Just4meeting 3.0

por David Sopas em 20 de Fevereiro de 2012 em Eventos com 0 comentários
Just4Meeting 3.0

Portugal receberá nos dias 6 a 8 de Julho, a terceira edição do evento internacional Just4meeting, denominado Just4meeting 3.0. Para esta edição o evento contará com workshops técnicos de até 2 horas e intervenções.

O evento tem como objetivo dar a conhecer e partilhar conhecimento e experiência sobre a Segurança Informática aos profissionais de Informática e Tecnologia presentes.

Público alvo? 
Profissionais de Informática, Estudantes que desejam se especializar na área de Segurança em Informática e estar por dentro das principais falhas e correções nesta área, Administradores de Sistemas Informáticos.

Sem dúvida uma oportunidade fantástica para contactar com especialistas da área.
Mais informações no site oficial do evento, ou seja, aqui.

Cuidado com as ofertas milionárias

por David Sopas em 9 de Fevereiro de 2012 em Artigos com 0 comentários
Cuidado com as ofertas milionárias

Tenho recebido muitos emails, e comentários aqui no WebSegura.net, de utilizadores que receberam emails com ofertas milionárias. Antes de opinar sobre este assunto, queria apenas referir que ninguém bate à nossa porta e nos entrega 100.000 euros. Correcto?

Exemplo:

(…)
Entraremos em contato para informá-lo que você acabou de ganhar 118.000 EUR no sorteio realizado pela nossa empresa Microsoft, Bill Gates. Você vai encontrar no documento como um anexo detalhes do ganho.
Entrar na posse do ganho, por favor envie um e-mail para obter o reconhecimento ao oficial de justiça:
(…)

De facto estes emails são esquemas, alguns mais organizados e elaborados que outros, com o intuito de recolher dados pessoais (por exemplo: carta de condução, declaração de IRS, cartão de cidadão, …) para fornecer aos utilizadores maliciosos a possibilidade de roubo de identidade. No entanto, existem esquemas que para receber o suposto dinheiro é necessário adiantar uma quantia financeira (que varia entre os 100€ a 1000€) para pagar taxas de transferências bancárias.

Citando as minhas próprias palavras, em Novembro de 2010 no artigo – Alerta: Fraude via email utiliza o nome das Páginas Amarelas, este tipo de fraude é intitulada de Scam 419 ou Golpe dos Nigerianos.
O procedimento baseia-se num truque de confiança, no qual a vítima é convencida a avançar com dinheiro com a esperança de ganhar uma quantia bem superior.
Actualmente esta fraude é a terceira maior fonte de rendimento na Nigéria e as autoridades locais pouco ou nada fazem para contrariar esta situação.

Cerca de 80% das amostras que recebi, utilizam o nome da empresa Microsoft e respectivo fundador Bill Gates para enganar os mais desatentos. Desses emails 5% apresentavam ficheiro anexo em PDF com malware.
A Microsoft já criou uma página com algumas dicas sobre esta fraude. Podem consultar aqui.

Alguns dos remetentes catalogados como esquemas:

- etu.eloiyao@one.co.il
- servicesbillgates@orange.fr
- service.microsoft244@orange.fr
- cabinet.francoiskipre@gmail.com
- service.infos13@orange.fr
- SERVICE.WINDOWSLIVE@WINDOWSLIVE.NET
- me.desire.gueu@hotmail.fr
- isabeau.beigbeder@wanadoo.fr
- cabinet.pierrekanter@one.co.il
- etude.richardleroy@hotmail.com

Dos 50 contactos que recebi, 22 utilizadores forneceram dados pessoais em resposta ao email fradulento. Ou seja, quase metade das pessoas que contactar-me foram vítimas destes esquemas. Claro que é preciso ter em conta que, provavelmente, um dos principais motivos para os utilizadores contactarem-me é terem sido vítimas desta situação. Mesmo assim…

O que fazer?

Os utilizadores que apenas abriram o email não têm com que se preocupar (caso não tenham aberto qualquer ficheiro anexo). Se não foi parar a vossa caixa de SPAM, podem marcá-lo como tal.

Se forneceram dados pessoais ou transferiram dinheiro, é conveniente contactar as entidades policiais (PSP ou PJ) para dar inicio da ocorrencia. Desta forma, se esses dados comprometidos forem utilizados para a práticas criminosas, o registo da vossa perda já foi declarado e assim poderá ajudar nas investigações.

Partilhem este artigo e ajudem os vossos familiares e amigos.

Megaupload fechado, quem se segue?

por David Sopas em 20 de Janeiro de 2012 em Artigos com 1 Comentário
Megaupload fechado, quem se segue?

Esta foi uma notícia que já partilhei via Facebook  e Twitter.
O FBI começou, pelo que parece, a limpeza aos sites de partilha de ficheiros. Neste caso em particular o Megaupload e respectivos sites relacionados.
Conforme press-release no site oficial do FBI, para além das violações de direitos de autor, cada responsável do site é acusado de crimes que podem levar à cadeia por 50 anos!? (wtf – leia-se why the face). O departamento responsável, o IP Task Force, combate o roubo de propriedade intelecual.

De facto estou curioso para saber como as autoridades vão resolver no caso dos motores de busca (Google, Bing e restantes), pois estes também mostram resultados que podem ser considerados como violação de direitos de autor… E o Facebook e Twitter? SOPA anyone?

Não estou contra ou favor deste tipo de websites, acho que existem outras prioridades na segurança informática que deviam ser levadas mais a sério, como por exemplo: o roubo de cartões de crédito, combate ao phishing, etc…

reacção

Após o encerramento do site do Megaupload, o grupo Anonymous lançou uma operação de imediato #OpMegaUpload que em poucas horas colocaram site do FBI, Departamento de Justiça, RIAA e o Universal Music inacessíveis (DDoS).
Segundo o Twitter oficial do grupo, foi o ataque mais numeroso em termos de participantes até à data e prometem mais ataques nos próximos dias.

O fundador do Megaupload – o conhecido “Kim Dotcom“ volta a ter o nome nos média pelas piores razões mas parece que é coisa que já deve estar habituado.

Trojan Cossta aumenta presença em Portugal

por David Sopas em 18 de Janeiro de 2012 em Artigos com 0 comentários
Trojan tem como alvo Portugal e Angola

O trojan, conhecido por Trojan.Win32.Cossta.ree*, é conhecido e detectado pelos antivirus com uma taxa de sucesso que ronda os 40% (VirusTotal). É altamente prejudicial, dado que tem como objectivo tornar o computador do utilizador afectado num estado C&C (Command and Control). Acrescento também que rouba dados bancários  e outras contas de utilizador.
Em Dezembro de 2011 já tinha mencionado outra variante deste trojan (Trojan.Win32.Cossta.quj) neste artigo.

Com ajuda de algumas amostras enviadas por amigos do projecto WebSegura, consegui analisar um pouco mais sobre este software malicioso de origem brasileira.

O Cossta é actualmente propagado via emails fraudulentos de avisos da PSP – Policia de Segurança Publica, que pelo avaliar da pouca variância do tema, está a ter algum sucesso.
Nas amostras que recebi, o remetente tem quase sempre o dominio @terra.com.br no email com IP’s de origem no Brasil e Rússia. Muito provavelmente são máquinas comprometidas e que estão a fazer o envio destes emails fraudulentos.

Alguns dos scripts internos presentes neste software malicioso estão direccionados para ataques ao:

  • Banif
  • BPINET
  • CGD
  • Facebook
  • Gmail
  • Hotmail
  • Live
  • Montepio

Estes devem ser os principais alvos do Cossta.
De uma forma resumida e com base numa análise do comportamento do trojan concluí o seguinte:

  • Cria uma entrada na firewall do Windows como programa autorizado pelo sistema operativo
  • Eliminação e modificação de ficheiros do Windows
  • Pesquisa por cookies existentes com base nos scripts acima referidos
  • Modifica as configurações de segurança do Internet Explorer
  • Modifica o registo do Windows (inclui execução do programa no autorun)

Num estudo levado a cabo por Fabio Assolini, especialista de segurança da Kaspersky, podemos consultar o mapa dos países mais afectados por uma das variantes deste trojan.
Portugal e Angola são os países com mais máquinas comprometidas, muito provavelmente pela presença dos bancos alvo nestes países.

Submeti a amostra para as sandboxes públicas, que podem consultar:

Para evitar que seja infectado pelo Cossta, é conveniente ter o seu antivirus actualizado e se pretender um pouco mais de segurança, instalar software de remoção de malware, como por exemplo o Malwarebytes.

* Nome identificativo pela empresa de segurança Kaspersky.

Falha Hash Collision debatida em Podcast

por David Sopas em 17 de Janeiro de 2012 em Artigos com 0 comentários
Falha Hash Collision debatida em Podcast

A famosa Hash Collision, vulnerabilidade que afecta milhões de servidores em todo o mundo, foi debatida por Manuel Lemos e Ernani Joppert na primeira versão do PHPCast – um podcast em português dedicada à linguagem de programação PHP.
De referir que a nova versão do PHP 5.3.9 já vem com um patch de segurança corrigir esta vulnerabilidade.

Uma excelente iniciativa e essencial a todos os programadores PHP.

← Mais antigos