiro de 2010
Linux Foundation lança classificados de emprego
Está procurando por uma vaga para dedicar seu tempo voltado ao sistema operacional livre? A Linux Foundation, site conhecido pelos amigos do pinguim, está lançando um classificado onde empresas poderão anunciar vagas específicas por valores a partir de US$ 99,00 para 15 dias de anúncio.
As vagas ainda aparecerão no site Linux.com e provavelmente o dinheiro será revertido para as ações da fundação, que mantém as regras em torno do sistema GNU/Linux.
--
Infelizmente acho difícil que empresas brasileiras anunciem lá. Vamos de apinfo.com por enquanto.
Mais: http://www.infoworld.com/d/adventures-in-it/linux-foundation-launches-jobs-board-831?source=footer
As vagas ainda aparecerão no site Linux.com e provavelmente o dinheiro será revertido para as ações da fundação, que mantém as regras em torno do sistema GNU/Linux.
--
Infelizmente acho difícil que empresas brasileiras anunciem lá. Vamos de apinfo.com por enquanto.
Mais: http://www.infoworld.com/d/adventures-in-it/linux-foundation-launches-jobs-board-831?source=footer
Assinar:
Postagens (Atom)
Postagens
