Arquivo

Hackers alemães descobrem como fazer ‘escuta’ em internet pelo celular

11 de agosto de 2011

Técnica permite capturar dados transmitidos por rede GPRS. Comunicação via tecnologia 3G não é afetada por falha descoberta. Celulares com rede GPRS podem sofrer ‘escuta’ de internet (Foto: Jamila Tavares/G1) Uma empresa de segurança alemã descobriu como quebrar o código de criptografia de alguns celulares usando a Internet, afirmou o jornal “Handelsblatt” nesta quarta-feira, citando o diretor da companhia. A descoberta de uma forma de tirar informações da tecnologia GPRS permite que se leia e-mails e se observe o uso da Internet feito por uma pessoa cujo aparelho foi hackeado, disse Karsten Nohl, diretor da Security Research Labs. ‘Com nossa tecnologia podemos capturar dados de comunicações GPRS num raio de 5 quilômetros’, disse ele ao jornal antes de um encontro do Chaos Computer Club, grupo que descreve a si mesmo como a maior coalizão hacker da Europa. Telefones que usam o novo padrão UMTS são mais seguros, disse Nohl, mas a quebra da criptografia afeta equipamentos industriais e qualquer aparelho que use GPRS – incluindo novos aparelhos como os iPhones e iPads da Apple, que mudam para o modo GPRS em áreas remotas. Reuters [ad#Retangulo – Anuncios – Duplo]

Leia mais »

Hackers: descoberto o maior ataque já feito

4 de agosto de 2011

Empresa afirma ter descoberto a maior série de ataques hackers Criminosos teriam invadido redes de 72 organizações. Empresa de segurança McAfee descobriu as invasões. Invasões a redes de 72 organizações ocorreram durante 5 anos, afirma McAfee. Especialistas em segurança descobriram uma série de ataques hackers em redes de 72 organizações. Durante cinco anos, os criminosos invadiram sistemas da ONU, governos e empresas ao redor do mundo. Segundo a empresa de segurança McAfee, que descobriu as invasões, esta teria sido a maior série de ataques já registrada. A companhia acredita que exista um “protagonista estatal” por trás dos ataques, mas não identificou o país, ainda que um especialista em segurança tenha afirmado que os indícios apontam para a China. A lista de vítimas inclui os governos dos Estados Unidos, Taiwan, Índia, Coreia do Sul, Vietnã e Canadá, o Comitê Olímpico Internacional (COI) e uma série de empresas. No caso da ONU, os hackers invadiram o sistema de computação de seu secretariado em Genebra, em 2008, e operaram em silêncio na rede durante dois anos, obtendo discretamente grande volume de dados sigilosos, de acordo com a McAfee.[ad#Retangulo – Anuncios – Direita] “Ficamos surpresos com a enorme diversidade das organizações vítimas e com a audácia dos criminosos”, afirmou o vice-presidente da McAfee Dmitri Alperovitch. A pesquisa de 14 páginas sobre os ataques foi divulgada nesta quarta-feira (3). Origem A McAfee descobriu a gravidade das invasões em março de 2011. A empresa afirma que as primeiras violações ocorreram em meados de 2006. Alguns dos ataques duraram apenas um mês, mas o mais o longo – contra o comitê olímpico de um país asiático não identificado – se estendeu intermitentemente por 28 meses, de acordo com a McAfee. “Empresas e agências de governos estão sendo hackeadas e saqueadas todos os dias. Eles estão perdendo vantagens econômicas e segredos nacionais para competidores sem escrúpulos”, afirmou Alperovitch. “Trata-se da maior transferência de riqueza de todos os tempos, em termos de propriedade intelectual”, disse. “A escala com que isso está acontecendo é muito assustador”. Jim Lewis, especialista do Centro de Estudos Estratégicos e Internacionais, afirmou ser muito provável que a China esteja por trás das invasões já que alguns alvos têm informações que são interessantes para o país. Sistemas de vários Comitês Olímpicos Nacionais foram violados na preparação para os Jogos de Pequim em 2008, por exemplo. A McAfee não quis comentar sobre a possibilidade de a China ser a responsável pelos ataques. Reuters

Leia mais »

Internet. AI5 Digital

5 de julho de 2011

Lei Azeredo: pesquisadores e invasores no mesmo saco por: José Antonio Milagre (jose.milagre@legaltech.com.br) é advogado em São Paulo especializado em Direito Eletrônico e IT and Environmental Compliance Prestes a ser votada, Lei Azeredo tem pontos positivos mas ameaça a cultura e pesquisa de segurança da informação. Como deveria ser do conhecimento de todos, hackers, ao contrário de crackers, utilizam seus conhecimentos para o aprimoramento da segurança de sistemas e não invadem sistemas com a intenção danosa. Mas invadem sistemas, fato! Mas será que o PL 84/1999, a chamada “Lei Azeredo”, alcança esta distinção técnica, ou trata todos como cibercriminosos, como é, aliás, o entendimento de algumas autoridades que se manifestam a respeito? Em maio de 2011, o Projeto 84/1999 teve novo relatório, também pelo (agora Deputado) Azeredo, que tentou costurar alguns termos de modo a tornar o projeto “mais aprazível”. Fato é que o mesmo será votado pela Comissão de Ciência e Tecnologia da Câmara, e pode ser aprovado a qualquer momento. Mas, suprimir “termos polêmicos” da legislação projetada, como o próprio Senador anunciou, significa efetivamente preservar direitos e garantias fundamentais dos cidadãos e pesquisadores de segurança? Vejamos, no decorrer desta análise. Dentre as principais modificações do relatório, tivemos a remoção dos textos “dispositivos de comunicação” e “rede de computadores” dos tipos penais trazidos, segundo o relator, para “impedir a criminalização de condutas banais”. Mas condutas banais continuam em risco de serem consideradas criminosas.[ad#Retangulo – Anuncios – Direita] Três artigos, com profundo impacto nas pesquisas realizadas por profissionais de segurança, serão estudados, abaixo descritos: Acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado Art. 285-A. Acessar rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização do legítimo titular, quando exigida: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte. Obtenção, transferência ou fornecimento não autorizado de dado ou informação Art. 285-B. Obter ou transferir dado ou informação disponível em rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização ou em desconformidade à autorização, do legítimo titular, quando exigida: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Se o dado ou informação obtida desautorizadamente é fornecida a terceiros, a pena é aumentada de um terço. Inserção ou difusão de código malicioso Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado. Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Inserção ou difusão de código malicioso seguido de dano § 1º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado: Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa. Bom, para entender quais foram as mudanças nos artigos, apenas os leia sem as expressões “rede de computadores” e “dispositivo de comunicação”. Avançamos realmente em prol de uma legislação lúcida, no que tange às pesquisas de segurança? Receio que não. Primeiramente, em se tratando do crime previsto no art. 285-A (acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado), o “acesso” continua sendo “não autorizado”, de modo que deixa a cargo do titular do “sistema informatizado” reputar as condições de autorização (que podem não ser tão expressas), como “integrador” da lei penal, o que é um perigo, diante de nítida subjetividade, que pode ensejar manobras maliciosas para prender pesquisadores e profissionais éticos. Imagine que você, ao invés de acessar um site via browser, utiliza um crawling ou se utiliza do comando “wget” no site; este acesso está se dando a um sistema informatizado (website) e de uma forma não trivial (browsing), logo, você pode ser punido por fazer download do site. Imagine em um pentest (teste de intrusão), onde via “sql injection” você consegue bypassar o sistema de login do precitado portal, adentrando na área administrativa ou mesmo descobre o arquivo de conexão que lhe permite realizar uma conexão nativa com o banco de dados. Ora se hoje, CSOs na grande maioria, são arredios e se revoltam com “pesquisadorezinhos” que se intrometem em seu trabalho e expõe vulnerabilidades, imaginem, quando eles descobrirem que tais atividades passam a ser criminosas? Uma simples script em php usando a expressão ? passthru($_GET[“cmd”]); ?, concatenado em uma querystring, para gerar um registro no errors.log, que simplesmente te permite a execução do Shell (cmd), e que o pesquisador testou em um sistema, mesmo que não tenha sido contratado, causado dano, indisponibilidade ou copiado informação alguma, apenas para provar o conceito, seria, em tese, acesso indevido a sistema informatizado. Ora, como testar a segurança de um sistema se o acesso é criminoso? E que nem se argumente que pode-se inserir na redação do tipo a expressão “através de meio fraudulento” e estaria resolvido o problema, sendo que somente crackers seriam pegos. Ledo engano, os hackers utilizam de destreza e técnicas de subversão de sistemas, logo, é fato que adulteram, enganam os sistemas testados. O que difere um cracker de um hacker não são, em regra, as ferramentas ou meios usados, mas a intenção dos agentes. Alguns podem argumentar que os riscos de injustiças acima expostos não existem, já que a conduta punível deve ser sempre “dolosa”, com intenção, porém, não nos perece crível que um pesquisador de segurança tenha de provar que não tinha intenção fraudulenta ou de obtenção de quaisquer vantagens, tendo de se expor constantemente em face de investigadores, inquéritos, averiguações, dentre outras. O simples fato de comparecer em um “DP” para prestar esclarecimentos, para um pesquisador Hacker, é fato constrangedor ao extremo e pode se intensificar com a aprovação da lei. Já, em se analisando o artigo 285-B da “Lei Azeredo” (Obtenção, transferência ou fornecimento não autorizado de dado ou informação), temos o mesmo problema e pior, com uma conduta passiva

Leia mais »

Hacker é outra coisa

29 de junho de 2011

Hacker mesmo é outra coisa Mal entrou no cenário mundial, ganhando manchetes e derrubando sites, e a turma do LulzSec já está pedindo o chapéu. Nada como as primeiras prisões para enquadrar os meninos. Eles por certo chamaram a atenção para a fragilidade de um bom conjunto de sites corporativos. Mas, no fim, sobra pouco de suas ações. Coisa de meninos, mesmo, que querem aparecer. Se por vezes parece estar ali algum lustre político, é só ilusão. Hacker de verdade é muito diferente. Ainda são muitos os programadores de boa cepa que se ressentem do uso que nós jornalistas fazemos da palavra “hacker”. Na origem, o hacker não é bom ou mau. Ele é só excepcional, hábil como poucos na lida com o digital. Os primeiros hackers eram acadêmicos, cientistas da computação. Não é só a habilidade que os distinguia. Seguiam também um credo que nasceu do método científico e da contracultura. A informação quer ser livre. Deve ser livre. Dividiam informação. Trocavam macetes. E, com uma certa arrogância, invadiam os computadores onde a informação que buscavam estava protegida. Consideravam que ninguém tinha o direito de proteger informação útil à comunidade de programadores. Mais que busca por fama ou fortuna, curiosidade os movia. Aqueles que, ainda hoje, se identificam com aqueles hackers míticos dos anos 1970 e 80, preferem chamar a trupe do LulzSec de crackers. É um ideal romântico, mas a língua não lhes pertence e o termo já caiu no uso geral.[ad#Retangulo – Anuncios – Direita] Hacker é o sujeito muito hábil com computadores mas é, também, aquele que derruba ou invade sistemas – por diversão, crime ou ideologia política. Por seus feitos, o LulzSec não se destaca em nenhum dos grupos. Em 1981, o grupo alemão Chaos Computer Club (CCC) invadiu o sistema eletrônico de um banco e fez uma transferência eletrônica de 134.000 marcos para sua conta bancária sem que ninguém percebesse. No dia seguinte, convocou a imprensa, devolveu o dinheiro publicamente e relatou como tudo foi feito. É assim que os profissionais apontam falhas de segurança e ainda se divertem. Em janeiro de 1987, um grupo hacker derrubou metade do sistema telefônico dos EUA. Apenas um ano depois, o jovem Robert Morris, aluno da Universidade de Cornell, escreveu um vírus que tornou a internet tão lenta que o sistema ficou inviável por mais de uma semana. Levou a internet nascente ao chão. (Morris fez tudo sem querer, mas certamente que o seu foi um ataque memorável.) Na história dos hackers há perseguições como as de cinema. De um lado, Kevin Mitnick. Para ele, a um tempo pareceu, não havia sistema que não fosse capaz de invadir. Do outro, Tsutomu Shimomura, o filho de um Prêmio Nobel que rastreou o celular de Mitnick para ajudar o FBI a prendê-lo. O grupo texano Cult of the Dead Cow é símbolo dos hackers políticos. Puxados por seu porta-voz, Oxblood Ruffin, passaram as últimas duas décadas promovendo o acesso à internet em ditaduras. Nessa toada, escreveram muitos programas para que dissidentes políticos pudessem trocar informação sem o risco de serem localizados ou para que gente comum quebrasse as barreiras para entrar na rede sem restrições. Não são o único exemplo. Em 2008, os senhores do CCC acessaram os bancos de dados do governo alemão, de lá tiraram as impressões digitais de um ministro e as distribuíram impressas em filmes que qualquer um poderia usar para burlar leitores eletrônicos de digitais. Era um protesto contra o que consideravam quebra de privacidade no uso de dados biométricos nos novos passaportes. Os bons hackers políticos têm causas específicas e usam seus talentos – legal ou ilegalmente – para intervir no processo político. No ano passado, hackers espiões de algum governo escreveram um vírus que levou ao chão os computadores da usina nuclear de Bushehr, no Irã. Talvez Israel, talvez EUA. Ninguém sabe ao certo, mas este é talvez o vírus mais sofisticado e de uso mais específico jamais escrito. Há grandes hackers e há o resto, os aprendizes. O LulzSec, que agora se aposenta, não dá para o gasto. Pedro Doria/O Globo

Leia mais »

Rebelião cibernética

28 de junho de 2011

Os recentes ataques contra páginas web do governo e de empresas brasileiras podem ser vistos como o fruto da insegurança na rede, mas também levam a uma reflexão sobre o que está por trás de tudo isto. O que podemos detectar por meio da leitura dos comentários postados no Twitter, blogs, redes sociais e fóruns é ainda mais preocupante. O que se percebe é uma generalização do sentimento de frustração, desencanto e exclusão em relação ao governo, à política, políticos, empresários, enfim, tudo aquilo diz respeito à chamada ordem vigente. O que se nota mergulhando no mundo dos comentários online é que os seus freqüentadores (que não são poucos) não dão a mínima para a forma como informações foram obtidas, mas o que elas revelam sobre possíveis privilégios e corrupção. O universo dos jovens que se comunicam pela internet descobriu agora a estratégia do ataque cibernético como forma de ganhar visibilidade e reconhecimento. Trata-se de um recurso muito eficiente e que surpreende o establishment numa área onde ele ainda se move com alguma dificuldade, fruto da pesada herança da cultura industrial/analógica. Área de confrontação Os ciberativistas dos grupos Anonymouse  LulzSec já conquistaram seguidores no Brasil e a sucessão de ataques registrados no feriadão de Corpus Christi mostra que eles são extremamente ágeis. Seu objetivo não foi tanto roubar informações, mas, principalmente, mostrar presença e revelar debilidades nas redes digitais do governo e de empresas.[ad#Retangulo – Anuncios – Direita] A leitura dos comentários como os postados numa notícia sobre os ataques mostra que o apoio aos rebeldes digitais é muito maior do que as críticas ao que a mídia está chamando de terrorismo virtual. É este apoio que deve nos levar a pensar sobre suas causas e não a um debate inócuo sobre segurança na internet – uma rede que é estruturalmente vulnerável por conta de sua arquitetura eletrônica aberta. Em vez de procurar encontrar ferrolhos e cadeados para os bancos de dados que guardam negociatas e falcatruas, por que não discutir o teor das informações? Verificar quais as que merecem mais crédito e as que devem ser descartadas, em lugar de culpar o mensageiro. Outra coisa importante: esta rebelião cibernética veio para ficar porqueela se alimenta de uma inconformidade represada, igual à que levou os jovens árabes aos protestos iniciados em abril. O governo chileno sentiu o peso da internet como ferramenta de articulação política durante os recentes protestos estudantis em Santiago e resolveu adotar uma medida de eficácia altamente polêmica: criar um sistema estatal de vigilância as redes sociais. Tudo isto mostra que a internet e a web deixaram de ser um nirvana tecnológico eque agora entram, para valer, na nossa ecologia política como mais uma área de confrontação entre o status quo e o desejo de mudança. As grandes potências já oficializaram uma guerra cibernética por meio da mobilização de recursos militares para combater um inimigo cujo perfil ainda é pouco claro. Repressão inútil Pelas últimas notícias filtradas de dentro do Pentágono por jornais como o The New York Times, a estratégia norte-americana está mais orientada para combater empresas e grupos terroristas conhecidos. Já a rebelião virtual na base social é bem diferente. Os responsáveis pelos ataques, erroneamente chamados de hackers [na verdade são crackers, os invasores de computadores; hacker é a denominação original recebida pelos pioneiros da internet nos anos 1960 e 70 quando eles criaram as bases dos softwares existentes hoje em dia], são quase todos desorganizados, autônomos, sem base territorial fixa, que se mobilizam mais por idéias do que por metas. Geralmente se identificam pelo grupo a que pertencem até mesmo pelo nome, como é o caso do controvertido Julian Assange, do site Wikileaks. Grupos como o Anonymous e o LulzSec acabam virando mais marcas de um sentimento vago do que siglas identificadas com propostas políticas concretas. Por isso não adianta reprimi-los porque será inútil, já que usam a tecnologia com muito mais habilidade do que imaginamos. Só nos resta identificar suas idéias e refletir sobre elas. Carlos Castilho/Observatório da Imprensa

Leia mais »

Computação em nuvem e hackers

27 de junho de 2011

Ataques mostram fragilidade de ambientes corporativos e põem em risco a nuvem A onda de ataques de hackers mundo afora – que desembarcou no Brasil com intensidade na semana passada e derrubou diversos sites governamentais – ameaça, segundo especialistas, a tão propalada tendência de guardar todas as nossas informações na nuvem. As invasões piratas expõem também o quão frágeis são os sistemas de grandes e poderosas multinacionais. Com a popularização das redes sociais, esse terrorismo digital tende a se agravar, já que o padrão de proteção aos dados dos milhões de usuários é considerado fraco. Soma-se a esse cenário nebuloso a constatação de que é quase impossível manter um site governamental ou corporativo totalmente isento de brechas de segurança. Assim, em plena era da internet, computadores contendo informações realmente importantes e confidenciais raramente estão conectados. IDEOLOGIA :Afinal, o que querem os hackers? Pesquisa do Instituto SANS, nos EUA, especializado em segurança, já apontava, no fim de 2009, nada menos que nove milhões de falhas em software em seis mil empresas pelo mundo.[ad#Retangulo – Anuncios – Direita] O relatório apontou dois problemas principais: aplicativos desatualizados e sites vulneráveis. Dois anos depois, o inferno começou: no último dia 17 de abril, a PlayStation Network foi atacada por hackers, resultando no furto de dados de 77 milhões de usuários. Mais 25 milhões foram expostos em ataque subsequente ao site de entretenimento da Sony. Outros 1,3 milhão de usuários da Sega tiveram seus dados violados este mês. Seguiram-se invasões a páginas da CIA, do Senado americano, da polícia britânica, entre outros. Finalmente, os sites do governo, como o da Presidência, de ministérios e da Petrobras, saíram do ar na semana passada, num ataque de negação de serviço (sobrecarga de servidores por bombardeamento de requisições on-line) que enviou 2 bilhões de solicitações na madrugada de 22 de junho. Na madrugada do dia 24, o site do IBGE foi invadido por hackers, que deixaram um recado: que o governo enfrentará este mês a maior onda de ataques hackers já vista. Os dois principais grupos de hackers por trás dos ataques são o Anonymous e o Lulz Security, conhecido como LulzSec. Este ganhou uma “filial” brasileira. Já o ataque ao IBGE foi feito pelo grupo FireH4ck3r. – Apesar de se dizerem políticos e nacionalistas, estes grupos querem mostrar que a internet não passa de brincadeira de criança e ninguém está seguro – diz o consultor de segurança Alexandre Freire. Ao mesmo tempo, isso é apenas a ponta do iceberg, se você tem em mente que há possibilidades mais nefastas de invasões industriais, como as feitas pelo Stunext, que infectou estruturas da Siemens no programa nuclear iraniano. André Machado/O Globo (amachado@oglobo.com.br)

Leia mais »

Como identificar golpistas na internet

25 de junho de 2011

Os golpistas geralmente não falam muito de si e só querem saber detalhes da vida da potencial vítima. Além disso, não apresentam (muitos) amigos nem familiares a você”, alerta Erica Queiroz. Para muitas pessoas, entre homens e mulheres que buscam um amor, uma das alternativas é procurar pela internet. Mas, ao mesmo tempo, ao invés de só lembrar de sentimentos bons e prazerosos, é preciso estar atento para quem não tem a mesma intenção, ou seja, pessoas que só pensam em aplicar golpes. Segundo Erica Queiroz, consultora em relacionamentos, na maioria das vezes é possível identificar um (a) golpista. Mas, ao mesmo tempo, alguns golpes são tão elaborados que até as pessoas mais esclarecidas podem cair. “Existem golpistas que querem algo rápido (dinheiro rápido, estupro, roubo de utensílios/equipamentos domésticos) e há aqueles que querem instalar-se na vida do próximo e, de preferência, na casa das pessoas. Os golpistas geralmente não falam muito de si e só querem saber detalhes da vida da potencial vítima. Além disso, não apresentam (muitos) amigos nem familiares a você”, alerta Erica Queiroz. Erica explica que o perfil de uma pessoa que pretende aplicar golpes é, geralmente, muito atraente. Suas histórias podem ser inventadas e, muitas vezes, é utilizada uma identidade falsa. Além disso, golpistas fingem ser pessoas extremamente dóceis e estão dispostos a falar tudo o que a outra pessoa quer ouvir. Têm uma conversa mansa e bom papo, já que precisam disso para dar o golpe. Depois de um tempo, começam a contar uma história triste, como a de uma tia doente, uma filha atropelada, a necessidade de uma cirurgia, falta de dinheiro para pagar o aluguel. A consultora alerta que, cedo ou tarde, o golpe do dinheiro aparecerá. “E você está num site de relacionamentos à procura de amor, certo? Então não caia na conversa de quem pedir dinheiro!”. A consultora explica que as pessoas mais carentes são as que mais caem em golpes de internet. “As pessoas carentes nem deveriam tentar conhecer alguém pela internet, pois, sua fragilidade fica escancarada e o golpista se aproveita disso. A vítima acaba fazendo coisas que não faria se estivesse em seu estado normal”, enfatiza Erica Queiroz.[ad#Retangulo – Anuncios – Direita] Dicas para evitar a ação de golpistas na internet Para não cair em golpes, faça a gravação das conversas pelo MSN e outras redes sociais possíveis. Depois, refaça as perguntas já feitas e cujas respostas estão gravadas – se as novas respostas apresentarem diferenças, a pessoa pode até nem ser golpista, mas é mentirosa e isso já é motivo para desconfiança. Não se exiba demais na rede. Ninguém precisa saber que você viaja todo ano para o exterior, tem um carro caro, um iate… Não receba a pessoa em sua casa, mesmo que já tenham assumido o namoro. Muitos golpistas esperam ganhar a sua confiança para roubar objetos de valor de sua casa. Jamais empreste dinheiro a uma pessoa que tenha conhecido pela internet, mesmo que já estejam namorando há meses. Se você já sofreu ou conhece alguém que tenha sofrido golpes na rede, ajude a denunciar o caso à Delegacia de Crimes Virtuais. Para isso, grave em seu computador tudo o que puder: perfil da pessoa no site de relacionamentos, conversas, fotos enviadas, IP (internet protocolo)… Tudo o que conseguir valerá como prova contra o golpista. Lembre-se que, se você souber se proteger, a internet pode ser o melhor lugar para encontrar o amor”, conclui Erica. blog Mais Dicas Fonte: Bagarai – http: // bagarai com br

Leia mais »

Internet: Grupo de hackers divulga supostos dados pessoais de Dilma e Kassab

23 de junho de 2011

Ataques do grupo impediram o acesso a sites como o da Presidência do Brasil O grupo de hackers LulzSecBrazil postou em sua conta no Twitter um link para um arquivo com supostos dados pessoais da presidente do Brasil, Dilma Rousseff, e do prefeito de São Paulo, Gilberto Kassab. O LulzSecBrazil é o braço brasileiro do grupo coletivo internacional Lulz Security, que vem ganhando notoriedade por ataques recentes aos servidores da CIA (agência de inteligência americana), do FBI (polícia federal americana), do serviço público de saúde britânico, o NHS, da empresa Sony e das TV americanas Fox e PBS. Nesta quarta-feira, o LulzSecBrazil foi responsabilizado por ataques que deixaram fora do ar os sites da Presidência do Brasil, da Receita Federal e da Petrobras. O arquivo com os dados de Dilma e Kassab trazem informações como números do CPF e do PIS, data de nascimento, telefones, signo, nome da mãe (no caso do prefeito) e e-mails pessoais (também só no caso de Kassab). Muitas dessas informações são públicas e constam, por exemplo, da prestação de contas dos mandatários durante as campanhas eleitorais. As informações relativas a Dilma a vinculam à Petrobras, o que poderia sugerir que as informações foram coletadas quando ela fazia parte do Conselho de Administração da empresa, do qual saiu no início do ano passado, antes do lançamento de sua campanha à Presidência.[ad#Retangulo – Anuncios – Direita] Senhas e logins O LulzSecBrazil disponibilizou também outros dois aquivos – um deles com supostos caminhos para o recebimento de e-mails pessoais de funcionários da Petrobras e outro com supostas senhas e logins de acesso a áreas restritas do site do Ministério do Esporte. Comentários em blogs de tecnologia afirmam que a publicação teria sido uma resposta do LulzSecBrazil ao Serpro (Serviço Federal de Processamento de Dados, o órgão responsável pelos principais sistemas informáticos do governo federal), que afirmou que o grupo não havia tido acesso a dados sigilosos durante os ataques. O coordenador de comunicação social do Serpro, Carlos Marcos Torres, reafirmou à BBC Brasil que nenhum dos sites administrados pelo órgão sofreu invasão que pudesse expor dados sigilosos do governo ou de cidadãos. Segundo ele, os ataques do grupo de hackers apenas derrubou o acesso aos sites ao simular um grande número de acessos, sobrecarregando a rede. “Não houve uma invasão ao sistema, não quebraram os sistemas de segurança”, disse. Torres afirmou que o acesso indevido a dados sigilosos do governo abrigados nos sistemas do Serpro é “praticamente impossível”. Segundo ele, os dados postados pelo LulzSecBrazil podem ter sido tomados de fontes abertas na internet ou em outros meios. A assessoria de imprensa da Petrobras também afirmou que não houve invasão aos dados sigilosos da empresa e que o ataque do grupo de hackers apenas provocou lentidão no acesso ao site da companhia. A Petrobras disse desconhecer a lista publicada pelo grupo, mas reafirmou que nenhum dado foi acessado de forma indevida em seus sistemas e disse que o ataque não causou nenhuma aletração de conteúdo ou dano de informações disponíveis no site da empresa. A BBC Brasil não conseguiu o contato com representantes do Ministério do Esporte para comentar o assunto durante a madrugada desta quinta-feira. Relevância Em vários comentários postados em blogs sobre tecnologia que divulgaram a postagem dos supostos dados sigilosos, internautas questionam a relevância dos dados publicados pelo LulzSecBrazil. “Tem que ser muito, muito burro para achar que esses dados aí têm alguma importância e sigilo”, diz um usuário identificado como JustinBieberPCGamer no site www.gamevicio.com.br. “Engraçado vai ser quando começarem a entrar em cana, aí que vai começar a invasão de verdade”, complementa. Outro usuário, identificado como onyimiuji, afirma que o grupo “não realizou um ataque efetivo”, mas “simplesmente congestionaram o tráfego de informações”. “Esses arquivos só mostram coisas que já estão disponíveis e outras que não possuem a mínima relevância. O método deles pode ser eficiente para derrubar sites, mas ainda não tivemos uma prova cracker (hackers que conseguem romper barreiras de segurança de sistemas) deles”, diz. Um comentário postado no site blog.corujadeti.com.br afirma que “o objetivo do grupo hacker é demonstrar que o governo precisa e rápido reforçar as suas defesas, mas convenhamos que ter informações confidenciais providas pelas coletas da Receita Federal e do INSS é coisa antiga” . “Exemplo disso foram as diversas reportagens feitas na Praça da Sé, em São Paulo, que demonstraram que com menos de R$ 100 é possível comprar DVDs e CDs que possuem dados de milhões de contribuintes. CPF, RG, Endereço completo, filiação são alguns dos dados que constam nestes CDs e DVDs”, observa o comentário. BBC Brasil

Leia mais »

Hackers: sentenças mais duras nos Estados Unidos

20 de junho de 2011

Hackers podem enfrentar sentenças mais duras nos EUA Prisão pode chegar a 20 anos em caso de ameaça à segurança nacional. Grupo ‘Lulz Security’ anunciou ter entrado em sites do Senado e CIA. Antes mesmo de um grupo organizado anunciar ter invadido os sites da CIA e Senado dos EUA, a Casa Branca havia pedido sentenças mais duras para invasões a portais privados e governamentais. No mês passado, o governo de Barack Obama pressionou o Congresso por medidas contra o monitoramento cibernético mais duras – incluindo dobrar para 20 anos o tempo de prisão se algum hacker colocar em risco a segurança nacional. Enquanto se discute como elevar as penas, recentemente houve uma série de ataques a sites de companhias e instituições. Sistemas da Sony Corp e do Fundo Monetário Internacional foram alvos. O grupo chamado Lulz Security anunciou ter entrado em sites do Senado e CIA. “Tem sido um mês agitado”, afirmou James Lewis, do Centro para Estudos Estratégicos e Internacionais. Ele afirmou que os “ciberativistas” que frequentemente invadem sites para chamar a atenção sobre suas causas cometem um “grande erro” ao ter alvos como o FBI e a CIA. “Isso é detectado de imediato”, afirmou. Reuters [ad#Retangulo – Anuncios – Duplo]

Leia mais »

Word Press é invadido por hackers

15 de abril de 2011

Serviço de blog gratuito WordPress sofre invasão de hackers. Criminosos conseguiram acesso total ao site. Troca de senha é recomendada para os usuários. Criminosos ganharam ‘acesso root’, afirmou responsável pelo serviço (Foto: Reprodução) Invasores conseguiram acesso total a “vários servidores” do serviço de blogs WordPress, de acordo com um comunicado escrito por Matt Mullenweg, responsável pelo serviço. “Potencialmente qualquer coisa nesses servidores pode ter sido revelada”, escreveu. A Automattic, que opera o serviço, ainda está investigando como a invasão ocorreu e quais dados podem ter sido revelados, mas afirma já ter tomado medidas para prevenir novos incidentes. Nas palavras Mullenweg, os atacantes conseguiram “acesso root”. “Root” é o nome do usuário administrador de sistemas Unix, normalmente usado em servidores, e é capaz de realizar qualquer tarefa no sistema. De acordo com as estatísticas do próprio WordPress.com, o serviço hospeda 19 milhões de blogs.[ad#Retangulo – Anuncios – Direita] Códigos do software usado no site teriam sido expostos. Boa parte do WordPress é código aberto e está disponível para download na internet, mas códigos próprios do WordPress, que Mullenweg disse serem “sensíveis”, também foram revelados. Códigos de parceiros do WordPress.com também estariam comprometidos. O site não ofereceu sugestões a seus usuários, além de “sempre usar uma senha forte”, “usar senhas diferentes para sites diferentes” e “se você usou a mesma senha para sites diferentes, troque para algo mais seguro”. As recomendações não são claras, mas o tom deixa a entender que senhas de usuários poderiam ter sido reveladas, pelo menos parcialmente. Seria recomendável trocar as senhas do próprio WordPress e de serviços em que o usuário usou a mesma senha do serviço de blogs ou que foram ligados com o serviço. No início do ano, o serviço de hospedagem de programas de código aberto Sourceforge também sofreu uma invasão semelhante. Altieres Rohr/G1

Leia mais »