Arquivo

Posts Tagged ‘Hacking’

CQC: Matéria sobre o hacking no Brasil, entrevista com o LulzSec


Comentário:

Hoje, 05.07.2011, é possível ainda encontrar o arquivo ui.txt dentro do site da prefeitura de Corumbataí. O arquivo foi modificado (talvez por outro hacker) e agora contém a informação “porra Marcelo, jogou fora o relatorio do Esqueleto? larga essa bichice de Twilight e arruma logo essa merda”. O link para o arquivo é http://www.corumbatai.sp.gov.br/ui.txt.

Pelo que disse o integrante do LulzSec Brasil, dá a impressão de que eles querem fazer algo parecido com o que faz o WikiLeaks, divulgando informações que eles acreditam que deve ser do conhecimento da população. O problema é que isso está mais para vandalismo do que para protesto, já que nos sites onde eles não conseguiram entrar, eles tiraram do ar usando ataque de DDoS. Independentemente do que parece, é crime.

É sabido que os órgãos do governo não estão capacitados para tratar segurança da informação com a seriedade que o assunto necessita, no entanto acredito que o grupo poderia fazer como os pesquisadores de segurança fazem no mundo inteiro: descobrem a falha, alertam os responsáveis, combinam um período para que o problema seja resolvido e depois divulgam a falha ao público levando o crédito pela descoberta (e muitas vezes pela correção também).

Segurança da informação é construída com processos, ferramentas e pessoas. É necessário ter as ferramentas adequadas e pessoas capacitadas para usar essas ferramentas. Em muitos casos o maior problema é a ausência de um processo de gestão que periodicamente avalie as necessidades do negócio, identifique ameaças e vulnerabilidades e determine ações corretivas para o tratamento dos riscos identificados como não aceitáveis. No caso do governo, com a agilidade necessária para proteger as informações do governo (que envolvem segurança e soberania) e a privacidade dos cidadãos.

Atualização das 19h44: Agora ao tentar acessar o link, o servidor web retorna a mensagem: “You don’t have permission to access /ui.txt on this server.” O arquivo não está mais disponível. Fica a dúvida com relação à vulnerabilidade.

Anúncios

Declaração de IR 2011

Neste ano de 2011 a declaração do Imposto de Renda do Exercício de 2010 será exclusivamente entregue em formato eletrônico. Fica então algumas recomendações para aqueles que não estão habituados com a mordida online do Leão, que valem para todos que já faziam a declaração pela Internet:

  • Não faça ou envie a declaração a partir de terminais públicos, como Lan Houses e Cybercafés. Muitos computadores e redes possuem trojans ou outros mecanismos de captura de senhas e outras informações pessoais. Se você não possui um computador, faça a partir do trabalho ou do computador de um amigo. Isso já reduz o risco de vazamento de informações pessoais.
  • Para fazer o download, utilize o site da Receita Federal. Digite o endereço do site na barra de endereços do seu navegador, não clique em links de outros sites. O endereço é http://www.receita.fazenda.gov.br
  • A Receita Federal não envia e-mails. Não clique em qualquer link contido em um suposto e-mail da Receita. Ele é falso.
  • Utilize antivírus e mantenha o sistema operacional e o antivírus atualizados. É uma maneira simples e eficaz de reduzir o risco de código malicioso instalado na estação no momento em que você estiver digitando informações ou enviando para o site da Receita.
  • Não utilize software pirata. Muitos dos softwares piratas disponíveis na Internet ou na rua estão contaminados com trojans.
  • Grave em CD ou pendrive as declarações e recibos após o envio para a Receita.
  • Para reduzir ainda mais o risco, o usuário pode considerar obter um certificado digital da ICP-Brasil, conhecido como e-CPF. Através do certificado digital, é possível garantir o não-repúdio, ou seja, o usuário garante que foi ele mesmo quem enviou a declaração, eliminando a oportunidade de outra pessoa fazer o envio em seu nome.

Seja invadido: use senhas de fácil dedução!

28 . janeiro . 2010 4 comentários

Recentemente estudei algumas centenas de senhas (de usuários) de aplicações usadas por alguns clientes e pude constatar que, de uma forma geral, o vazamento de informações e o acesso lógico não autorizado só não acontece se o hacker não quiser ou estiver muito ocupado para isso.

Leia mais…

Alterando o painel de trânsito

22 . janeiro . 2010 2 comentários

Na Holanda, um sujeito entediado com o engarrafamento (imagina se a moda pega no Rio ou em São Paulo), resolve se divertir com o painel de trânsito em uma rodovia. A experiência pode ser vista abaixo, com legenda em inglês. O vídeo parece ser verdadeiro. Se alguém tiver informações do contrário, é só comentar.

Após ataque, Google ameaça sair da China

13 . janeiro . 2010 1 comentário

G1: Sede do Google na China

O Google ameaçou o governo chinês de encerrar suas operações no país devido à censura e ataques de hackers. O governo chinês, acusado de ser responsável, negou os ataques, mas especialistas dizem que os ataques apresentam sinais de sofisticação.

O governo chinês há tempos vem censurando sites na Internet, de acordo com eles, em nome da segurança pública e da moral. Ativistas acreditam que esse incidente com o Google seja um divisor de águas na luta contra a censura, mas não acreditam que o governo chinês vá recuar. Na China, o Google encontra  uma série de restrições e condições sobre sites que podem aparecer em resultados de busca.

Exército Cibernético Iraniano ataca o Baidu

O grupo hacker que se denomina Exército Cibernético Iraniano atacou o Baidu.com, maior site de buscas da China (a página principal e a de resultados do Baidu lembra um pouco o Google, mantendo a fama que o chineses tem de copiar tudo).

A invasão ocorreu no dia 12.01.10, e assim como na invasão ao site do Twitter em dezembro, a página principal ganhou fundo preto e a imagem com a bandeira do Irã.

Malditas pequenas URLs

As pequenas URLs (Tiny URLs, em inglês) surgiram há bastante tempo, bem antes do Twitter e sua limitação de 140 caracteres. No início da década de 90, as pequenas URLs começaram a ser usadas para encurtar e evitar que URLs grandes fossem “quebradas” em mais de uma linha em um e-mail e assim perdessem a funcionalidade. Entre os sites geradores mais conhecidos estão: tinyurl.com, tiny.cc, bit.ly e tr.im.

Acontece que agora os clientes de e-mail já sabem lidar com URLs quebradas e isso não é mais um problema. No entanto, agora temos os serviços de mensagens tipo SMS que tem restrições de 140 caracteres, como o Twitter, e as pequenas URLs são usadas para poupar espaço na mensagem.

Mas, por que malditas?

  1. Você nunca saberá pra onde a pequena URL realmente está te levando. Clicar em uma pequena URL é uma questão de confiança (ou de fé). Você não sabe qual é o verdadeiro destino daquela URL. Há sites na Internet que tentam explorar vulnerabilidades do navegador, por exemplo, apenas com o acesso, sem necessitar que o usuário clique em qualquer link. Com URLs normais podemos tentar identificar o destino analisando o site, a pasta e tipo de arquivo que será acessado.
  2. O site gerador passa a ser um intermediário entre o usuário e a informação. Neste caso precisamos confiar no autor que criou a pequena URL e também no site gerador, que a qualquer momento pode mudar a URL ou simplesmente tirá-la do ar.
  3. O site gerador pode fechar ou sair do ar. Quando o usuário clicar na pequena URL receberá uma página de erro e aquela informação pode ser perdida ou ficar indisponível até que o autor gere outra pequena URL de outro site gerador.
  4. As pequenas URLs podem ser bloqueadas. Em determinadas redes (principalmente de empresas), alguns sites são bloqueados por filtros de conteúdo. Independentemente do destino da pequena URL, vários geradores de pequenas URL podem ser bloqueados, deixando os leitores na mão.
  5. É mais uma camada de informação para os sites de busca. Na verdade, não faço a menor ideia de como sites de busca, como o Google, vão tratar esse tipo de link para organizar as páginas mais visitadas, mas certamente haverá um trabalho extra.
  6. A adição de mais uma camada requer mais conversão e acesso a dados. Normalmente precisamos converter o nome de domínio em um endereço IP e depois acessar o IP em busca da informação. Com a adição de pequenas URL, precisamos converter o nome de domínio da pequena URL em IP, acessar o site, buscar a URL original através de uma consulta em banco de dados, converter o nome de domínio da URL original em IP para então finalmente acessar a informação.

Por exemplo, esse blog pode ser acessado através da URL http://ad.ag/jpmwdp. Ou seja, esta URL lhe direcionará para http://www.administrandoriscos.com.br. Isso pode ser mentira ou verdade. A utilização vai depender da confiança que você tem em quem está escrevendo.

No caso da URL acima é verdade. Repare que somente as primeiras letras de cada tecla de teclado de celular são usadas, evitando que a mesma tecla tenha que ser pressionada várias vezes para chegar na letra desejada. Isso é muito interessante e poupa o esforço de digitação do leitor. Esse serviço é prestado pelo site Mobile Tiny URL em http://www.mobiletinyurl.com, que permite que o usuário configure a URL. Por exemplo, eu permiti que seja feito acesso a URL que eu criei a partir de uma estação de trabalho (desktop ou laptop). Por padrão, apenas acessos via celular são permitidos.

O que fazer a respeito?

Se você está em dúvida sobre clicar em uma pequena URL, tente utilizar o serviço Untiny. O Untiny consegue converter uma pequena URL em uma grande URL (URL original) para 228 sites que geram pequenas URLs. Infelizmente, para o Mobile Tiny URL, que eu utilizei acima, o serviço não está disponível. De qualquer forma, o número é expressivo. Tanto porque agora sabemos que há mais de 228 sites que geram pequenas URLs, tanto porque o Untiny consegue “falar” com um número tão grande de sites geradores.

É muito complicado não usar pequenas URLs. No papel de leitor, pode significar ficar sem acessar a informação, já que as pequenas URL estão em todo lugar, principalmente no Twitter. No papel de autor, pode reduzir as possibilidades de escrita em textos pequenos. Ou seja, tenha cuidado com as URLs que acessa, seja a partir do celular ou da sua estação de trabalho. Na dúvida, acesse o Untiny e tente descobrir para onde aquela URL vai te levar. Lembre-se: também existe vírus e exploração de vulnerabilidades em smartphones.

%d blogueiros gostam disto: