Falha no Chrome possibilita o roubo de senhas

Se explorada com sucesso, a falha no navegador permite que o criminoso instale e execute automaticamente um arquivo malicioso que poderá roubar senhas e nomes de usuário.

O pesquisador de segurança Bosko Stankovic, da DefenseCode, detalhou o processo para o roubo de credenciais, que começa com o usuário sendo enganado para que ele baixe e execute um arquivo no formato . scf (Windows Explorer Shell Command File) disfarçado como um ícone para mostrar a área de trabalho. Esse formato existe desde a época do Windows 98.

O arquivo pode então ser usado para enganar o Windows e fazer com que ele tente se logar em um servidor SMB controlado remotamente pelo criminoso. Este servidor capturará o hash da senha do usuário usada para autenticação.

O hash poderá ser quebrado offline ou usado pelo criminoso para se passar pela vítima em um serviço, como o Microsoft Exchange, que aceita o mesmo tipo de autenticação baseada em NTLM.

O ataque se aproveita da forma como o navegador do Google e o Windows lidam com arquivos no formato .scf. O problema no Google Chrome é que ele não toma os mesmos cuidados com arquivos .scf que toma com os no formato .lnk, que recebem uma extensão .download.

Os arquivos .lnk começaram a receber a extensão depois que foi descoberto que hackers a serviço de agências governamentais estavam utilizando arquivos neste formato para infectar dispositivos com Windows com o malware Stuxnet.

O Google confirmou que está trabalhando em uma correção para a falha no Google Chrome e que ela também afeta outras versões do Windows além do Windows 10.

Um segundo problema com o navegador é que ele depende do comportamento padrão do Windows após o download de arquivos no formato formato .scf. Segundo Stankovic, o Google Chrome baixa automaticamente arquivos considerados como “seguros”.

Isso pode parecer algo positivo caso o usuário precise executar manualmente o arquivo, mas no Windows o arquivo .scf iniciará a requisição de autenticação no servidor SMB do criminoso assim que o diretório de download for aberto no Explorador de Arquivos.

Não é necessário clicar nele ou abrir o arquivo – o Explorador de Arquivos tentará exibir o “ícone” automaticamente.

Stankovic testou o diversos antivírus e nenhum deles foi capaz de barrar os arquivos formato .scf.

Até que uma correção definitiva seja disponibilizada, os usuários do navegador do Google podem se proteger temporariamente desativando os downloads automáticos, o que pode ser feito marcando a opção abaixo, ou restringindo/desativando o tráfego do protocolo SMB:Esta falha depende de dois fatores, que aparentemente podem facilmente ser encontrados. Por um lado, a facilidade nos downloads oferecida pelo Chrome e por outro, a falta de controle sobre os arquivos SCF e suas ações.

Agradecemos ao Domingos, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: R7 e  pplware

Descoberta base de dados com 560 milhões de senhas roubadas

Publicação descoberta pela MacKeeper reúne logins vazados de ataques variados contra serviços como LinkedIn, Dropbox, Tumblr e LastFM.

Hora de trocar as senhas. Isso porque a empresa de segurança MacKeeper descobriu nesta semana uma base de dados anônima com centenas de milhões de senhas roubadas.

A base reúne mais de 560 milhões informações de login, com e-mails e senhas de acesso, que teriam origem em vazamentos separados, de datas variadas, de serviços como LinkedIn, Dropbox, Tumblr e LastFM.

O site Have I Been Pwned possui uma ferramenta para você verificar se o seu endereço de e-mail aparece em alguma das base de dados que foi comprometida pelos criminosos.

Além de habilitar a autenticação de dois fatores sempre que possível, também é recomendado utilizar programas de gerenciamento de senhas – apesar de que nem mesmo esses softwares são 100% seguros como provado pelo recente hack contra o LastPass.

Agradecemos ao Domingos, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDGNow!

Apps para guardar senhas com falhas de segurança: correção veio à tempo

SegurançaRecomendados por especialistas em segurança na internet, os gerenciadores de senhas são formas seguras de guardar seus dados de acesso a sites de redes sociais, páginas web e até mesmo internet banking. Era o que se pensava até que eles foram pegos com brechas de segurança que poderiam facilitar o vazamento das suas credenciais.

Um estudo publicado nesta semana por pesquisadores do Instituto Fraunhofer de Tecnologia de Segurança da Informação mostra que 9 apps Android populares que gerenciam senhas são vulneráveis a uma ou mais brechas de segurança.

Foram analisados os seguintes aplicativos: LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Informaticore’s Password Manager, F-Secure KEY, Keepsafe, e Avast Passwords.

Cada um deles tem entre 100 mil e 50 milhões de instalações em smartphones.

Fonte: Exame

Saiba se sua conta no Dropbox foi hackeada

haveibeenpwnedCom o objetivo de não alarmar os usuários, a Dropbox arranjou uma forma simpática de informar que o seu serviço não tinha sido atacado. Para tal enviou uma mensagem avisando os usuários que haviam criado suas contas antes do primeiro trimestre de 2012 ou que não mudam a senha desde o segundo semestre de 2012, como uma recomendação expressa para que fizessem a mudança da senha de suas contas.

É de conhecimento de todos que mais de 68 milhões de contas do Dropbox foram roubadas.

O ataque ao Dropbox foi real! Mais de 68 milhões de senhas foram roubadas e a primeira coisa a fazer é fazer já a mudança.

Saiba se a sua conta está na lista daquelas que foram roubadas consultando este site.

Se a sua conta estiver associada a algum tipo de ataque, faça imediatamente a alteração da sua senha (se ainda não o fez) e também mude essa senha se for a mesma utilizada em outros serviços.

Além da alteração da senha, o Dropbox recomenda ainda que sejam implementadas outras medidas de segurança. Por exemplo, evitar a utilização de senhas no compartilhamento entre serviços e o acesso ao Dropbox em locais pouco seguros. É ainda recomendado que seja usada a autenticação de dois fatores para uma segurança elevada.

Fonte: pplware

Algoritmo brasileiro pode aumentar a proteção das senhas

cybersecurityO algoritmo brasileiro LYRA2 ganhou reconhecimento especial entre finalistas em competição internacional de proteção de senhas. Elogiado pelo seu design elegante e pela sua abordagem alternativa contra ataques feitos com vários processadores em paralelo, o algoritmo é disponibilizado gratuitamente para uso público (http://lyra2.net/).

Em 2012, foi mostrado que qualquer senha de até oito caracteres utilizada em um computador poderia ser hackeada em menos de 5 horas e trinta minutos. Visando aumentar a segurança dos usuários, especialistas da área de segurança abriram as inscrições para uma competição de algoritmos capazes de defender senhas de ataques cibernéticos (Password Hashing Competition). Essa oportunidade fez com que o professor Marcos Simplicio Jr, juntamente com seus orientandos Leonardo Almeida, Ewerton Andrade e Paulo dos Santos, e o professor Paulo Barreto formassem o grupo que seria responsável pela criação do novo algoritmo. A competição durou de 2013 até 2015, reunindo especialistas da área de segurança do mundo todo.

O código do algoritmo é aberto, ou seja, qualquer um pode acessá-lo e ver como ele funciona (sabendo um pouco de programação). Isso faz com que o algoritmo seja livre de backdoors, caminhos mais curtos para burlar o sistema de verificação, como os que a agência de segurança americana (NSA) costuma instalar em seus sistemas para facilitar a vigilância do governo norte-americano sobre a população. Assim, qualquer ataque que queira descobrir a senha do usuário terá de usar a força bruta virtual, com uma máquina testando senha por senha, a um elevado custo computacional.

Diferentemente de cifras criptográficas, que usam uma chave para codificar e decodificar senhas, o LYRA2 realiza processos de hashing e salting em senhas, embaralhando os bits dos números e caracteres que compõem a senha de forma específica para cada usuário, formando um código final muito mais complexo do que o digitado. Isso impede que um hacker faça o caminho inverso e chegue à senha original a partir do código final. Assim, mesmo que um hacker descubra o código final da senha (hash) do Facebook de alguém, e a pessoa utilize a mesma senha em seu cartão de crédito, o atacante não terá acesso ao segundo, pois os códigos finais são únicos e diferentes.

Mas a intenção do algoritmo é que o atacante não descubra código nenhum.

Táticas de Defesa – como prejudicar o atacante e não o usuário legítimo

Além dos processos de hashing e salting, o LYRA2 apresenta outras maneiras interessantes de defender as senhas de atacantes especializados; entre elas, destacam-se a resistência a ataques em paralelo e a necessidade de se acessar uma quantidade de memória repetidamente.

Um dos problemas enfrentados pelo algoritmo é o cenário em que o atacante tem acesso a um elevado poder computacional. Se um governo ou hacker dotado de hardware especializado estivesse atrás da informação de algum usuário, ele não usaria um hardware processando senha por senha, mas centenas deles ao mesmo tempo.

A forma que o LYRA2 encontrou para combater isso foi atrelar um custo de memória a cada tentativa, assim a memória total do hardware seria dividida entre os diversos canais de ataque. Dessa maneira, os ataques simultâneos perdem sua eficácia, pois como a capacidade de processamento de dados em paralelo é atrelada à memória utilizada, a velocidade do teste de cada senha diminui. Isso tudo faz com que o custo da tentativa de quebra de senha aumente, tanto em tempo, quanto em material tecnológico à disposição. Por exemplo, se um usuário legítimo configurar o algoritmo para executar em 1 segundo e utilizar 1 Gigabyte de memória, um atacante, para testar mil senhas por segundo, precisaria de mil processadores e um total de 1 Terabyte de memória RAM, algo não muito viável.

Segundo o professor Marcos Simplício Jr. o algoritmo foi pensado com o intuito de “prejudicar o atacante e não o usuário legítimo”, de forma que quando o usuário insira sua senha, a verificação não demorará mais do que alguns instantes. O tempo de verificação e o uso de memória também podem ser modificados, de acordo com as preferências do usuário.

Parâmetros

O algoritmo permite que o usuário ajuste os parâmetros do uso de memória e do custo de processamento de acordo com a capacidade de seu computador, e de acordo com suas necessidades de segurança, otimizando seu desempenho contra ataques. Assim, LYRA2 é um algoritmo que pode ser utilizado tanto por usuários finais quanto por grandes corporações, utilizando diferentes níveis de recursos computacionais dependendo da aplicação.

Aplicação – A defesa virtual além das senhas

Desde que o grupo de pesquisa disponibilizou o algoritmo para o uso do mundo todo, ele vem conquistando espaço e novas formas de uso, inclusive entre uma das moedas virtuais, o VertCoin. Como o LYRA2 é capaz de neutralizar boa parte da eficácia de testes simultâneos, ele impede que pessoas com hardwares especializados ganhem vantagens no processo da geração de moeda virtual, que antes era mais dependente da tecnologia que cada pessoa dispunha.

Symantec alerta: novo scam rouba senhas e e-mails

ScamA Norton emitiu nos últimos dias um alerta para um novo golpe que rouba credenciais de e-mail por meio do scam, prática que se baseia em induzir a vítima a fornecer suas informações pessoais.

Segundo a companhia de segurança, para efetuar o ataque, os cibercriminosos precisam apenas do endereço de e-mail e o número de telefone associado ao usuário, dados que podem ser obtidos com muita facilidade em redes sociais e em perfis de sites de empregos.

Com o e-mail e o telefone em mãos, o invasor tentará redefinir a senha de acesso e o sistema enviará automaticamente uma mensagem de texto ao celular da vítima com o código de verificação. Nesse momento, o criminoso se disfarça como o provedor de e-mail e solicita esse código também via mensagem de texto. Se a vítima fornecer o código, o criminoso pode alterar a senha ou mesmo adicionar um endereço alternativo sem o conhecimento do usuário, a fim de encaminhar cópias de todas as mensagens enviadas para esse endereço de e-mail.

Como evitar o scam

Ainda de acordo com a Norton, o scam usado pelos criminosos é bastante simples. Por esse motivo, a empresa afirma que ele pode ser evitado caso o usuário fique atento, já que os invasores geralmente não estão buscando dados financeiros, e sim pesquisando e rastreando detalhes sobre os seus alvos para futuros ataques maiores.

Para evitar cair em golpes como esse, a Norton sugere algumas medidas de segurança que você já deve conhecer. Sempre desconfie de mensagens de texto pedindo códigos de verificação de e-mails. Se você não tem certeza de que a solicitação é legítima, entre em contato com seu provedor diretamente. Além disso, use uma senha forte e diferente para cada uma das suas contas, pois isso reduz as chances de que seus dados pessoais sejam comprometidos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Linkedin sofre novo ataque e expõe usuários

linkedin_hackedNesta semana, um hacker colocou à venda um suposto banco de dados com registros de 167 milhões de usuários do LinkedIn. Pelo pacote com IDs, endereços de e-mail e chaves de segurança, o vendedor pedia 5 bitcoins (cerca de US$ 2,2 mil).

Em 2012, a rede social corporativa já havia passado por um vazamento de dados semelhante, que resultou na exposição de 6,5 milhões de registros e senhas de usuários expostos na rede.

Tentativas de contato com o vendedor não surtiram efeito. Porém, os administradores do site LeakedSource, que indexa vazamentos de informações, afirmaram ter uma cópia dos registros e que, possivelmente, tratava-se de algo relacionado ao episódio ocorrido há quatro anos.

Das 167 milhões de contas comprometidas do LinkedIn, incluem 117 milhões de senhas. Agora, a LeakedSource anunciou que conseguiu descriptografá-las e ranqueou as escolhas mais populares de usuários. Resumo? Definitivamente, criar senhas complexas não é muito o forte das pessoas.

A seguir, confira as dez senhas mais populares usadas no LinkedIn. Caso você não tenha trocado a sua ainda, recomenda-se que você faça o quanto antes.

1 – 123456 – 753,305

2- linkedin – 172,523

3 – password – 144,458

4 – 123456789 – 94,314

5 – 12345678 – 63,769

6 – 111111 – 57,210

7 – 1234567 – 49,652

8 – sunshine – 39,118

9 – qwerty – 37,538

10 – 654321 – 33,854

Você pode conferir o ranking completo das senhas mais populares no link.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!