1 - Caso você ainda não tenha tido a oportunidade - antes de mais nada - vale a pena conferir os materiais e resumos publicados das principais conferências de segurança que aconteceram no recentemente: Black Hat e ShmooCon.
Como material de destaque destas conferências, recomendo os seguintes links:
- Exploiting Lawful Intercept to Wiretap the Internet [ PDF | PPT | VIDEO | AUDIO ]
- Hacking the Smartcard Chip [ PPT ]
- Blackberry Mobile Spyware – The Monkey Steals the Berries [ PDF | DEMO | CODE ]
- DIY Hard Drive Diagnostics: Understanding a Broken Drive [ PDF ]
- OpenBTS - open source unix Base Transceiver Station [ SITE ]
O projeto Panopticlic da Eletronic Frountier Foundation mostra como é simples identificar unicamente um computador a partir da detecção do navegador utilizado, plugins, cookies, fontes instaladas, etc. - para testar o seu agora, clique aqui. São óbvios os desdobramentos do ponto de vista da privacidade e da identificação de acessos em investigações envolvendo navegação na internet.
3 - Hackers Roubam Milhões em créditos de carbono:
Um bom exemplo de como qualquer negociação efetuada online está sujeita à ação dos cibercriminosos, foi divulgada recentemente pelo Jornal alemão Der Spiegel e pela Revista Wired um esquema envolvendo hackers que roubaram milhões de dólares em créditos de carbono.
Na reportagem é citada um caso similar de exploração de sistemas governamentais que ocorreu no Brasil em 2008 - quando madeireiras e hackers inventaram o ciberdesmatamento - ação investigada pelo Ministério Público Federal do Pará.
4 - Cuidado no Antivírus que você confia - experimento de revista alemã e da Kaspersky envolvendo um falso vírus comprova que vários (14 !) anti-vírus se basearam em resultados do VirusTotal para adicionar vacinas à seus Anti-Vírus. Para mais detalhes sobre minhas recomendações para manter uma máquina Windows segura, veja o tópico "A saga de se manter seguro usando Windows".
5 - Ataque na implementação de Chip + Senha utilizada em Cartões de Crédito / Débito [ PDF | Site]
Um boa descrição está na tradução feita pelo ThreatPost: "Nos últimos cinco anos, milhares de usuários de cartões foram roubados e tiveram seus cartões usados por criminosos. Os bancos muitas vezes dizem a eles que a senha foi usada, então a culpa é dos clientes. Entanto, nós mostramos que é fácil de usar um cartão sem conhecer a senha - e o recibo diz que a operação foi "verificada pelo PIN", mesmo que não tenha sido "
6 - Nova lista CWE/Sans dos 25 mais importantes erros de programação
Cross-site Scripting, SQL Injection, Classic Buffer Overflow, CSRF, e etc..
8 - Report: PDF maliciosos são responsáveis por 80% de todos os exploits em 2009
Minha recomendação: Se você usa Windows, além de NÃO UTILIZAR o Internet Explorer - evite a todo custo o Adobe Reader - desinstale-o e use o FoxIt.
9 - Da vulnerabilidade à fraude: Este excelente artigo da SecurityNinja do Reino Unido detalha o caminho vulnerabilidades exploradas->dados não autorizados->dinheiro comumente seguido pelo cibercrime moderno, incluindo detelhes do underground onde são negociados.
10 - Sans Institute (@johullrich) inaugura o HashSearch - ferramenta para verificação de hashes MD5/SHA1 a partir do hash ou do nome do arquivo - com cadastro de 39.944.023 hashes criptográficos registrados pelo NIST National Software reference Library. Vale a pena conferir.
Sando,
ReplyDeleteGostei dos assuntos e do blog em geral - parabéns pela qualidade técnica dos artigos!
F.L.