Encriptação não garante segurança na troca de dados em mensageiros

Um novo estudo realizado pela Brigham Young University (BYU) revela que, mesmo que eles adotem um sistema de encriptação ponta a ponta, programas como WhatsApp, Facebook Messenger e até Viber ainda possuem brechas de segurança que colocam seus usuários completamente em risco. Segundo a pesquisa, a falta de uma autenticação mais adequada com a realidade atual faz com que trocar informações sensíveis pelos mensageiros instantâneos seja como brincar de roleta-russa.

De acordo com a universidade norte-americana, boa parte dessa exposição dos aplicativos do segmento aos cibercriminosos se devem à ausência de um procedimento pelo qual um dos indivíduos identifique o outro como o destinatário real da sua mensagem. Esse protocolo social é chamado pelo time da BYU de “cerimônia de autenticação” e, supostamente, pode reduzir de forma considerável o vazamento de dados, as fraudes e outras tentativas de hacking originadas dos aplicativos de chat.

Para testar sua teoria, um dos responsáveis pelo estudo sugeriu e realizou um teste composto de duas fases distintas. Na primeira, os participantes eram estimulados, em duplas, a trocar o número do seu cartão de crédito através dos mensageiros, recebendo apenas alertas para que se certificassem que sua conversa era realmente confidencial. O resultado? Apenas 14% deles conseguiu se assegurar completamente de que seus envios estavam chegando à pessoa certa.

Muitos deixam a segurança de lado em nome de um bate-papo mais rápido

Na segunda fase, os indivíduos foram instruídos sobre a importância de realizar a cerimônia de autenticação antes de compartilhar dados. Desta vez, a taxa de sucesso ao se certificar da identidade do destinatário subiu para sonoros 79%. O problema é o tempo que esse pessoal levou para fazer as perguntas certas e seguir o protocolo à risca para completar a autenticação: uma média de 11 minutos. A demora, claro, frustrou muitos dos usuários e mostrou o motivo de muitas pessoas deixarem sua segurança de lado em nome de um bate-papo mais rápido.

Para resolver esse impasse, os pesquisadores estão colocando a mão na massa e trabalhando em um sistema que torna a tal cerimônia de autenticação mais rápida e, claro, automática. “Se pudermos fazer a cerimônia de autenticação nos bastidores do app e de forma automatizada ou quase sem esforço por parte do usuário, podemos corrigir esses problemas sem precisar educar as pessoas”, acredita Elham Vaziripour, o estudante que lidera a pesquisa.

Fonte: Tecmundo

Yahoo chega a uma triste constatação

Yahoo_hackedO Yahoo, que revelou duas grandes violações de dados no ano passado, informou nesta quinta-feira, 2, que cerca de 32 milhões de contas de usuários foram invadidas nos dois últimos anos por meio de uma falha de segurança causada por cookies – recurso disponível na maior parte dos navegadores capazes de reter dados e preferências dos usuários.

A empresa esclareceu que algumas das violações mais recentes podem estar associadas ao mesmo hacker que teria sido responsável pela invasão de 2014, na qual pelo menos 500 milhões de contas foram afetadas.

“Com base na investigação, nós acreditamos que uma terceira parte não autorizada acessou o código de propriedade da empresa para aprender como forjar certos cookies”, informou o Yahoo em documento.

A falha, desta vez, foi permitir que um invasor forjasse seus próprios cookies, sendo capazes de reter a conta de usuários e suas senhas. Segundo o Yahoo, os cookies utilizados foram invalidades, de forma a não permitir que sejam novamente usados para invadir contas de usuários, completou a empresa.

Em dezembro, o Yahoo informou que dados de mais de 1 bilhão de contas ficaram comprometidos em agosto de 2013, o que seria a maior invasão informática na história dos Estados Unidos.

Na quarta-feira, 1, a empresa informou que não concederia à presidente Marissa Mayer um bônus relativo a 2016, após a descoberta do comitê independente sobre o incidente de segurança ocorrido em 2014.

No mês passado, a operadora norte-americana Verizon, que deve adquirir os negócios de internet do Yahoo, reduziu sua oferta para US$ 4,48 bilhões de dólares – US$ 350 milhões a menos do que a proposta inicial, feita em julho de 2016.

Fonte: Estadão

Rede de telefonia é muito vulnerável

gsm_arquiteturaO seu celular pode estar mais exposto a invasões do que você pensa. Aquela verificação por senha ou por impressão digital bem que pode dar uma sensação de segurança, mas a verdade é que, no melhor estilo de Mr. Robot, alguém com um pouco de conhecimento técnico, vontade e US$ 30 no bolso pode ouvir suas conversas e ver suas mensagens.

Semanas atrás, em evento de segurança da informação em São Paulo, os pesquisadores Igor Marcel e Wilberto Filho, da Blaze Information Security, mostraram como é possível roubar informações de nossos celulares sem muitas dificuldades. Eles grampearam uma ligação entre dois aparelhos telefônicos e, no processo, extraíram dois áudios, um de cada dispositivo. Também mostraram a possibilidade de obter a troca de mensagens de SMS, o que, segundo eles, torna a verificação em duas etapas um processo não tão seguro assim.

O propósito da apresentação da dupla era algo um tanto quanto assustador: eles queriam defender que a segurança da nossa rede GSM (que compreende 2G, 2.5G, 2.75G, 3G, 3.5G e 4G) não é lá essas coisas. Ou melhor: é bem vulnerável.

A fim de mostrar como funcionaria o tipo de ataque, os pesquisadores tiveram apenas que criar uma antena BTS (Base Transceiver Station) falsa. A BTS, ou radiobase, é responsável por fazer conexões entre operadoras e usuários de aparelhos móveis. Entre os dispositivos que utilizam este tipo de conexão estão aparelhos de celular e máquinas de cartão de crédito.

Para criar o artefato, os pesquisadores gastaram em torno de 600 dólares (aproximadamente R$ 2000). “Caso você ache este valor alto, podemos diminuir isso para apenas 30 dólares com um rádio definido por software (o RTL-SDR)”, explicou Marcel. “Com um equipamento deste tipo seria possível interceptar a comunicação entre a BTS e o dispositivo móvel e, posteriormente, decriptar tais dados interceptados”, completou. Este tipo de ataque é conhecido como “ataque passivo”. Nele, o praticante consegue capturar os dados diretamente no ar, sem que ocorra nenhuma interação com as vítimas.

“Além das interceptações, é possível simular ser um número telefônico diferente, ou até mesmo bloquear e negar serviços a celulares em uma determinada área”, explicaram os especialistas enquanto demonstravam as invasões no palco. Estas são capacidades semelhantes a dos IMSI Catchers, as também chamadas torres espiãs de celulares, equipamentos utilizados no Brasil apenas pelo Exército e forças de segurança.

Se você tem um celular 3G ou 4G, deve estar pensando que está livre, certo? Errado. Igor Marcel explica que a BTS pode enganar seu aparelho e forçá-lo a se conectar a uma rede 2.5 G. Como? Intensificando o sinal. “Os equipamentos móveis preferem sempre as estações radiobase com o sinal mais forte”, explicou Igor Marcel. “Com um equipamento BTS com sinal potente o bastante, é possível simular a conexão e fazer com que o celular ‘pense’ estar conectado a BTS legítima da operadora quando, na verdade, o sinal foi interceptado.”

No último mês de julho, cerca de 56 milhões de aparelhos celular se conectaram por meio do padrão GSM. Este número equivale a cerca de 22% de toda a telefonia móvel brasileira, segundo dados disponibilizados no site da Anatel. A esmagadora maioria conecta-se por meio da rede 3G, com 56% dos aparelhos. E apenas 17% faz uso da tecnologia 4G.

O pesquisador explica que o padrão GSM é bastante antigo e não teve a devida preocupação com segurança quando foi criado. O sistema foi colocado em uso no início dos anos 1990, com a primeira ligação realizada no dia 1° de julho de 1991, na Finlândia. Os padrões foram definidos pelo ETSI (European Telecommunications Standards Institute). A mudança para o GSM tirou a telefonia móvel do analógico e, pela primeira vez, as ligações via celular eram digitais.

Nem criptografia salva o GSM

A criptografia que a rede GSM utiliza não é solução. Segundo Marcel, em dezembro de 2009, o criptógrafo Karsten Nohl e o pesquisador Chris Paget anunciaram a quebra da criptografia usada nas comunicações GSM, a A5/1. Mesmo antes disso, afirmou, a comunicação era não tão segura. “Um usuário mal intencionado pode simplesmente desabilitar a criptografia na sua BTS GSM falsa e ter acesso às chamadas, mensagens SMS e dados em ‘texto plano’.”

“Você sabe se nesse exato momento seu tráfego está encriptado? Você tem como me afirmar isso?”, questionou Marcel para a o público durante a apresentação. A resposta negativa para ambas as perguntas do pesquisador sinalizam um pessimismo geral. Ele explica que, por padrão, os aparelhos celulares avisam os usuários se a conexão utilizada possui criptografia, porém as operadoras brasileiras optam por desabilitar o aviso. “O usuário final está por sua conta e risco!”, alertou.

As soluções para reforçar a segurança estariam, entre outras, na utilização de criptografia ponta-a-ponta. Trocas de mensagem via Whatsapp estão menos vulneráveis a atacantes que usem BTS falsas, por exemplo. Além disso, Marcel mencionou que as operadoras “deveriam ter transparência, abrir padrões e cooperar com pesquisadores”. “Deixar tudo em portas fechadas numa tentativa de prover segurança por obscuridade não vem surtindo um efeito positivo.”

Há riscos com 3G e 4G também

Embora as redes GSM sejam o principal ponto de vulnerabilidade, elas não são o único ponto em que um atacante pode interceptar o tráfego. “Os padrões 3G e 4G também são vulneráveis a ataques do tipo passivo, a diferença é que na rede GSM você pode usar equipamentos mais acessíveis para montar uma BTS falsa”, explicou o especialista em redes de computadores e telecomunicações, Noilson Caio.

O especialista também afirmou que estas fragilidades também são encontradas fora do país, já que “ataques a rádiofrequência são bem similares na sua concepção global”. Fora isso, complementa, os atacantes forçam um celular conectado a rede 3G “descer” para 2G, para se aproveitar da característica dos celulares de se conectar com a BTS de sinal mais potente..

A reportagem de Motherboard perguntou à Anatel sobre risco de possíveis ataques e inseguranças na rede de telefonia móvel brasileira. Até o fechamento desta matéria não houve resposta da agência.

Fonte: Motherboard

LastPass corrige vulnerabilidades graves

lastpassAs vulnerabilidades foram descobertas por dois investigadores de forma independente e, em ambos os casos, a LastPass demorou pouco mais de um dia para as corrigir. A empresa assumiu as falhas e comunicou também a correção. Mathias Karlsson descobriu um bug que permite criar um URL falso, fazendo os usuários pensar que estavam a acessando o Twitter e digitando a sua senha, para a roubar.

O sistema depois reencaminha o usuário para o Twitter, para que este não se aperceba do ataque. Por outro lado, Travis Ormandy, da Google Security Team, anunciou uma falha na extensão do LastPass para o Firefox, que também já foi sanada.

As recomendações de segurança mantêm-se: não clique em links de origens desconhecidas, use senhas diferentes para cada serviço e ative a autenticação de dois fatores sempre que estiver disponível.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Exame Informática

Softwares da Symantec apresentam vulnerabilidades

symantec-logoUm pesquisador de segurança do Google descobriu diversas vulnerabilidades em produtos da Symantec para uso doméstico e corporativo que podem ser exploradas facilmente por criminosos para tomar o controle dos computadores com os produtos afetados.

A Symantec já disponibilizou uma correção para os produtos afetados. O problema é que enquanto alguns receberam a correção automaticamente, outros, principalmente os voltados para o mercado corporativo, requerem instalação manual.

As vulnerabilidades foram descobertas por Tavis Ormandy, da equipe Project Zero no Google. A maioria das falhas descobertas por Ormandy afeta o componente do mecanismo antivírus da Symantec utilizado durante a verificação de arquivos compactados.

Este componente lida com diversos formatos, incluindo os mais conhecidos como RAR e ZIP. O agravante é que este componente é executado com privilégios do sistema e não do usuário.

Algumas das vulnerabilidades podem ser exploradas para permitir a execução remota de códigos malicioso em computadores com os produtos vulneráveis.

Vale destacar que o componente vulnerável utilizado pela Symantec utiliza a versão 4.1.4 de uma biblioteca open-source lançada em janeiro de 2012. A versão mais recente desta biblioteca unrar é a 5.3.11.

A Symantec publicou uma lista com todos os produtos afetados e instruções sobre como atualizá-los. Confira a lista aqui.

Agradecemos ao Igor e ao Marcelo Miranda, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fontes: Baboo e PCWorld

Google corrige 36 falhas de segurança do Android

google_marshmallowA última série de patches de segurança para o Android resolve cerca de duas dúzias de vulnerabilidades nos drivers de sistema para vários componentes hardware de diferentes fabricantes de chips.

O maior número de falhas críticas foram direcionadas aos drivers de vídeo Qualcomm, o driver de som, driver GPU, driver do Wi-Fi e driver da câmera. Algumas dessas vulnerabilidades poderiam permitir aplicações maliciosas a executarem códigos mal intencionados no kernel do sistema levando ao comprometimento permanente do dispositivo.

Falhas similares foram corrigidas no driver Wi-Fi da Broadcom, driver de câmera Nvidia, e o driver de gerenciamento de energia MediaTek. Essas vulnerabilidades conseguiam dar a aplicações privilégios ou configurações do sistema que, ao contrário, não deveriam ter. Em alguns casos, as falhas permitiam execução do código-fonte kernel, mas apenas se o invasor comprometesse um serviço diferente para se comunicar com o driver vulnerável.

Essas falhas são um alerta para que fabricantes de chips direcionem maiores esforços ao testarem seus códigos, que tipicamente consistem em drivers que rodam nas áreas mais privilegiadas do sistema operacional.

Detalhamento das correções

Além dos reparos às 21 vulnerabilidades nos drivers para diferentes componentes, o Google consertou mais de doze falhas no componente do mediaserver. Uma crítica, 12 de alto risco e uma falha moderada foram reparadas no mediaserver, um componente que lida com o processamento de áudio e vídeo no Android.

O Google tem trabalhado para fortalecer o mediaserver do seu sistema operacional no último ano. Uma vulnerabilidade crítica foi reparada no libwebm, que poderia permitir aplicações executarem código no contexto do processo do mediaserver que conta com privilégios especiais.

Fora isso, outra falha de alto risco foi consertada no camada de emulação do SD card, outra moderada no Framework UI e uma no administrador de atividades.

O Google liberou sua atualização na última segunda-feira (06/06) para seus aparelhos Nexus: Nexus 5, Nexus 5X, Nexus 6 e Nexus 6P. A companhia também notificou fabricantes de aparelhos sobre tais reparos no dia 2 de maio para que elas possam preparar suas próprias atualizações de firmware.

Os patches serão liberados também no Android Open Source Project (AOSP) nas próximas 48 horas para que a comunidade de desenvolvedores de firmware Android e outros projetos que confiam no código AOSP possam integrá-los.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, a referência a essa notícia.

Fonte: IDG Now!

Instagram tem sérias vulnerabilidades

instagramArne Swinnen, da Bélgica, trabalha como caçadores de recompensas — no caso, procurando bugs e vulnerabilidades em softwares, aplicações e sites. Swinnen, por meio de um post em seu próprio blog, alertou a descoberta de duas grandes vulnerabilidades no Instagram, a rede social de fotos do Facebook.

Swinnen comentou que este problema permitiu que ele conseguisse pegar senhas de usuários por meio da força bruta, sem qualquer esforço. O ataque de força bruta consiste na verificação sistemática de todas as possibilidades alfanuméricas utilizadas como senha — o processo de busca só termina quando a senha correta é encontrada.

A vulnerabilidade em questão está na API do Android e na versão web do Instagram. Como você mesmo pode acompanhar a descoberta nesse link, Swinnen alertou ao time do Instagram que, como recompensa, pagou US$ 5 mil (R$ 17 mil) ao belga. O problema também já foi corrigido com um patch.

Swinnen disse que a falha atinge 4% dos usuários, que são 20 milhões de contas

De acordo com o caçador de recompensas, a falha estava exatamente no sistema de senha utilizado pelo Instagram, já que ele não limitava a quantidade de entradas (tentativa e erro) ao tentar realizar o login. Outra vulnerabilidade era alterar o número de telefone vincula à conta. Ou seja, até os usuários com verificação de duas etapas estavam expostos.

Como se proteger

Lembre-se: na hora de criar contas, use senhas criativas — nem que você tenha que armazená-las em outro local. Use desde letras e números até caracteres especiais, como ponto de interrogação, cifrão etc. Se você tiver paciência, ainda troque essa senha a cada três meses.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo