quarta-feira, 25 de fevereiro de 2009
Como era esperado até mesmo pela Microsoft, uma das brechas corrigidas no navegador Internet Explorer na semana passada foi utilizada em alguns ataques contra alvos específicos esta semana. Embora os internautas em geral ainda não estejam em risco, isto também não deve demorar a acontecer. Também esta semana: evento testará segurança de navegadores e smartphones; pesquisadores quebram autenticação por reconhecimento de face. >>> Criminosos utilizam brecha recém-corrigida do Internet Explorer Diversas companhias de segurança, entre elas a Trend Micro e a McAfee, informaram esta semana que criminosos já estão tirando proveito de uma das brechas corrigidas pela Microsoft na semana passada no Internet Explorer. O ataque, quando realizado com sucesso, permite a instalação de códigos maliciosos no computador afetado. >>> Competição testará segurança de navegadores e dispositivos móveis Organizadores da conferência de segurança CanSecWest estão preparando a terceira edição do “Pwn2Own”. No evento, o primeiro participante que conseguir acesso não-autorizado ao computador ou dispositivo poderá levá-lo para casa. Os navegadores web Firefox e Internet Explorer devem ser colocados lado a lado, de modo a testar qual resistirá mais tempo às constantes tentativas de invasão. Sistemas para smartphones, como o iPhone, Symbian e Android, do Google, também deverão participar este ano. >>> Pesquisadores quebram tecnologia de reconhecimento de faces Um estudo descobriu maneiras de burlar a autenticação por reconhecimento de faces embutida em alguns notebooks Lenovo, Asus e Toshiba. Liderado pelo especialista em segurança vietnamita Duc Nguyen, os resultados da pesquisa foram apresentados na conferência de segurança BlackHat 2009, A apresentação, intitulada “Seu Rosto NÃO é sua senha” mostra como fotografias, e até mesmo imagens editadas, podem enganar o software de reconhecimento de face e dar acesso ao usuário incorreto.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
A brecha tem sido utilizada nos chamados “ataques direcionados” -- golpes com alvos específicos. Esse é geralmente o caso em tentativas de espionagem industrial, por exemplo.
Para acionar o erro no Internet Explorer, criminosos criaram um documento malicioso no Word (.doc). Quando o Word processa o arquivo, um componente ActiveX falho do Internet Explorer é chamado, resultando na instalação de um cavalo-de-troia. Em uma situação normal, sem a vulnerabilidade, um arquivo .doc ou .html não seria capaz de executar códigos maliciosos no sistema.
Não existem relatos de tentativas de explorar a falha por meio de sites maliciosos ou comprometidos para infectar internautas em geral. Os arquivos .doc infectados foram enviados por e-mail a um número restrito de destinatários, segundo a Trend Micro.
A Microsoft corrigiu duas falhas críticas no Internet Explorer na terça-feira dos patches de fevereiro, que foi semana passada (9). Ambas receberam uma classificação de “1” no índice de exploração, que tenta prever se um código capaz de explorar o problema será criado ou não. O valor “1” é o mais grave, e significa que a vulnerabilidade certamente será explorada, como está acontecendo com esta.
As atualizações do Windows, que eliminam as vulnerabilidades, podem ser feitas por meio do Microsoft/Windows Update (acessível pelo menu “Iniciar” do Windows) ou pelas atualizações automáticas, no Painel de Controle.
Todos os computadores e dispositivos usados na competição são atualizados para eliminar quaisquer brechas de segurança conhecidas. Os competidores não podem se aproveitar de nenhuma brecha publicamente revelada para invadir os sistemas -- é necessário descobrir uma nova falha de segurança.
No seu primeiro ano, em 2007, o Pwn2Own colocou dois MacBooks Pro no evento. Um deles poderia apenas ser acessado por alguma vulnerabilidade remota, sem interação do usuário. O outro poderia abrir páginas web enviadas pelos participantes, o que permitiu que os especialistas em segurança Dino Dai Zovi e Shane Macaulay usassem uma falha no QuickTime descoberta por Dai Zovi para obter acesso ao MacBook Pro -- e levá-lo para casa.
No ano passado, a organização do evento decidiu testar a segurança de sistemas operacionais com três notebooks: um com Windows Vista, um com MacOS X e outro com Ubuntu Linux. No primeiro dia, apenas acesso remoto era permitido. No segundo, poderiam ser usadas vulnerabilidades em quaisquer programas da instalação padrão do sistema. No terceiro e último dia, aplicativos populares também poderiam ser instalados, para aumentar o número de possíveis falhas.
O primeiro notebook a cair foi o Mac, dois minutos após o início da competição no segundo dia. Charlie Miller usou uma falha no navegador Safari, padrão do OS X, para realizar essa façanha. O Windows Vista sobreviveu ao segundo dia, mas caiu no terceiro, quando Alex Sotirov e Shane Macaulay -- mais uma vez -- usaram uma falha no Flash, da Adobe, para executar códigos de sua escolha no sistema. O Ubuntu resistiu aos três dias.
Por envolver a descoberta de novas vulnerabilidades, a competição gera muita polêmica. Nas duas primeiras edições, foi patrocinada pelo Zero Day Initiative (ZDI), uma empresa de segurança da 3COM que realiza a comunicação de informações sobre falhas entre empresas desenvolvedoras de software e pesquisadores de segurança.
A CanSecWest está marcada para os dias 16 a 20 de março, em Vancouver.
Os programas vulneráveis, segundo a pesquisa, são Veriface III, SmartLogon 1.0.0005 e Face Recognition 2.0.2.32. Para Nguyen, não há solução: as empresas devem informar aos seus clientes que usem outro sistema de autenticação, porque o reconhecimento de face é ineficiente.
A conferência BlackHat Briefings DC 2009 ocorreu esta semana, nos dias 18 e 19, em Washington, nos EUA.
0 Comments:
Post a Comment