Estudo encontra servers DNS sem patches contra a falha Cache Poisoning (10 de novembro de 2008)
Uma pesquisa recente de servers DNS (domain Name System) mostrou que apesar da imensa cobertura que a imprensa fez sobre uma vulnerabilidade crítica do DNS encontrada no início do ano, 25 por cento dos servers que permitem recursos abertos ainda não fizeram as correções. De acordo com o estudo, 45 por cento dos administradores que responderam à pesquisa disseram que não tem os recursos necessários para sanar a vulnerabilidade do DNS, e 30 por cento afirmaram que não sabiam o suficiente sobre DNS para fazê-lo. A pesquisa mostra também que 90 por cento dos servers de DNS usam versões recentes do Berkeley Internet Name Domain, ou BIND 9; houve também um declínio significante no uso do Server Microsoft DNS, que não é altamente seguro. Uma frustração foi a baixa adoção do DNSSec, “um protocolo de segurança que permite que os exames e as respostas do DNSD sejam assinadas digitalmente e autenticadas”. Estas estatísticas podem mudar pois os domínios .org nos Estados Unidos serão obrigadas implementar DNSSec até o fim de 2009.
Nota do Editor (Northcutt): eles podem ficar frustrados o quanto queiram sobre a baixa adoção do DNSSEC, mas é difícil. Sucesso em segurança depende de automatizar o fix ou fazer a coisa realmente fácil para o usuário.
Pesquisadores publicam um artigo sobre quebra do WPA TKIP (6 e 10 de novembro de 2008)
Dois pesquisadores alemães de uma universidade descobriram uma combinação de técnicas que poderia permitir um invasor comprometer a criptografia de Wi-Fi Protected Access (WPA) em menos de 15 minutos. O ataque não resulta por descobrimento da chave de criptografia. Ao invés, a técnica permite aos invasores “decifrar os packets e injetar packets com conteúdo direcionado”. Martin Beck e Eric Tews apresentaram suas descobertas na conferência PacSec 2008 em Tokio. O ataque atinge o TKIP, o protocolo de integridade temporal da chave do WPA.
Índices de spam caem após fechamento de empresa hospedeira (12 de novembro de 2008)
A quantidade de spam no mundo caiu notavelmente depois que a McColo, uma provedora baseada no nordeste da Califórnia identificada como hospedeira de organizações de spamming, foi cortada por seus provedores. A estimativa é que a McColo hospedou as máquinas responsáveis por 75% dos spams enviados no mundo todo. O serviço de upstream da McColo foi punido na Terça feira, 11 de novembro; na mesma tarde, as organizações que rastreiam spams notaram um declínio rápido no volume de spams enviados. O alivio parece ser temporário, pois as operações que enviam material não solicitado irão buscar novas rotas para espalhar seus wares.
Nota do Editor (Ullrich): Está estória, assim como a estória abaixo, do EstDomains, mostra uma tendência de auto-policiamento nas redes de provedores de serviços. Devido ao impacto destes maus jogadores em seus negócios à atenção da mídia, é difícil de esconder. Compare estes elementos com os residentes de uma área cheia de traficantes e prostitutas para serem encaminhados.
Relatório encontra na devoção ao ISPs mais recursos para defesa do DDoS (11 e 12 de novembro de 2008)
O Relatório de segurança e infraestrutura mundial 2008 da Arbor Networks cobre um período de 12 meses, de agosto de 2007 a julho de 2008. Entre os pontos mais significativos estão os provedores de serviço de Internet.
(ISPs) usa a maioria dos recursos de segurança defendendo seus sistemas contra ataques de denial-of-service (DdoS), e que os maiores ataques de DDoS ultrapassam 40GB por segundo. O ISPs também notou que o nível de aplicação de ataque aconteceu em interrupções prolongadas nos serviços de Internet. Ainda, mais da metade de ISPs que respondem estão preocupados sobre a possibilidade de novas ameaças acompanhando Ipv6.
Grupo publica linhas gerais para teste de anti-malware (11 de novembro de 2008)
A Anti-Malware Testing Standard Organization (AMTSO) publicou alguns documentos focando a padronização na forma que os scanners de antivírus e ferramentas de defesa de malware são testadas. Os “Fundamentos principais de testes” incluem “testes são proibidos de colocar o publico em perigo; testes devem ser razoavelmente abertos e transparente, e a metodologia do teste deve ser consistente com o propósito do teste”. “As melhores práticas para um teste dinâmico” apontam questões como reproducionabilidade, seleção de produto e amostra, ambiente de testes, registros e auditoria. AMTSO foi fundada em meio à crescente preocupação sobre “regimes de teste inconsistentes e éticas questionáveis de certos esquemas de testes”.
CMA muda e criminaliza os ataques DDoS e ferramentas de ataques (14 de novembro de 2008)
Alterações na lei de uso abusivo de computadores na Inglaterra ( CMA) criminalizando os ataques DDos e distribuição de ferramentas de ataque finalmente começou a valer na Inglaterra e Wales. As mudanças no CMA foram sugeridas seis anos atrás, e as mudanças atuais foram feitas em 2006. A Escócia adotou as mudanças em outubro de 2007, mas a Inglaterra e Wales não aprovoram as mudanças até outubro de 2008. Havia uma preocupação que as mudanças inibiriam as pesquisas. As mudanças incluem penas mais altas para as novas ofensas. O ímpeto do resultado das mudanças no CMA pode ser rastreada pelo menos em parte em um caso que os promotores não puderam indiciar um adolescente que iniciou um ataque Ddos contra seu ex-patrão porque o juiz estipulou que o sistema do patrão era destinado a receber e-mail. O adolescente alegou culpa às acusações depois que a corte determinou que a decisão anterior estava errada.
O departamento de defesa Americana barra o uso de dispositivos de armazenagem de dados para parar expansão de vírus ( 19 de novembro de 2008)
Para conter a expansão de um vírus nos sistemas do departamento de defesa dos Estados Unidos, o comandante de Comandos Estratégicos dos Estados Unidos baniu o uso de todos os dispositivos de armazenagem de dados removíveis, incluindo USB drives, CDs e cartões de memória flash. A proibição afeta tanto a rede secreta quanto a aberta.
O malware que está infectando os computadores é chamado Agent.btz, um variante do SillyFDC. Ele se alastra se copiando em dispositivos removíveis e infectando a máquina a qual for conectado. Os dispositivos que são propriedade pessoal dos empregados ou que não sejam autorizados não poderão ser usados nos computadores do departamento; alguns drivers USB serão aprovados depois de serem inspecionados apropriadamente.
Nota do Editor ( Pescatore): Agent.btz está na lista negra dos anti malware desde junho. Seja qual for o desktop DoD usado para proteção anti malware, deve ser observado antes que a proibição de mídias portáteis comece.
Fechamento da McColo machuca Botnets ( 18 de novembro de 2008)
O fechamento da hospedeira McColo resultou na desativação de aproximadamente 500.000 PCs infectados com o bot malware. Os computadores ainda trabalham, mas o malware que havia sido implementado não se comunica mais com os servidores de comando e controle.
Os provedores do serviço de upstream da McColo desconectaram o empresa hospedeira depois que pesquisadores afirmaram que a empresa estava permitindo uma quantidade significativa de cybecrime. Assim que a McColo ficou offline, outros dois maiores botnets, Srizbi e Rustock, foram colocados fora de ação também. Rustock fez com que fosse improvável reaver os bots perdidos, uma vez que eles não tem um plano de back up codificado no malware; os bots de Srizbi, contudo, são instruídos para verificar outros domínios que não conseguem se conectar com o Server primário.
Nota do Editor (Honan): anteriormente neste ano, a polícia alemã usou um botnet que eles haviam encontrado para avisar as vítimas que seus computadores estavam infectados. Seria interessante se esta mesma técnica fosse usada para avisar estas vítimas.
Google conserta a falha Android (7 e 10 de novembro de 2008)
O Google consertou uma vulnerabilidade crítica em seu sistema operacional Android. A falha pode causar paradas chave para passar diretamente no root shell e ser executado com os privilégios do usuário. Por exemplo, digitar a palavra “reboot” poderia realmente causar o dispositivo a reiniciar. A falha afeta usuários G1 usando Updates Android firmware, RG 29 e versões mais antigas. A Google está enviando o fix para todos os dispositivos G1.
Nota do Editor (Skoudis): Nossa, que falha embaraçosa! Semana passada alguém me perguntou se as falhas de comando de injeção eram reais nos softwares de hoje, ou se era uma coisa do passado. Esta vulnerabilidade Android é um grande exemplo que este tipo de falha persistirá por algum tempo.
(Pescatore): o Google não deixa muito fácil o caminho para reportar falhas de segurança. O padrão de segurança real das empresas de software voltadas para o corporativo usa www.company.com/security) recebe o erro 404 no Google, assim como code.google.com/security. Mas se você cavar bastante, você pode encontrar http://code.google.com/android/kb/security.html que dá o e-mail
para reportar bugs.
Falha de inundação em Buffer no Windows Vista TCP/IP Stack (21 e 24 de novembro de 2008)
Uma falha de inundação de buffer no Windows Vista TCP/IP Stack pode ser usadas para esconder kits de rotas em máquinas vulneráveis ou causar condições de denial-of-service.
O pesquisador que encontrou a vulnerabilidade notificou a Microsoft em outubro; recebeu a informação de que a vulnerabilidade seria arrumada no próximo pacote de serviços do Vista.
Falha crítica do Adobe tem sido explorada ativamente (7 de novembro de 2008)
Apenas dias depois da Adobe ter lançado um update de segurança crítico para o Reader e o Acrobat, os cyber invasores começaram a explorar a falha para executar códigos maliciosos em computadores vulneráveis. Arquivos PDF infectados estão se espalhando através de anúncios redirecionados em sites suspeitos. O malware faz um download de um programa de Trojan de outro site. A vulnerabilidades afetas as versões 8.1.2 e mais antigas do Adobe Reader; a versão 9, recém lançada, não é afetada pela falha. Os usuários que ainda não tenham instalados os updates devem realizá-lo com urgência.
O Departamento de TI continua trabalhando para sanar o Malware no sistema do Hospital de Londres (19 e 20 de novembro de2008)
A equipe de TI continua trabalhando para erradicar os efeitos de uma infecção do vírus Mvtob que forçou a ruptura dos sistemas de computação de três hospitais em Londres. O problema foi notificado na Segunda à noite, mas o sistema caiu na terça feira. O malware parece não ter se espalhado em outros sistemas.
Spyware se infiltra nos computadores do Fundo Monetário Internacional (14 de novembro de 2008)
Invasores quebraram o sistema do Fundo Monetário Internacional (FMI) no inicio do mês. Como precaução, o FMI cortou temporariamente as conexões com o Banco Mundial; de acordo com relatórios anteriores, o sistema de computadores do Banco Mundial está sob ataque há vários meses. Oficiais do FMI descobriram que o spyware estava se espalhando através do sistema em 7 de novembro; um porta voz do FMI disse que ele não estava ciente do corte de conexões relatado no incidente. Fontes anônimas, contudo, mantém que houve um corte em 7 de novembro.
Patch Tuesday da Microsoft inclui fix para falha de sete anos (12 e 13 de novembro de 2008)
A Microsoft publicou dois boletins de segurança para corrigir vulnerabilidades no Windows 2000, XP, Server 2003, Vista, Server 2008 e Office 2003 e versões posteriores. MS08-069, que tem uma falha crítica, envia emissões de códigos remotos de execução no Windows XML Core Services nas versões 3.0 4.0 e 6.0. MS08-068 é considerado importante pela Microsoft; envolve uma vulnerabilidade no Microsoft Server Message Block que pode ser explorado para permitir a execução de códigos remotos. Esta falha em particular é conhecida desde março de 2001. Um gerente de segurança de programas no Microsoft Security Response Center escreveu em um blog que a questão não havia sido corrigida até o momento porque teria retribuído a muitos clientes com aplicações baseadas em rede então inoperantes”.
Apple lança update do Safari; usuários reclamam de falhas (14 e 17 de novembro de 2008)
A mais nova versão do Apple Safari tem agora proteção anti phishing. O Safari 3.2 inclui fixes para 11 falhas de segurança. A maioria das vulnerabilidades afetam a versão Windows do Safari, mas também afetam o Mac OS X. A maioria das falhas foram consideradas vulnerabilidades de execução de códigos arbritária. Os usuários tem reportado que a nova versão do browser está falhando frequentemente.
Google conserta Chrome que deixava buraco para roubo de arquivos (14 de novembro de 2008)
O Google corrigiu uma falha no browser Chrome que poderia ser explorada para roubar arquivos em máquinas vulneráveis. A maioria dos usuários não teve o fix colocado em seus computadores; é endereçado em uma versão somente para desenvolvedores de browser com recursos abertos. Os usuários podem reiniciar seus browsers para receber todos os updates lançados. O Chrome 0.4154.18 também tem novos recursos, incluindo gerenciador de marcador de páginas e um novo bloqueador de pop-ups.
Nota do Editor ( Skoudis); Dados os problemas recentes com o Google Chrome e o Apple Safari para Windows, acho que você pode ter um ótimo argumento para não contar com um browser para navegar até que tenha envelhecido um pouco. Minha intuição diz que um ano é necessário para que um browser seja razoavelmente , mas não perfeitamente arrumado. Até então, divirta-se brincando com estes brinquedinhos novos numa caixa experimental.
Apple publica update para iPhone, iPod Touch (22 de novembro de 2008)
A Apple lançou um update para o iPhone e para o iPod touch. Além de novos recursos, o update incorpora patches de segurança para várias vulnerabilidades, incluindo dois problemas de exposição de dados do iPhone. Estes problemas foram percebidos em agosto e permitem que alguém com acesso físico a um dispositivo decodificador iniciar aplicações sem ter a necessidade do código de acesso. O segundo é uma vulnerabilidade que expõe as mensagens SMS se o iPhone que estiverem no modo de chamadas de emergência.
Outras vulnerabilidades corrigidas no update incluem falhas de execução de código remoto na forma que o equipamento manuseia arquivos de imagens e páginas web.
Esquema de phishing finge ser um aviso do Fundo de Reserva Americano (14 de novembro de 2008)
Um novo ataque de phishing está se espalhando num disfarce de aviso de scam do Fundo de Reserva Americano. A mensagem direciona os recipientes para uma web page que aparenta dar os detalhes sobre o scam e tenta fazer um download de um arquivo PDF que contém uma variedade de malware, incluindo software que pode ser usado para fazer computadores infectados parte de um botnet. Um detalhe particular deste ataque é que “o botnet usa uma conexão de secure sockets layer para enviar e receber informação criptografada entre o botnet e as máquinas infectadas”.A mensagem de phishing contém várias dicas claras de que não é segura. A gramática é pobre é não há tentativas em esconder o fato de que os usuários são levados para outra URL.
http://www.vnu.co.uk/vnunet/news/2230518/federal-reserve-spam-attack
Nota do editor (Skoudis): Enquanto a gramática é motivo de riso agora, os bandidos seguramente irão aprimorar os scams dados no mercado tumultuado e nas preocupações dos consumidores. Observe que este aqui vai se tornar muito mais letal em um futuro próximo.
Facebook ganha julgamento em caso de Spam (24 de novembro de 2008)
Semana passada, a corte do distrito do Nordeste da Califórnia decidiu a favor do Facebook um caso de spam, dizendo que Adam Guerbuez e sua empresa Atlantic Blue Capital foram culpados das violações no ato CAN-SPAM. Guerbuez usou phishing em credenciais de registro do Facebook e depois usou contas comprometidas para enviar mais de 4 milhões de mensagens de spam para os amigos associados com as contas. A corte também determinou que a defesa deve pagar 873 milhões de dólares por danos ao Facebook. Guerbuez e seus comparsas estão proibidos de acessar qualquer dado do Facebook no futuro.
Microsoft reporta ter limpado software de segurança falso em mais de 1 milhão de PCs (21 de novembro de 2008)
A Microsoft disse que a versão de novembro da ferramenta de remoção de softwares maliciosos limpou softwares de segurança falsos de quase um milhão de computadores em apenas 9 dias. O software malicioso atinge o computador por furto, ou por usuários ingênuos que ativam pop-ups que levam a downloads de produtos perigosos.
Julgamento do Hacker do Yahoo e-mail de Palin adiado para maio de 2009. (17 de novembro de 2008)
David Kernell, o estudante do Tenessee acusado de entrar na conta do Yahoo da governadora do Alaska Sarah Palin irá para julgamento em maio de 2009. O julgamento havia sido marcado para o início de dezembro, mas de acordo com o andamento foi adiado para a nova data, “devido à natureza do caso, a avaliação forense é significativa e necessária”. Ambas as partes precisam de mais tempo para descobertas. Se Kernell for culpado, ele pode pegar até cinco anos de cadeia, com mais três anos de liberdade condicional e uma multa de 250.000 dólares.
Em outubro, Kernell se declarou inocente e foi solto em sua própria intimação. Enquanto aguardo o julgamento, ele não pode possuir um computador e só pode usar a internet para e-mails e trabalhos da universidade.
Homem alemão resiste à entrevista de emprego trapaceada (12 e 14 de novembro de 2008)
Um alemão que admitiu em uma entrevista de emprego por telefone ter descoberto como quebrar a rede do desenvolvedor de jogos Valve. Ele escapou de ser preso por não ter mordido a isca de uma segunda entrevista em solo americano.
Valve iniciou o contato com Axel Gembe depois de que evidencias apontaram a ele tendo um parte no vazamento do código fonte do Half Life 2 antes do lançamento do jogo. Enquanto o astuto trabalhou diversos anos com uma dupla de hackers russos, Alex Gembe declinou o convite. Ele foi acusado na Alemanha e sentenciado a pena condicional. Em outubro, Gembe foi chamado em uma nova acusação por um caso diferente; a acusação alega que ele criou um malware conhecido como Agobot, que foi usado no caso Echouafni para atacar websites de varejo de seus rivais. Echouafni desapareceu do país e acredita-se que esteja em Marrocos. Ele é suspeito de ter contratado Paul Ashley para gerenciar a distribuição de ataques de denial-of-service (DDoS); Ashey já cumpriu uma pena de dois anos na prisão por sua parte nos ataques.
Hacker adolescente admite delito (18 e 19 de novembro de 2008)
Um hacker adolescente de Massachussets, que usa o nome “Dshocker” on-line se declarou culpado das acusações de invasão de computadores, ameaça interestadual e fraude de fios. De acordo com os promotores, o adolescente de 16 anos, que não pode ser identificado de acordo com as leis federais, entrou em vários sistemas de computadores, recrutou computadores e botnets, passou trotes em linhas de emergência solicitando a SWAT e fez compras fraudulentas com informações de cartões de créditos roubados. A defesa concordou com uma sentença de 11 meses em uma casa de detenção juvenil, apesar da mesma não ter sido formalmente decretada. Se ele fosse a julgamento como adulto, pegaria 10 anos de prisão, 5 anos de condicional e uma multa de 250.000 dólares.
Ex-estudante acusado com hacking de E-mail (13 de novembro de 2008)
O ex-estudante da universidade de Maine, James Wieland, foi acusado por invasão de privacidade criminal agravada, um delito grave, por ter supostamente entrado em centenas de contas de e-mail da universidade. Wieland supostamente instalou keystrokes logando programas nos computadores das vítimas; as autoridades não sabem o por que. A atividade ilícita de Wieland começou a se revelar quando um estudante recebeu uma mensagem de um amigo enquanto este amigo estava sem acesso a computador.
NASA – Doe Hacker tem a sentença suspensa na România e pode ser extraditado (11 de novembro de 2008)
Um romeno recebeu a suspensão de 16 meses de sua sentença na prisão na Romênia por entrar nos sistemas da marinha dos Estados Unidos, NASA, e no departamento de Energia, mas ainda pode ter que encarar a extradição para os Estados Unidos. Em 2006, Victor Faur foi indiciado nos Estados Unidos por nove processos de invasões em computadores e um por conspiração. A defesa de Faur incluiu argumentos como o que suas ações tinham a intenção de demonstrar as vulnerabilidades nos sistemas de computadores dos militares. Ele também teve de pagar uma multa de valor equivalente a 238.000 dólares.
O prazo final de regularização das normas de proteção dos dados de Massachussets estendida para em 5 meses (14 e 20 de novembro de 2008)
O Escritório de regulamentação das relações de consumidores e negócios de Massachussets (OCABR) entendeu o prazo de complacência para a regularização da norma que obriga as empresas que fazem negócios com os residentes do estado a utilizarem criptografia e outras medidas de alta segurança de dados para proteger as informações pessoais dos residentes. Citando as atuais condições econômicas , a OCABR estendeu o prazo de 1 de janeiro de 2009 para 1 de maio de 2009. As empresas tem até 1 de janeiro de 2010 para providenciar a certificação de provedores terceiros para que estejam de acordo com as requisitos de proteção de dados das leis de proteção do consumidor do estado.
AT & T testa limite de downloads para clientes com banda larga (6 de novembro de 2008)
A AT&T iniciou um programa teste em Reno, Nevada, que coloca um limite na quantidade de downloads e uploads realizadas por seus usuários de banda larga. A quantidade varia de acordo com o tipo de conta que os usuários têm. Usuários que excedam a cota estipulada serão cobrados em 1 dólar por gigabyte extra. A AT&T diz que este programa piloto visa buscar uma solução para o problema de que pouquíssimos usuários utilizam uma porção excessiva da banda.
Nota do Editor (Pescatore): Hmmmm, se a minha matemática não falha, se eu pago por uma conexão de 6Mbps,se eu a usasse 24 horas por dia por um mês, eu poderia fazer 2.000 GB de downloads. O plano da ATT me daria 80GB e eu pagaria 1.920 dólares por mês pelo resto? Se eu tenho só 80GB por mês, acredito que estou recebendo uma conexão de 240 kbs, mais ou menos. Este tipo de lógica parece oferta de serviço de telefonia móvel, onde você tem conectividade ilimitada mas somente 5.000 palavras por mês.
InfoSANS 
