Cerca de 20% dos sites brasileiros de e-commerce não é seguro

O mapeamento da Internet brasileira da Serasa Experian, realizado pela consultoria BigData Corp, aponta que aproximadamente um em cada cinco dos sites de e-commerce não está seguro. Estes sites não possuem o certificado de segurança (SSL – Secure Socket Layer), que promove uma conexão segura utilizando a criptografia entre o servidor e os dados trafegados.

Esta ferramenta é importante principalmente em casos de websites que transacionam dados pessoais e números de cartão de crédito, por exemplo. Com o SSL, as informações inseridas não podem ser roubadas por hackers. Quando avaliados todos os sites do Brasil, 30% deles não possuem o certificado SSL. Foram analisados 4,3 milhões de sites com final .br em janeiro deste ano.

O percentual entre sites de comércio eletrônico é ainda maior quando analisados endereços corporativos (76%), blogs (28%) e outros (46%). O levantamento avaliou também que, até o final de abril, 45% dos sites que possuem o certificado e estão atualmente seguros estarão com estes certificados vencidos e precisarão renová-los.

De acordo com o Indicador Serasa Experian de Tentativas de Fraude, o Brasil encerrou 2017 com 1,964 milhão de tentativas, representando alta de 8,2% em relação a 2016. O primeiro bimestre do ano já totalizou 305 mil tentativas, ou seja, a cada 17 segundos um criminoso tentou roubar dados para efetivar uma fraude.

Para verificar se o site possui o certificado SSL e, portanto, os dados trafegados estão sendo criptografados, sem risco de roubo, basta checar se há um cadeado na barra de status, ou se há um “s” após o http (https), indicando segurança. Em alguns casos, a barra de endereço do navegador fica verde. Atualmente alguns navegadores incluem para todos os sites a indicação de “Seguro” e “Não Seguro” também na barra de endereço. Normalmente também há um selo de segurança, atribuído pelo fornecedor do certificado, que pode ser encontrado no próprio site.

Fonte: tiinside

Adobe Flash Player: descoberta nova falha grave

Faz algum tempo que algumas portas de entradas para hackers maliciosos estão sendo encontradas no Adobe Flash. Agora, a antiga e defasada plataforma teve mais uma vulnerabilidade de dia zero encontrada. Neste caso, a falha está presente em todas as versões do Flash, até as mais recentes, em sistemas operacionais Windows, Mac e Linux.

Além de afetar Windows, Mac e Linux, o flash player do Google Chrome e Microsoft Edge também são afetados

Logo de cara, saiba que a melhor maneira de se proteger contra as vulnerabilidades do Adobe Flash é a seguinte: desinstale qualquer traço dele em seu computador. Não deixe o Flash instalado por um longo tempo na máquina e só use se for extremamente necessário.

A Adobe já confirmou a vulnerabilidade (CVE-2018-4878) e alertou que todas as versões até a v28.0.0.137 são afetadas. Ainda, a companhia avisou que vai soltar um patch de correção até o dia 5 de fevereiro.

Tudo que é ruim pode piorar

Além da Adobe confirmar a existência da vulnerabilidade, a empresa também confirmou que hackers maliciosos já estão explorando a falha, principalmente contra usuários Windows. “Os ataques usam documentos Office com conteúdo Flash malicioso, eles são distribuídos por email”, disse.

Se você não quiser desinstalar o Adobe Flash da sua máquina, o interessante ao abrir documentos provenientes de email e apps é utilizar a visualização protegida, nem edição por usuário.

Cibercriminosos continuam se aproveitando de vulnerabilidade da Microsoft

Hackers do Fancy Bear, grupo russo, estão explorando uma vulnerabilidade DDE do Microsot Office, de acordo com pesquisadores da McAfee. O lado ruim disso é que, anteriormente, a Microsoft não considerou essa vulnerabilidade como um problema de segurança, então não pretende lançar um patch de atualização para corrigir a brecha.

Como o DDE é um recurso legítimo, os programas antivírus não realizam qualquer tipo de alerta

O DDE, Dynamic Data Exchange, é um recurso integrado do Microsoft Office. Se explorado por cibercriminosos, ele pode servir para a execução de códigos em dispositivos com Office sem a necessidade de ativação do Macros. Para o sistema, o protocolo DDE é um dos métodos usados pela Microsoft para permitir a troca de dados entre duas aplicações (programas) rodando ao mesmo tempo.
Entre os programas que usam o DDE — e podem ser explorados — estão o Word, o Excel, o Quattro Pro e o Visual Basic.

De acordo com a McAfee, o Fancy Bear já está realizando ataques via DDE. É interessante notar que muitos pesquisadores apontam o Fancy Bear, também conhecido como APT28, como um grupo patrocinado pelo governo da Rússia. O grupo, por meio de phishing, está explorando a vulnerabilidade em PCs de vítimas desde outubro deste ano.

Infelizmente, como o DDE é um recurso legítimo, como nota o Hacker News, os programas antivírus não realizam qualquer tipo de alerta quando ele é explorado — ou sobre qualquer ameaça.

Como se proteger

Neste caso, parece que não há como esperar um patch de atualização. Então, a dica é desabilitar o recurso DDE. Se você possui o Microsoft Word/Excel 2016, em “Opções”, “Avançado”, retire o check ao lado de “Update automatic links at open” (Atualize os links automáticos em aberto). Essa ação já deve prevenir alguma exploração, caso você acabe caindo em phishing.

Fonte: Tecmundo

WhatsApp apresenta vulnerabilidade

whatsappO aplicativo WhatsApp possui uma vulnerabilidade em seu sistema de segurança que pode permitir que o Facebook, proprietário do serviço, e outros portais interceptem mensagens codificadas entre os usuários, afirmou nessa última sexta-feira o jornal britânico “The Guardian”.

O Facebook garante que ninguém pode interceptar mensagens trocadas pelo WhatsApp, nem mesmo a própria companhia e seus funcionários, para garantir a privacidade de milhões de usuários.

No entanto, uma nova pesquisa divulgada pelo “The Guardian” revela que a companhia poderia ler as mensagens codificadas devido à maneira que o WhatsApp implementou o chamado protocolo de codificação de ponta a ponta.

Os ativistas defensores da privacidade afirmam que a “vulnerabilidade” encontrada no popular aplicativo de mensagens representa uma “enorme ameaça para a liberdade”. Além disso, alertam que essas informações podem ser utilizadas pelas agências de inteligência dos governos de vários países.

O protocolo de segurança do Whatsapp depende de uma chave única, usando o sistema “Signal” desenvolvido pela Open Whisper System.

Os códigos são verificados entre os usuários automaticamente a fim de garantir que a troca de mensagens não poderá ser interceptada.

No entanto, afirma o “The Guardian”, o WhatsApp tem uma forma de conseguir que essas chaves sejam recodificadas, de modo que o receptor da mensagem não saiba das mudanças ocorridas.

Nesse caso, o remetente é notificado que houve uma mudança nas chaves de codificação se o usuário previamente optou pela codificação nos ajustes do aplicativo.

A vulnerabilidade foi descoberta por Tobias Boelter, um pesquisador especializado em codificação da Universidade de Berkeley, na Califórnia, nos Estados Unidos.

“Se uma agência de inteligência pedisse ao WhatsApp para que eles divulguem o nosso histórico de mensagens, eles podem efetivamente garantir o acesso pela mudança nas chaves”, disse Boelter.

O especialista informou sobre o problema ao Facebook em abril de 2016. A companhia respondeu que já sabia da vulnerabilidade.

A descoberta, segundo o “The Guardian”, questiona a privacidade do serviço de mensagens online utilizado por milhões de brasileiros e pessoas de todo o mundo.

Fonte: Exame

Descoberta vulnerabilidade no Microsoft Edge

vulnerabilidade_edgeDe acordo com informações do especialista em segurança Manuel Caballero, uma vulnerabilidade no recurso SmartScreen do Microsoft Edge pode ser usada para enganar os usuários do navegador.

O SmartScreen é um recurso de segurança criado para alertar o usuário sobre sites e downloads maliciosos.

A vulnerabilidade descoberta por Caballero permite que criminosos exibam alertas falsos como sendo de outros domínios como Google e Facebook.

Segundo ele, criminosos podem explorar esta vulnerabilidade para que ela exiba números de telefone de supostas “equipes de suporte” que farão de tudo para tirar dinheiro dos usuários.

Caballero colocou no ar uma página de demonstração onde qualquer um pode gerar seu próprio alerta falso com o domínio de sua escolha.

Em seu blog, ele afirma que a vulnerabilidade afeta apenas o Microsoft Edge.

A vulnerabilidade ainda não foi corrigida e por isso é necessário ter cuidado redobrado durante a navegação na Web.

Caballero disse que já reportou diversos bugs para a Microsoft no passado, mas como a empresa ignorou alguns deles, ele decidiu divulgar a vulnerabilidade no SmartScreen do Microsoft Edge publicamente sem reportá-la para a empresa.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Atenção: KeePass 2 está vulnerável

keepassO KeePass é um aplicativo gratuito open-source que possibilita o gerenciamento de senhas de forma segura, longe de olhares alheios. Hoje em dia são tantos cartões, logins, senhas e códigos de acesso que fica complicado gerenciar com lucidez todos estes conjuntos de letras, números e símbolos.

Mas, de acordo com uma informação recente, o KeePass 2 está vulnerável a ataques man-in-the-middle.

O KeePass 2 é provavelmente um dos serviços de armazenamento de senhas mais utilizado no mundo.
Muitos usuários confiam neste aplicativo muitas das senhas e logins que utilizam nos serviços online. O problema é que, recentemente, foi descoberta uma falha e ao que parece os responsáveis já disseram que não pretendem corrigi-la para não perder publicidade.

Como funciona o ataque ao KeePass 2?

Tal como acontece com todos os ataques man-in-the-middle, a comunicação é interceptada e até pode ser redirecionada. Neste caso, quando o usuário que tem o KeePass 2 acessa opção de verificação de atualizações, e como esse pedido é feito via HTTP, facilmente o atacante consegue interceptar essa comunicação e até lhe enviar uma “atualização maliciosa”.

Estranhamento o responsável pelo KeePass 2 já afirmou conhecer a vulnerabilidade, mas disse que não vai solucioná-la por existirem custos associados. Mais estranho ainda é o fato de referir que se implementasse uma comunicação com base no protocolo HTTPS, iria perder apoios de publicidade.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Vulnerabilidade possibilita acesso quase total aos Macs

cadeadoA Apple lançou recentemente o OS X 10.11.4, que corrige um grande número de vulnerabilidades do sistema. Mas, segundo uma notícia recente, a gigante de Cupertino parece ter esquecido de uma vulnerabilidade que possibilita acesso quase total a qualquer Mac.

Esta vulnerabilidade “Zero–day” foi descoberta por investigadores da SentinelOne.

Apesar de ser considerado um dos sistemas operacionais mais seguros, foi descoberto agora que o OS X tem uma vulnerabilidade que permite aos hackers a execução de código malicioso, mesmo estando o sistema protegido pelo SIP (System Identity Protection), um recurso de segurança ao nível do Kernel.

O SIP, também designado de rootless, foi lançado com o OSX El Capitan e na prática ajuda a prevenir que seja executado código malicioso no sistema.

Nas imagens disponibilizadas pela SentinelOne se pode ver em detalhe, como o ataque acontece. Depois do hacker conseguir enganar o SIP, facilmente obtterá acesso quase total a qualquer Mac.

A Apple já foi notificada deste problema e diz que já está trabalhando em uma correção específica. Espera-se por isso uma nova atualização do OSX nos próximos dias.

Fontes: pplware e SentilOne