Facebook agora também disponível no Tor

facebook

O rede social Facebook anunciou hoje que já tem disponível uma versão para os utilizadores do Tor:

https://facebookcorewwwi.onion/

Desta forma, os utilizadores do Facebook que queiram utilizar o Tor para manter a sua navegação anónima já poderão fazê-lo neste momento.

O endereço onion do Facebook, acedido apenas via Tor, conecta os utilizadores à infra-estrutra www do Facebook de modo a proporcionar a comunicação direta do utilizador com o datacenter do Facebook. Isto permite sessões de navegação privadas e seguras. Posteriormente, um certificado SSL fornecido pelo Facebook aos utilizadores confirma que o destino é o correto.

Mais uma vez, juntamente com a disponibilização do Osquery, o Facebook confirma uma preocupação com a segurança dos seus utilizadores.

Facebook disponibiliza ferramenta Osquery

osquery

Osquery é uma framework open-source que permite criar um registo de tudo o que se passa num sistema operativo. Todas as atividades ficam disponiveis numa base de dados que podem ser consultadas com comandos SQL.
Segundo o Facebook, esta ferramenta poderá ajudar a comunidade de segurança informática a ter um sistema de monitorização suportável financeiramente e flexível. Mas esta ferramenta é apenas um pequeno passo. O Facebook ao disponibilizar o Osquery, pretende que, programadores de todo o mundo, criem novos componentes para que esta framework se torne uma ferramenta mais robusta, completa e personalizável.

Por exemplo, esta consulta SQL permite visualizar todos os processos que estão em escuta em portas de rede:

SELECT DISTINCT process.name, listening.port, listening.address, process.pid FROM processes AS process JOIN listening_ports AS listening ON process.pid = listening.pid;

Pessoalmente agrada-me a ideia de ter diversa informação do sistema operativo organizada em tabelas numa base de dados. Ter tabelas com os processos que estão a correr, os módulos do kernel que estão carregados, as conexões ativas, etc…

De salientar que o Osquery é multi-plataforma. Podem compilar e utilizar o Osquery no Ubuntu, CentOS e Mac OSX.

Além desta oferta, o Facebook adicionou o Osquery à lista de bounties, com um prémio minimo de US$2.500. Isto, claro está, para os utilizadores que divulgarem de uma forma responsável uma vulnerabilidade no core do Osquery.

Perguntei a Bruno Morisson –  Expert Consultant Partner na INTEGRITY – o que ele achava da disponibilização de ferramentas open-source de segurança por parte das grandes empresas:

Este tipo iniciativas são extremamente importantes, principalmente porque acabam ter impacto em três vertentes distintas:
– Demonstram um empenho na segurança das suas próprias infraestruturas e aplicações;
– Apoiam outras organizações, que podem usufruir destas ferramentas e não ter que reinventar a roda, contribuindo para uma comunidade global, até porque podem passar a ter contribuições externas;
– Incentivam outras organizações a fazer o mesmo, podendo ter um efeito de “bola de neve” positivo.

Sobre este último ponto temos visto outras empresas a tomar iniciativas deste género, talvez a mais conhecida pelas contribuições para a área de segurança seja a Google, mas também é curioso que outras com menos visibilidade nesta área como foi o exemplo da Netflix no início do ano, também o têm feito.
A verdade é que estas ferramentas acabam por endereçar problemas que são comuns a muitas organizações, mesmo que de menor dimensão, e que podem adaptá-las às suas necessidades.

Em resumo, é sem dúvida positivo ver cada vez mais este género de contribuições significativas à comunidade global de segurança.

Sem dúvida que a distribuição do Osquery é um passo importante para o Facebook estar mais próximo da comunidade de segurança.

Para os interessados em conhecer melhor o Osquery, podem ler a documentação aqui  e fazerem o respetivo download no GitHub.

Brasil, cuidado com as ofertas de emprego do Linkedin

linkedin_brasil

Cuidado Brasil, alegadas propostas de emprego fraudulentas circulam no Linkedin a recrutar utilizadores brasileiros.

Alguns utilizadores brasileiros relataram ao WebSegura.net que receberam pedidos de contato via Linkedin para enviarem o Curriculum Vitae a fim de se candidatarem a uma posição numa empresa de construção. Essa empresa, com morada nos Camarões, envia o contrato de trabalho por email, que por sua vez é bastante amadora e sem qualquer informação do registo da empresa, contatos, etc…

Tal como em outros casos, a empresa para além de ficar com os dados pessoais dos candidatos (contatos telefónicos e cópia do passaporte), requer ainda um pagamento de uma taxa de alojamento com valores que variam entre 150€ a 300€. Talvez seja este o modelo de negócio, porque após estes recebimentos da taxa, a empresa quebra o contato.

Fica o alerta.

Oferta de emprego do 9mimport.com

Créditos da foto: http://thefinanser.co.uk/

Já tinha referenciado este site no artigo – http://www.websegura.net/sites-de-emprego-fraudulentos/ – mas devido aos inúmeros pedidos de informação/ajuda de utilizadores, decidi publicar um artigo sobre o 9mimport.com.
Este site está a enviar o seguinte email – http://pastebin.com/8XCpwkZ2

O conteúdo do email por si só já demonstra alegadamente ser uma oferta de emprego fraudulenta. No entanto, posso descrever mais informações sobre o que analisei no 9mimport.com:

  • O site corre o CMS Joomla! com a template Yoo Eat (custa 49€ a licença) sem grandes modificações
  • O site está em português mas com muitos textos em inglês
  • Os textos foram retirados doutros sites. Por exemplo, na página de Produtos do 9mimport.com, os textos foram retirados de um site brasileiro
  • Os contatos no site estão incompletos. Não existe telefone, nem email de contato.
  • O registo do domínio foi efetuado em BizCn.com (utilizado em diversos esquemas fraudulentos). A data de registo do domínio 9mimport.com é de 2014-09-03.
  • Os DNS são em FreeDNS.ws (utilizado em diversos esquemas fraudulentos)

9mimport

Mas o que leva este site a ter atualmente tanto impacto?

Nestes últimos anos, foi o único em que diversos utilizadores relataram a presença de anúncios no site do IEFP. Desconhecendo o tipo de validação feita pelo IEFP, na minha opinião, a presença de anúncios alegadamente fraudulentos neste organismo aumenta a confiança dos utilizadores dando a ideia que são fidedignos.

Comentário de um utilizador ao WebSegura.net:

boa tarde, recebi a mesma proposta da 9mimport e como me pareceu tudo bem com a empresa e sendo do site do IEFP pensei ser fidedigno.

No meu ponto de vista, penso que se trata da mesma rede que já criou anteriormente alguns sites já publicados aqui no WebSegura.net.
O modus operandi é muito semelhante e a comunicação de emails é sempre utilizando o mesmo servidor de emails e o mesmo webmail:

Received: from hivedeXXXXXX.fornex.org
Received: from WorldClient by [XXX.XXX.XXX.XXX] (MDaemon PRO v13.0.4)

No mesmo alojamento do 9mimport.comaltushost.com – está outro site já catalogado na lista de sites fraudulentos – finimax.org (entretanto inativo).

Após o preenchimento de um formulário presente no site (que requisita muita informação pessoal como por exemplo: Nº cartão de identidade, contribuinte, cópia do passaporte ou cartão de cidadão, segurança social, telefones, etc.) o utilizador fica aguardar por um resposta da 9mimport.com.

dados

Ao aceitar uma colaboração com a 9mimport.com, o utilizador passa por receber quantias de dinheiro via transferência bancária e posteriormente transferir para outros bancos. Ou seja, servir de intermediário bancário entre contas duvidosas.
O primeiro contato é feito por um pastor de mulas. A função deste é angariar utilizadores (mulas) para transportar dinheiro (provavelmente ilícito) entre contas bancárias. Caso as mulas tenham dúvidas ou dificuldades nas operações, estas terão disponíveis um suporte técnico para as ajudar nas transferências via telemóvel.
Recentemente saiu uma noticia que os bancos monitorizam este tipo de atividades e alertam o utilizador para estas operações, no entanto desconheço os termos de investigação que envolve este processo.

O processo que se segue foi-me relatado por terceiros em contatos por email ao WebSegura.

Tudo começa com a vítima a entrar num período de 15 dias de teste de trabalho. É informado que irá ter acesso a uma conta da empresa unicamente para receber pagamentos de diversos clientes e posteriormente enviar para várias filiais da empresa.
Estes pagamentos serão feitos por transferências bancárias, Moneygram e Western Union.

No período de teste, a vítima recebe esse dinheiro dos clientes na sua conta pessoal.
No primeiro recebimento, que varia entre os 2500€ até aos 5000€, ligam da 9mimport a informar que, assim que chegasse o dinheiro à conta, teria de reenviar via Western Union para um cliente na Ucrânia.
De referir que no período de testes, a vítima não recebe qualquer comissão. Apenas prejuízo porque é debitado da sua conta uma taxa de levantamento.
Após esta primeira fase de testes, a vítima é informada para aguardar por novas tarefas.

De referir que o número que liga às vítimas é não identificado e utiliza uma máscara com o nome da empresa na identificação das SMS.

No decorrer da escrita deste artigo, fui contatado por utilizadores que afirmaram que a entidade bancária alertou-os posteriormente por terem detetado movimentações “duvidosas”. É bom saber que existe uma preocupação por parte dos bancos em proteger os seus clientes mais desatentos. No entanto não posso confirmar se todas as entidades atuar em Portugal tem este sistema de monitorização.

Quero agradecer a todos os utilizadores afetados que contribuíram com o seu testemunho porque sem eles não seria possível escrever este artigo.

Google com suporte FIDO U2F a partir de hoje

FIDO U2F

Google anunciou hoje no seu Blogue de Segurança um novo sistema de autenticação de 2 factores para os seus serviços em alternativa às mensagens por SMS. Esse novo sistema – Security Key  – é constituído por uma pen usb token* que valida e funciona apenas em sites Google.
Aparentemente, o processo é muito simples e rápido. Na autenticação, apenas terá de inserir a Security Key na porta USB assim que for requisitada.

FIDO-U2F-Security-Key

Este equipamento é recomendado a todos os utilizadores que queiram um maior nível de segurança para as suas contas Google, as suas principais vantagens são:

  • Não necessita de drivers ou software próprio – Usa drivers nativas com suporte directo no browser, sem instalação ou configuração.
  • Segurança escalável – é gerado um par de chaves por cada serviço e é armazenado apenas e só nesse serviço a que se vai conectar, assim não há partilha de informações confidenciais entre produtos.

Em Janeiro de 2013 a Wired Magazine foi a primeira a escrever sobre o projecto U2F desde então o seu desenvolvimento cresceu aliado à FIDO Alliance.

Para os interessados neste pequeno hardware, este já pode ser adquirido na Amazon, no entanto todos os equipamentos compatíveis com FIDO Universal 2nd Factor (U2F) poderão ser utilizados.