Hacker se declara culpado por roubo de fotos nuas de celebridades

Um homem acusado de hackear contas de celebridades nos serviços iCloud, da Apple, e Gmail, do Google, e roubar fotos e vídeos em que elas aparecem nuas se declarou culpado, segundo autoridades americanas.

iStock
Ryan Collins usou um esquema conhecido como phishing para ter acesso aos dados das vítimas – Image copyright Thinkstock

Promotores pedem que Ryan Collins, de 36 anos, cumpra 18 meses de prisão, mas um juiz pode estender essa pena a até cinco anos.

Collins foi indiciado por roubar as credenciais e senhas de acesso a serviços online usando um esquema conhecido como phishing.

Nesses casos, a vítima recebe uma mensagem eletrônica falsa de um banco ou loja online, por exemplo. Aparentando ser legítima, a mensagem leva o destinatário a baixar um arquivo ou acessar um link.[ad name=”Retangulo – Anuncios – Direita”]

Assim, o computador, celular ou tablet é infectado por vírus que rouba seus dados. Ou, ludibriada por uma versão falsa de um site ou serviço, a própria pessoa informa suas informações pessoais, que passam a ser acessíveis aos hackers.

O Departamento de Justiça disse que Collins admitiu ter invadido mais de cem contas entre novembro de 2012 e setembro de 2014 desta forma.

“O acusado usou inúmeros e-mails fraudulentos que se passavam por mensagens enviadas por provedores de serviços legítimos”, segundo os registros do tribunal.

Invasão de privacidade

Reuters
Fotos em que a atriz Jennifer Lawrence aparece nua foram publicadas na internet – Image copyright Reuters

Collins é acusado de ter hackeado ao menos 50 contas do iCloud e 72 do Gmail.

Após ter enganado os donos dessas contas e feito com que eles informassem seus dados, vasculhou os dados digitais das vítimas.

“Ele conseguiu acessar os back-ups de segurança de inúmeras vítimas, inclusive pelo menos 18 celebridades, muitas das quais vivem na região de Los Angeles”, segundo os documentos do processo. “Muitos desses back-ups eram fotos e vídeos com nudez.”

O nome das celebridades em questão não foram revelados, mas os ataques promovidos por Collins ocorreram no mesmo período em que foram registrados roubos de fotos das atrizes Jennifer Lawrence, Kate Upton e Mary Elizabeth Winstead, entre outras pessoas famosas.

Na época, após uma invasão ao iCloud em 2014, fotos destas celebridades foram publicadas na internet.

Collins não foi acusado de ter disponibilizado publicamente as imagens.

“Ao acessar ilegalmente detalhes íntimos das vidas pessoais das vítimas, Collins violou sua privacidade e gerou um dano emocional duradouro, constrangimento e insegurança”, disse David Bowdich, diretor-assistente do FBI em Los Angeles.

“Continuamos a ver celebridades e vítimas de todos os tipos sofrerem com as consequências desse crime e encorajamos fortemente que usuários de aparelhos conectados às internet usem senhas mais seguras e desconfiem de e-mails que pedem informações pessoais.”

O FBI acrescentou que o caso de Collins faz parte de uma “investigação em curso”, indicando que novas prisões podem estar por vir.
BBc

Violar a política de internet da empresa não é crime, diz tribunal dos EUA

Acessar o Facebook no trabalho, apesar de ser proibido por algumas empresas, não é contra a lei, pelo menos nos Estados Unidos.

O caso foi levado aos tribunais depois eu um policial de Nova York foi acusado de violar a política da organização e acessar sites para fins não policiais.[ad name=”Retangulo – Anuncios – Direita”]

Apesar de desobedecer as regras, a justiça entendeu que o oficial não cometeu nenhum crime.

“Se isso é ilegal, milhões de usuários com computadores comuns também teriam violado a lei”, explica o tribunal.

A decisão é importante porque dá aos empregados a garantia de que as empresas não têm o poder de criminalizar uma série de comportamentos cotidianos, como verificar um e-mail pessoal ou suas redes sociais.

O tribunal também decidiu que o governo não pode culpar ou prender alguém com base em declarações feitas na internet.

O policial foi acusado de conspiração depois que a polícia encontrou mensagens dele em sites de fetiche sobre canibalismo.

Na prática, isso significa que uma pessoa só é culpada se for constatado que há uma intenção clara de fazer algo.
Via Olhar Digital

Tecnologia: App de pornografia fotografa usuários secretamente para chantagem

Uma empresa de segurança americana descobriu um aplicativo malicioso de pornografia que tira fotos secretamente e faz chantagem com os usuários.

APP,Pornografia,Internet,Blog do Mesquita 01

Aplicativo malicioso teria a capacidade de tirar fotos de vítimas secretamente

O app Adult Player funciona em sistemas Android e aparenta oferecer pornografia, segundo a empresa de segurança Zscaler.

Ele teria capacidade para tirar fotos frontais do usuário com a câmera do celular e bloquear o aparelho.

Para desbloquear o telefone, seus operadores pedem um “resgate” de US$ 500 (R$ 2.000).

Leia mais: Como se proteger da avalanche de vírus em celulares

Ransomware

Esse tipo de crime cibernético, conhecido como ransomware, está se tornado cada vez mais comum e lucrativo.[ad name=”Retangulo – Anuncios – Direita”]

Em sua maioria, é praticado com o uso de aplicativos que exigem dinheiro de vítimas ameaçando divulgar informações privadas ou apagar arquivos.

Em agosto, a empresa Intel Security afirmou que os casos de ransomwares aumentaram 127% desde 2014 – afetando principalmente laptops e desktops.

APP,Pornografia,Internet,Blog do Mesquita 02

Serviço ilegal de rackers pode ser terceirizado, segundo especialistas

“Uma das razões para o aumento é que eles são fáceis de fazer”, disse Raj Samani, chefe de tecnologia da Intel Security na Europa.

“Há pessoas que são pagas para fazer o trabalho, e isso é muito bem pago. Um grupo que rastreamos ganhou US$ 75 mil em dez semanas”.

“Aplicativos como este se baseiam no fator do constrangimento. Se você não paga, sua reputação pode ser afetada”.

O Adult Player foi o segundo app do gênero descoberto pela Zscaler.

Leia mais: 5 apps simples que ajudam a superar problemas cotidianos
Leia mais: O vírus mutante e quase perfeito desativado pelo FBI e pela UE

Ele não era disponibilizado em lojas virtuais conhecidas, como o Google Play, mas podia ser instalado diretamente de uma página da internet.

Segundo a Zscaler, o aplicativo mantém uma mensagem fixa na tela do aparelho atacado com o pedido de resgate. Ela continua lá mesmo se o telefone é desligado e religado.

Senso comum

“Os ransomwares são mais comuns em computadores do que telefones, mas esse pode ser o início de uma tendência”, disse Samani.

APP,Pornografia,Internet,Blog do Mesquita 03

Ransomwares são mais comuns em laptops e desktops; eles ameaçam apagar arquivos

“Você pode se proteger usando o senso comum básico. Alguns ransomwares ameaçam apagar suas fotos, vídeos e documentos. Por isso faça cópias de seus dados. Se você for atingido pode apagar todos os dados do sistema e reiniciá-lo”.

“Faça downloads apenas de lojas como a Google Play e, se receber um link para baixar aplicativos, não clique nele”.

A Zscaler afirmou que todos que baixaram o Adult Player devem reiniciar seus aparelhos em “modo de segurança (safe mode)”. O procedimento varia de acordo com cada fabricante.

Dessa forma o sistema operacional é operado sem que aplicativos sejam ligados – o que permite que softwares maliciosos sejam deletados.
BBC

Hacker invade celular com chip implantado nas mãos

Seth Wahle é um entre um número cada vez maior de pessoas que têm um chip implantado no corpo. O ex-suboficial da Marinha americana e hoje engenheiro da empresa APA Wireless é um “biohacker” – alguém que gosta de brincar com os limites do corpo humano.

Hackers,Seth Wahle, Red Soto,Blog do Mesquita 01Seth Wahle (à esq.) e Rod Soto querem alertar sobre vulnerabilidade de aparelhos

Agora, Wahle usa o chip para oferecer uma intrigante janela para o futuro da segurança cibernética.
Com a microestrutura instalada em sua mão, ele e seu parceiro de negócios, Rod Soto, conseguiram provar que ele pode hackear um celular apenas segurando-o nas mãos.[ad name=”Retangulo – Anuncios – Direita”]

A intenção da dupla não é criar um novo tipo de crime, mas sim demonstrar uma maneira oculta pela qual smartphones e outros aparelhos poderão um dia ser invadidos sem que seus donos percebam.

Conversa de pizzaria

Hackers,Seth Wahle, Red Soto,Blog do Mesquita 02Chip implantado na mão de Wahle instala software malicioso em questão de minutos

O projeto começou quando Soto, pesquisador de segurança e organizador de um evento chamado Hackmiami, na Flórida, puxou conversa com Wahle em uma pizzaria. “Foi quando descobri que esse cara tinha um chip implantado na mão”, lembra.

Os dois logo formaram uma parceria e começaram a pensar em maneiras de explorar possibilidades comerciais com o chip implantado em Wahle.

Chegaram à conclusão de que tentariam invadir um celular com um software mal intencionado sem precisar de nada mais do que o toque das mãos.

A partir daí, foram necessários apenas alguns meses para desenvolver a tecnologia. E tudo funcionou na primeira tentativa. “Foi uma surpresa até para nós”, admite Wahle.

Questão de minutos

Hackers,Seth Wahle, Red Soto,Blog do Mesquita 03Apesar de estar se popularizando, implante de chip na pele ainda é raro

O chip de Wahle faz identificação por radiofrequência (RFID, na sigla em inglês) e inclui uma antena NFC (sigla em inglês para Comunicação por Campo de Proximidade), capaz de conversar com qualquer aparelho com NFC, como um celular, por exemplo.

Quando ele segura um telefone, o chip envia sinais ao aparelho e um nova janela surge no celular pedindo para que o usuário clique em um link. Ao fazer isso, um arquivo malicioso se instala e conecta o celular a um servidor remoto que pode ser acessado por outra pessoa. “Quando recebo o acesso, aquele telefone passa a ser meu, praticamente”, afirma Soto.

Em uma questão de minutos, com o telefone nas mãos de Wahle e Soto em um computador, eles conseguiram “roubar” um arquivo armazenado no celular afetado.
Os dois criadores reconhecem que o link malicioso poderia ser disfarçado de uma maneira melhor – com um pouco mais de dedicação, poderiam fazer com que a nova janela se parecesse com uma notificação comum de algum aplicativo.

Ou ainda, eles podem desenvolver uma maneira de instalar o software diretamente no telefone, sem precisar que o usuário clique em um link.

Riscos reais?

A experiência da dupla pode ser apenas o início do hacking feito por implantes corporais. Os telefones não são os únicos aparelhos que usam NFC para se comunicar. Trata-se de uma parte fundamental dos sistemas de pagamento por cartão de crédito, de carteiras virtuais como o Apple Pay e o Google Wallet, e até de equipamentos médicos.

Hackear tudo isso com um simples chip que só exige a proximidade de quem o carrega poderia abrir a porta para vários tipos de crime.

Mas as chances de encontrar alguém com um chip RFID implantado na mão ainda são pequenas.
O próprio implante em si não é algo que se faz rapidamente, e não é fácil encontrar biohackers em qualquer esquina, ainda.

Aparelhos vulneráveis

Para a experiência, Soto e Wahle não violaram nenhuma lei. Eles usaram o celular de Wahle, que estava ciente do que aconteceria.

Mas se alguém aplicar o mesmo truque em uma vítima desavisada, as coisas se complicam, segundo Andrea Matwyshyn, professora de direito no Centro de Políticas da Tecnologia da Informação da Universidade de Princeton.

Ela afirma que se uma pessoa que quer acessar um sistema não tiver o consentimento de seu dono, a lei está sendo quebrada.

Soto e Wahle têm a intenção de mostrar como os aparelhos que as pessoas usam em seu dia a dia são vulneráveis.

“Quero que as pessoas saibam que conseguimos fazer isso apenas com uma tecnologia. E quanto mais as tecnologias forem avançando, esse tipo de problema vai surgir mais e mais. Queríamos invadir algo para mostrar que tudo pode ser invadido”, resume Wahle.
“Essa é uma maneira de as pessoas se conscientizarem e se prevenirem”, afirma Soto.
Rose Eveleth/BBC

Especial: 10 hacks para deixar qualquer um paranóico

Invasão de caixas eletrônicos, roubo por RFID, ataques a dispositivos médicos. Listamos casos que podem tirar o sono de muito profissional de segurança.

Qualquer dispositivo com capacidade computacional pode ser hackeado, mas nem todos os métodos de hacking se assemelham. Na verdade, em um mundo no qual dezenas de milhões de computadores são comprometidos por malwares todo ano, os ataques inovadores, que geram reflexão e surpresa, ainda são raros e espaçados entre si.

Esses ataques extremos se distinguem dos comuns, que vemos no dia a dia. Isso se deve tanto pelos alvos pretendidos quanto pelos métodos aplicados – antes desconhecidos, inutilizados ou muito avançados. São medidas que ultrapassam o limite do que os profissionais de segurança julgam ser possível, abrindo os olhos do mundo para novas ameaças e vulnerabilidades do sistema enquanto conquistam o respeito de seus adversários.

Entre algumas dessas iniciativas recentes e antigas, separamos dez que consideramos os mais impressionantes:[ad name=”Retangulo – Anuncios – Direita”]

Caixa eletrônico

A maior parte dos caixas eletrônicos contém computadores com sistemas operacionais populares. Na maioria das vezes, rodam Windows ou alguma versão do Linux. É comum que esses sistemas incluam implementações de algum conhecido (como extensões em Java) por seus bugs e facilidade de ser hackeado. Para piorar, essas máquinas raramente são atualizados e as que são não seguem a periodicidade adequada.

Além disso, o sistema operacional dos caixas eletrônicos possui suas próprias vulnerabilidades, muitas de fácil exploração até poucos anos atrás. Os fabricantes enviam os caixas a seus clientes com senhas compartilhadas padrão e métodos comuns de acesso remoto, agravando ainda mais os riscos de segurança.

Naturalmente, eles orientam os destinatários a alterarem os padrões, mas poucos o fazem. O resultado é óbvio: cheios de dinheiro, os caixas são constantemente hackeados, tanto fisicamente quanto por suas portas de acesso remoto.

O mais infame dos hackers de terminais bancários foi Barnaby Jack, falecido em 2013. O cibercriminoso divertia as plateias de congressos de segurança quando levava máquinas comuns ao palco e as fazia expedir dinheiro falso em questão de minutos. Entre a vasta gama de truques dos quais dispunha, o mais comum se baseava em um pen drive com malware plugado nas entradas das máquinas, que não costumam ser protegidas mesmo com a recomendação dos fabricantes.

O software de Jack se conectava ao caixa através de uma porta de rede conhecida, usando acesso remoto para explorar uma vulnerabilidade que então comprometia completamente a máquina. Executando alguns comandos administrativos, o hacker instruía o caixa a liberar o dinheiro. Sempre seguidas de aplausos, as apresentações de Jack levaram à criação do termo “Jackpotting”, que batizou o método de hacking.

Marca-passo

Quando a tática de exploração de caixas eletrônicos foi descoberta pelos fabricantes dos terminais, Barnaby Jack voltou sua atenção aos dispositivos médicos. Suas demonstrações mais extremas incluíam o envio não autorizado e letal de choques a pacientes com marca-passos e dosagens extremas de insulina a diabéticos – tudo de uma localização remota.

A maioria dos aparelhos com fins medicinais são submetidos a um período de desenvolvimento, teste e certificação que duram entre cinco e dez anos antes de serem entregues a pacientes humanos. Infelizmente, isso significa que o software usado nos dispositivos não é atualizado durante todo esse tempo, colecionando uma sucessão de vulnerabilidades negligenciadas até ser introduzido ao mercado. Os fornecedores desses mecanismos costumam contar com a obscuridade de seus produtos como uma proteção artificial, a chamada “segurança por obscuridade”, visivelmente precária.

O quadro não aparenta estar melhorando. Em abril de 2014, o Wired publicou um artigo a respeito da facilidade de se hackear equipamentos hospitalares, em boa parte graças às senhas codificadas de forma padrão, que não podem ser alteradas.

É claro que os dispositivos médicos devem ser de fácil uso, continuando a operar mesmo caso sua segurança seja violada, mas isso dificulta sua proteção. Senhas customizadas mais longas, complexas e de mudança constante dificultam o uso dos aparelhos e, por isso, não são empregadas. Para agravar o quadro, quase toda a comunicação entre diferentes ferramentas não é autenticada ou criptografada.

Isso permite que qualquer hacker que tenha encontrado as portas certas leia e mude os dados dos aparelhos sem causar qualquer interrupção nas operações do dispositivo, de seu software de gerenciamento ou outros sistemas de interface (como registros médicos eletrônicos). Na verdade, a maioria das comunicações entre aparelhos médicos carece de soma de verificação da integridade básica de dados, o que facilmente identificaria a maioria das mudanças maliciosas.

O hacking de aparelhos médicos existe há, no mínimo, uma década e é comum que demonstrações a respeito sejam feitas em conferências, motivando a FDA (agência de saúde dos Estados Unidos) a emitir um aviso a respeito das vulnerabilidades. Os desenvolvedores de dispositivos médicos atualmente trabalham para preencher os buracos de fácil exploração, mas seu ciclo obrigatório de testes de longa duração ainda dificulta o devido combate aos problemas.

Fraude de cartões

A fraude de cartões de crédito é menos mórbida, mas ainda pode causar problemas substanciais em sua vida financeira. O hacking é simples: o agressor coloca um dispositivo chamado skimmer (popularmente chamado de “chupa cabra” no Brasil), no em outro aparelho – como um caixa eletrônico ou terminal de pagamento – para obter as informações de um cartão (tanto de crédito quanto de débito) e o PIN correspondente quando ambos forem digitados.

Os skimmers foram aprimorados ao longo dos anos, de aparelhos óbvios (que poderiam ser reconhecidos por qualquer um à procura de algo estranho) para dispositivos que dificultam o reconhecimento até mesmo por especialistas. Alguns deles incluem conexões por Bluetooth, permitindo que os hackers obtenham as informações roubadas a uma curta distância ao invés do próprio dispositivo.

Os atacantes frequentemente inserem dezenas de aparelhos em uma área geográfica comum – de preferência próximas a estradas, permitindo fugas rápidas – e usam a informação roubada para gerar cartões novos e fraudulentos, que são usados em lojas caras (para comprar produtos que possam ser revendidos) e varejistas online. Isso é feito com rapidez, geralmente ainda nas primeiras horas. Até os fornecedores detectarem ou serem comunicados da fraude, os agressores já lucraram e escaparam sem ser apanhados.

Brian Kebs, que cobre os últimos dispositivos skimming e notícias relacionadas, reportou recentemente uma vitória contra a tecnologia fraudulenta. Neste caso, a polícia escondeu aparelhos de rastreamento GPS em dispositivos skimming ativos já descobertos. Quando os hackers apareceram para reaver seus aparelhos, a força policial os rastreava e prendia. Naturalmente, a popularização da estratégia deve levar os agressores a intensificarem o uso do Bluetooth para evitar a remoção física — mas, por enquanto, a polícia intensifica o combate à fraude.

Hacking remoto de cartões

Se seu cartão possui o mecanismo de pagamento por etiquetas de radiofrequência (RFID) – como MasterCard PayPass ou American Express ExpressPay –, é provável que suas informações possam ser lidas por um hacker que ande próximo à sua bolsa ou carteira. Isso acontece porque qualquer dispositivo RFID desprotegido pode ser hackeado, incluindo passaportes, cartões de acesso predial/residencial e etiquetas de rastreamento de produtos.

Aparelhos de radiofrequência quase não possuem segurança. Basta energizar o transmissor RFID usando ondas de rádio de baixa frequência para que ele transmita toda a informação que possui. As linhas magnéticas dos cartões de crédito já não eram seguras – podiam ser lidas por qualquer leitor vendido na internet a US$ 15 –, mas a diferença neste caso é que os leitores de radiofrequência permitem o roubo de informações sem que haja qualquer contato com o cartão. Ande a um metro de um leitor malicioso de RFID e, sim, você pode ser hackeado.

Com o tempo, a distância necessária tende a aumentar: alguns especialistas em hackers por radiofrequência preveem o aumento do espaço exigido para cerca de cem metros nos próximos cinco anos — o que possibilitaria que hackers coletassem milhares de cartões por hora somente por frequentarem lugares movimentados.

Se você tem cartões que usam radiofrequência, pode comprar “escudos” e carteiras de defesa gastando entre US$ 25 e US$ 50. Felizmente, a tecnologia para hackear esses dispositivos é mais usada por “hackers éticos” em demonstrações do que agressores reais e os especialistas esperam um crescimento no número de cartões habilitados por chip, que desapareceriam com o hack de RFID antes que ele produzisse dano substancial com o aumento de seu alcance.

BadUSB

Ano passado, pesquisadores demonstraram que cerca de metade das entradas USB instaladas nos computadores podem ser comprometidas por um dispositivo malicioso. Basta plugar um aparelho USB a um computador desavisado e ele executará automaticamente qualquer comando configurado, desviando de todos os controles de segurança, firewalls e software antimalware ativos.

Não há nenhuma defesa para a tática de exploração (batizada de BadUSB) além de danificar fisicamente a porta ou prevenir qualquer acesso físico não autorizado. Pior, não há como saber se uma chave USB plugada a um computador contém BadUSB. É também impossível descobrir se a chave infectada foi espalhada intencionalmente por um amigo ou associado, já que poderia ter acontecido sem seu conhecimento, acabando por contaminar outro computador por acidente – ou um planejamento bem calculado.

Stuxnet

O Stuxnet é o ataque mais avançado já registrado e, facilmente, o malware mais perfeito escrito até hoje. Ele não recorreu ao BadUSB, mas se espalhou via chaves USB e um método de execução USB até então desconhecido, juntamente a três outros ataques de dia zero.

Descoberto publicamente em junho de 2012, o Stuxnet levou o conceito de cyberwar a ser reconhecido como uma batalha real, capaz de causar danos físicos. Especula-se que o malware tenha sido desenvolvido em colaboração entre os Estados Unidos e Israel para frustrar o programa nuclear do Irã, embora nenhum dos dois países tenha reconhecido a autoria.

A infiltração de malware nas instalações nucleares isoladas e de alta segurança foi considerada impossível por muitos especialistas em computação. Os criadores do Stuxnet alegadamente infectaram as chaves USB de consultores nucleares estrangeiros que trabalhavam nas centrífugas iranianas. Se eles sabiam o que carregavam, fica para especulação.

O malware foi lançado pelas chaves USB, atuou nos computadores de gerenciamento dos reatores operados por Windows e então programou os próprios controladores lógicos das centrífugas. Uma vez lá, o Stuxnet gravou os valores normais de operação e os reproduziu enquanto criava condições fatais execução, destruindo boa parte dos equipamentos de controle e das centrífugas.

Uma revisão de código fonte feita por várias empresas e levou à conclusão de que exigiria de muitas equipes (compostas de doze membros cada) e um ano ou mais para criar o worm, tão avançada era sua programação. Contudo, desde a descoberta do Stuxnet, muitos outros também foram revelados. Por mais futurista que tenha sido na época, os especialistas creem que o Stuxnet tornou-se ponto de partida comum para os próximos programas de cyberwar. Começou a guerra fria cibernética.

Painéis de trânsito

Hackear as sinalizações eletrônicas de estradas, aqueles painéis com mensagens variáveis sobre o trânsito, é ilegal e pode gerar sérios problemas. Mesmo assim, é difícil não rir com as pegadinhas do gênero quando elas não prejudicam ninguém – caso da vez em que mudaram os dizeres de um painel inutilizado para “Atenção! Zumbis à diante”.

Nos Estados Unidos, alguns dos que praticam esse tipo de hacking são antigos funcionários do Departamento de Transporte, que programavam os sinais de trânsito como parte de seus trabalhos. Fato é que os manuais desses painéis eletrônicos estão disponíveis online e quase sempre contém senhas padrão (tão simples quanto “senha”, “visitante” e “público”). Os hackers só precisam descobrir o modelo do painel que desejam atacar e fazer o download do manual.

Para a maioria dos sinais de trânsito, é necessário o acesso físico a um painel trancado, mas isso não é um grande problema uma vez que o equipamento costuma ficar destrancado. Uma vez que o hacker obtenha o acesso físico, ele usa o teclado do console para logar-se em uma credencial padrão ou para visitantes. Feito isso, ele pode fazer o reboot do computador do painel enquanto obedece às instruções do manual, voltando a sinalização aos padrões do fabricante, incluindo as senhas.

Mesmo quando o painel tem credenciais distintas de usuário e administrador, a mensagem ainda pode ser alterada sem a necessidade de permissão – obrigatória somente para configurações de equipamento, como ventilação e energia.

O “livro de ordens” da NSA

Qualquer um que tenha ouvido sobre Edward Snowden sabe que a NSA possui, essencialmente, um “livro de ordens” para requisitar a execução de hacking avançado.Um deles, o Quantum Insert, é escolhido pela agência para o uso de ferramentas de injeção de pacotes, que redirecionam as vítimas em questão de um site a outro, onde podem ser manipuladas de forma mais extensa e de forma imperceptível.

Caso a página de redirecionamento for desenvolvida para se assemelhar bastante com a pretendida pela vítima, ela provavelmente não perceberá o que aconteceu. Criptografia aplicada (HTTPS) pode ajudar a frustrar o ataque, mas a maioria dos sites não a exige e os usuários não costumam habilitá-la quando é opcional. Esse ataque é feito desde 2005.

A NSA também pode exigir outros ataques, como por exemplo, a utilização de backdoors em equipamentos para monitorar o envio e o recebimento de dados de uma empresa ou órgão que trafegam por uma rede.

Já deve estar claro que a agência, assim como quase toda entidade estatal americana, pode espiar em qualquer dispositivo que desejem, sem que haja muito que fazer a respeito. Muitos desses aparelhos e software são criados por empresas privadas e disponibilizados para compra por qualquer cliente disposto a pagar.

Rompendo criptografia

Gary Kenworthy, da Cryptography Research, é especializado em revelar chaves criptográficas de diversos dispositivos antes tidos como seguros. Ele é capaz de monitorar remotamente a radiofrequência e as emissões de radiação eletromagnética dos aparelhos, descobrindo códigos binários que compõem sua chave de segurança – e tem o costume de fazê-lo em demonstrações ao redor do mundo.

Os avanços recentes de Kenworthy contra os dispositivos que deveriam nos proteger balançaram a comunidade criptográfica. Ele e sua empresa lucram com o fornecimento de proteção contra os ataques que ele demonstra, mas eles são reais e, essencialmente, reduzem a segurança da maioria dos dispositivos que rodam criptografia e não aplicaram as defesas sugeridas por ele.

Hack de carros

Os fabricantes de automóveis competem para ver quem coloca o maior número de funções possível em seus veículos. Portanto não surpreende que esses mesmos computadores sejam incrivelmente vulneráveis a ataques. Desde cedo, os hackers aprenderam a destrancar carros usando suas chaves remotas sem fio, também impedindo os donos de trancarem seus veículos enquanto pensam terem feito.

O Dr. Charlie Minner começou sua carreira hackeando dispositivos Apple e ganhando vários concursos Pwn20wn. Ele está entre os melhores hackers do gênero. Em 2013, junto de seu colega de pesquisa, Chris Valasek, demonstrou como controlar os freios e a direção de um Toyota Prius 2010 e de um Ford Escape usando interfaces de ataques físicos nas unidades de controle eletrônico e nos sistemas dos veículos. Felizmente, pelo menos esse método hacking não funciona wireless ou remotamente.

Ano passado, Miller e Valasek discutiram o hacking remoto e sem fio de 24 modelos de carros, elegendo o Cadillac Escalade, o Jeep Cherokee e o Infiniti Q50 como os mais vulneráveis. Eles conseguiram documentar que as ferramentas de rádio remoto dos veículos eram (ou poderiam ser) ligadas aos sistemas críticos de controle.

Também em 2014, o Senado americano emitiu um relatório indicando que virtualmente qualquer carro fabricado hoje em dia é hackeável. Agora, a indústria automotiva segue a solução encontrada pelas empresas de software: contratam hackers para ajudarem a melhorar a segurança de seus sistemas. Pense nisso na próxima vez em que estiver em uma concessionária, sendo tentado pelo modelo com o melhor Wi-Fi.
Fonte:IDGNow

Hackers invadem 120 mil PCs e dão golpe de US$ 6 mi

BBC Click – boletim semanal de tecnologia – mostra o “Chameleon botnet”, um golpe que foi revelado esta semana, no qual ladrões online se apropriam de US$ 6 milhões (quase R$ 12 milhões) por mês.                                                                                                     

Eles invadem computadores pessoais de 120 mil indivíduos e montam uma “botnet” – rede de computadores interligados que realizam de forma coordenada uma tarefa.

Neste golpe, os ladrões conseguiram fazer os computadores gerarem 9 bilhões de clicks em anúncios que pagam usuários por cada acesso.

A Microsoft, o YouTube e o Twitter também estiveram nas notícias esta semana.

A Microsoft está tentando de tudo para conseguir promover a sua loja de apps, que ainda está perdendo feio na concorrência com iOS e Android.

Agora, a empresa está pagando até US$ 100 para cada pessoa que colocar seu app à venda lá.

Já o YouTube anunciou ter chegado a 1 bilhão de usuários por mês, e o criador do Twitter publicou um vídeo de comemoração do aniversário de sete anos do microblog.

E uma empresa está lançando nos Estados Unidos um acessório que transforma o iPhone em um telefone-satélite.
BBC


[ad#Retangulo – Anuncios – Duplo]

Brasil vive momento de “apagão” para leis de internet

Há pouco o Brasil perdeu a oportunidade de ter instalado no país um datacenter do Google. O projeto, que traria investimentos de US$ 150 milhões (cerca de R$ 300 milhões), acabou indo para o Chile.

Uma das razões para a perda de oportunidades como essa é o “apagão” que o país enfrenta com relação a leis para a inovação e a internet.

[ad#Retangulo – Anuncios – Esquerda]Diferente de outros países latino-americanos que adotaram leis pró-inovação recentes, o Brasil ainda não cuidou da sua agenda para promover todo o potencial da internet. Há ao menos três leis essenciais para o país sair da idade analógica e se tornar atraente para iniciativas digitais.

A primeira é o Marco Civil da Internet, projeto de lei parado na Câmara dos Deputados desde o fim de 2012.

Ele é peça chave para garantir princípios essenciais para a rede no país, como liberdade de expressão, igualdade no tratamento de dados, privacidade e ampliação das iniciativas de governo aberto.

A segunda é a lei para proteger dados pessoais de usuários. Espera-se que o Brasil apresente uma solução equilibrada, que não apenas proteja a privacidade, mas impulsione novos serviços como a “computação em nuvem” e o “big data” (análise de grandes volumes de dados).

Por fim, a reforma dos direitos autorais, que será essencial para construir a economia do conhecimento durante os próximos anos.

A demora para lidar com esses temas é sinal de que a agenda microeconômica no país anda à deriva.

Muito se fez pela agenda macro nos últimos anos. Mas, sem pensar também na agenda micro, a competitividade do país vai se erodindo. Como acontece agora com relação à inovação na internet.

READER

JÁ ERA Snapchat reinando sozinho em aplicativos para envio de fotos que se autodestroem

JÁ É Poke, competidor do Snapchat criado pelo Facebook para enviar fotos privadas

JÁ VEM MyWickr.com: manda fotos criptografadas com tecnologia militar, que se autodestroem

Ronaldo Lemos é diretor do Centro de Tecnologia e Sociedade da FGV e do Creative Commons no Brasil. É professor titular e coordenador da área de Propriedade Intelectual da Escola de Direito da FGV-RJ. Foi professor visitante da Universidade de Princeton. Mestre em direito por Harvard e doutor em direito pela USP, é autor de livros como “Tecnobrega: o Pará Reiventando o Negócio da Música” (Aeroplano). Escreve às segundas na versão impressa de “Ilustrada”.
Folha de S.Paulo

Crimes informáticos: Lei 12737

 

Presidência da República
Casa Civil
Subchefia para Assuntos Jurídicos

 

LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012.

Vigência

Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código Penal; e dá outras providências.

A PRESIDENTA DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:

Art. 1o  Esta Lei dispõe sobre a tipificação criminal de delitos informáticos e dá outras providências.

Art. 2o  O Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código Penal, fica acrescido dos seguintes arts. 154-A e 154-B:

“Invasão de dispositivo informático

Art. 154-A.  Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

§ 1o  Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

§ 2o  Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.

§ 3o  Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.

§ 4o  Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.

§ 5o  Aumenta-se a pena de um terço à metade se o crime for praticado contra:

I – Presidente da República, governadores e prefeitos;

II – Presidente do Supremo Tribunal Federal;

III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou

IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.”

“Ação penal

Art. 154-B.  Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.”

Art. 3o  Os arts. 266 e 298 do Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código Penal, passam a vigorar com a seguinte redação:

“Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública

Art. 266.  ………………………………………………………………

§ 1o  Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.

§ 2o  Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.” (NR)

“Falsificação de documento particular

Art. 298.  ………………………………………………………………

Falsificação de cartão

Parágrafo único.  Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito.” (NR)

Art. 4o  Esta Lei entra em vigor após decorridos 120 (cento e vinte) dias de sua publicação oficial.

Brasília, 30 de novembro de 2012; 191o da Independência e 124o da República.

DILMA ROUSSEFF
José Eduardo Cardozo

Este texto não substitui o publicado no DOU de 3.12.2012


[ad#Retangulo – Anuncios – Duplo]

Internet, Phishing e Segurança

A prática do phishing continua firme e forte, atormentando uns e, ilicitamente enriquecendo outros.
Phishing é quando um ladrão digital manda para Vc um e-mail que parece ter sido enviado por uma instituição importante, bancos, órgãos de governo, revistas, sites renomados, etc.

No corpo da mensagem, aparece um link aparentemente inofensivo. Você clica e cai numa página também com jeito de séria, solicitando algum dado seu para solucionar alguma pendência ou ganhar algum brinde, etc.
Aí Vc informa alguns dados e acha que está tudo bem.

No entanto, os dados que Vc digitou serão devidamente “chupados” e provavelmente usados de forma danosa, seja para subtrair-lhe grana, roubar sua identidade ou para outros propósitos que só o diabo sabe.

E-mails de phishing (corruptela de “fishing”, em inglês, pescaria) rolam soltos como se fossem enviados pelo Serasa, Cdls, Bancos, Receita Federal, Instituições, Loterias e outras empresas e órgãos governamentais.Há poucos dias foi lançada a Phish Report Network (PRN), uma rede fundada por quatro empresas: Microsoft, eBay, WholeSecurity e Visa.

ideia é formar um grande banco de dados com descrições de golpes de phishing no mundo inteiro.
Estima-se que 57 milhões de usuários já receberam pelo menos um e-mail de phishing.
Outra informação, ainda mais alarmante, segundo a PRN, é a de que mensalmente a quantidade de ataques de phishing cresce 38%.
Resumindo:“não clique em links dentro de uma mensagem de e-mail, a menos que tenha certeza do que está fazendo”.
Fora isso, em geral, é até bem fácil identificar quando uma mensagem é phishing.

Siga essas dicas:
Se vc usa o Outlook Express, ative a barra de “status”, que é uma barra exibida no rodapé do navegador.
Caso essa barra não esteja ativa faça o seguinte:
Vá até o menu Exibir/Layout/Básico e clique no quadradinho Barra de Status.Observe que uma nova barra aparece no rodapé do Outlook Express.

Quando vc receber um e-mail que no corpo da mensagem tenha algum “link” (qualquer texto, palavra, etc) sublinhado, passe o cursor do mouse – ATENÇÃO NÃO CLIQUE!!! SÓ COLOQUE O CURSOR DO MOUSE SOBRE O LINK – em cima de cada link da mensagem e fique de olho na Barra de Status no rodapé da janela do Outlook Express.
Vai aparecer na Barra de Status o endereço real para onde aponta o link.

Por exemplo:
Se no corpo de um e-mail vier um link www.exemplo.com.br , na Barra de Status deverá aparecer: http://www.exemplo.com.br/
Observe que a extensão no endereço é .com
Endereços que terminem com extensões:.exe, .scr, .com, .pif , mp3, wma, ppt, pps e outras extensões suspeitas indicam claramente que é armadilha.

Outro bom indicador de que é uma armadilha é quando o que vem logo depois do “http://” não tem aparentemente nada a ver com o suposto remetente da mensagem.
Desconfie também quando, na barra de status, o endereço real for comprido demais e não couber no rodapé da tela, justamente para ocultar uma das terminações venenosas que citei acima.

Mas, tem sempre um mas.

O colunista Carlos Alberto Texeira, d’O Globo conta que recebeu um phishing que é uma obra de arte das melhores armadilhas.

Era um e-mail, aparentemente vindo do eBay, o maior site de leilões online do planeta e um dos fundadores da PRN.
“Coloquei o mouse sobre o link e na Barra de Status apareceu: http://cgi4.ebay.com
Observe que a extensão é .com
Ativei todos os recursos de defesa da minha máquina, NÃO FAÇA ESSA EXPERIÊNCIA A NÃO SER QUE TENHA CERTEZA QUE SUA MÁQUINA ESTÁ VACINADA, e cliquei no link.
Fui direcionado para uma página que supostamente realizaria uma verificação na minha conta no eBay.

Detalhe: não tenho e nunca tive nenhuma conta no eBay.
A página pedia identificação e senha.
Digitei lá uma besteira qualquer como Login e Senha e ele aceitou, (eis + um sinal de que o link é falso) pois se fosse o site verdadeiro o Login e a Senha não teriam sido aceitos.”

Na verdade o que interessa aos ladrões é leva-lo a página seguinte.
Nessa página vinha um formulário onde o “abestado” é solicitado, para participar de uma tentadora promoção, a digitar informações particulares, tipo: nome, endereço, telefone, cpf, dados do cartão de crédito, banco, etc.

Caso Vc faça isso, um abraço e adeus!

É claro que este phishing não é proveniente diretamente do eBay, mas sim utiliza-se de uma falha grosseira de segurança do site deles, e que essa falha já avisada ao eBay por diversos usuários.
Segundo o Colunista Carlos Alberto Texeira do O Globo, “o idealizador deste phishing se aproveitou da brecha e construiu um link muito bem feito que desvia o usuário para a falsa página de abertura do eBay, iludindo-o e atraindo-o para a arapuca.”

A página falsa fica no endereço IP 203.234.25.190, que pertence à Universidade Nacional de Seul, na Coréia.
Rastrear esse IP e chegar até onde a página está hospedada é relativamente fácil.
Agora, chegar até o cara que fez a página, aí é outra história.
Mesmo assim ainda tem o problema da falta de legislação internacional sobre esse tipo de fraude.
O colunista informa que já avisou o webmaster do eBay e a PRN.

Diz ele, que “o eBay já está careca de saber deste e de outros ataques de phishing usando seu nome, tanto que oferece um ótimo tutorial (em inglês) ensinando como identificar armadilhas. Só que, por algum motivo, ainda não desativou o perigoso redirecionador.”