Arquivo da tag: hacker

Twitter revela ataque hacker que afeta até 250 mil perfis

twitterbird2Publicado por AFP [via UOL]

A rede social Twitter informou na sexta-feira que estava sendo afetada por um “sofisticado” ataque cibernético, similar aos que atingiram nos últimos dias grandes jornais da costa leste dos Estados Unidos, e que as senhas de cerca de 250.000 usuários haviam sido roubadas.

“Este ataque não foi obra de internautas normais, e não acreditamos que tenha sido um incidente isolado”, disse o diretor de segurança de informação do Twitter, Bob Lord, em um post em seu blog.

Lord se referiu a “ataques à segurança em grande escala contra o setor de tecnologia e empresas de comunicação americanas”, e informou que o Twitter havia detectado esta semana tentativas de obter acesso não autorizado a dados da rede social.

O ataque coincidiu com a revelação de várias violações da segurança de grandes empresas de jornalismo. Os jornais The New York Times e The Wall Street Journal anunciaram esta semana que tinham sido ‘hackeados’ da China.

O Twitter não confirmou a procedência do ataque.

Como medida de precaução, a rede social invalidou senhas e enviou mensagens de e-mail às pessoas afetadas para que criassem novas para que pudessem utilizar suas contas.

dica do João Marcos

Sem Facebook? Comente aqui

Não é a urna, é o sistema: hacker mostra como mudar resultado da eleição, e diz que mudou em 2012 no RJ

Silvio Meira, no Terra Magazine

Parte da comunidade de informática brasileira interessada em eleições e voto eletrônico passou anos tentando mostrar ao TSE, autoridade eleitoral nacional, que havia uma [isso, uma] coisa errada no sistema eleitoral brasileiro e que esta “coisa” era o sistemacomo um todo, e não somente a urna eletrônica brasileira.

um comitê multidisciplinar independente enfrentou o problema ao analisar o sistema eleitoral brasileiro e concluiu, em 2009, que… 1. além do sistema de apuração rápida, que oferece aos brasileiros, o TSE deveria propiciar uma sistema eleitoral de apuração conferível pela sociedade civil; 2. há exagerada concentração de poderes no processo eleitoral brasileiro e 3. no atual sistema eleitoral brasileiro é impossível para os representantes da sociedade conferir e auditar o resultado da apuração eletrônica dos votos.

o comitê recomendou que se tomasse providências para 1. Propiciar separação mais clara de responsabilidades nas tarefas de normatizar, administrar e auditar o processo eleitoral brasileiro, deixando à Justiça Eleitoral apenas a tarefa de julgar o contencioso; 2. Possibilitar auditoria dos resultados eleitorais de forma totalmente independente das pessoas envolvidas na sua administração, e 3. Regulamentar detalhadamente o Princípio de Independência do Software em Sistemas Eleitorais, expresso na Lei 12.034/09, definindo claramente as regras de auditoria com o Voto Impresso Conferível pelo Eleitor. detalhes e mais links sobre o assunto neste link.

de 2009 pra cá, como antes das recomendações do comitê, nada de significativo foi feito para mudar o processo eleitoral. o mantra repetido pelo TSE, que confia na sua informática, é que as eleições brasileiras estão acima de qualquer suspeita.

antes das últimas eleições, um grupo de pesquisadores liderado por diego aranha, da UnB, descobriu como quebrar o sigilo da urna. para minimizar o problema, o TSE afirmou que nada havia sido “quebrado” e que era apenas mais um aspecto da urna que deveria ser melhorado. para o presidente do TSE, a quebra do sigilo da urna… “Foi dentro de um ambiente controlado. Isto numa situação real seria absolutamente impossível porque ele não teria acesso à fonte”.

em outubro passado, o blog fez uma só pergunta diego aranha: quais são suas principais críticas à segurança da urna eletrônica do TSE? e a resposta que ele nos enviou por emeio e publicada na íntegra, em outubro, é repetida a seguir em itálico, com negritos nossos.

Os principais problemas de segurança da urna eletrônica estão exatamente ligados aos dois requisitos fundamentais para a lisura das  eleições: sigilo e integridade dos votos. Durante os testes de segurança, encontramos uma vulnerabilidade que nos permitiu derrotar o único mecanismo de segurança implementado na software da urna para proteção do sigilo do voto. Utilizando essa vulnerabilidade, minha equipe conseguiu recuperar a lista ordenada dos votos em eleições simuladas com até 475 eleitores a partir unicamente de informação pública, com impacto potencial até em eleições passadas. Além disso, detectamos outras fragilidades que abrem a possibilidade de adulteração ou substituição do software de votação por uma versão que conta os votos de forma desonesta. Todas as urnas eletrônicas do país compartilham uma mesma chave criptográfica que protege os seus dados mais críticos e esta chave está ainda disponível na porção desprotegida dos cartões de memória. Mesmo que corrigidas pontualmente, este conjunto de vulnerabilidades denuncia um processo de projeto e desenvolvimento de software defeituoso, incapaz de detectar trechos de código inseguros inseridos no software por acidente ou sabotagem e que descarta  completamente a possibilidade de fraude promovida por agentes internos.

É certo que sistemas de votação puramente eletrônicos, como o adotado no Brasil, permitem apuração rápida, mas criam simultaneamente um cenário ideal para fraudes indetectáveis em larga escala. A velocidade de apuração nunca deve ter prioridade sobre a integridade do que é apurado. Para mitigar esse perigo, sugere-se aumentar a transparência atualmente insuficiente do nosso sistema por meio da reintrodução do voto impresso conferível pelo eleitor. Esse recurso consiste em apresentar uma versão materializada do voto para conferência dentro da cabine de votação e depósito automático em urna convencional. Assim, uma contagem manual posterior dos votos conferidos pode determinar se a contagem eletrônica foi feita corretamente, sem no entanto fornecer um comprovante que possa ser utilizado para violar o caráter secreto do voto. Além da verificação independente de resultados, é possível ainda realizar auditoria externa por fiscais eleitorais e recontagem de votos para resolver disputas. O Brasil é o único país do mundo que permanece utilizando significativamente sistemas de votação eletrônica que não fornecem um nível desejável de transparência.

o grupo de diego foi um dos que testou a urna, que é só uma parte do sistema.

qual foi uma das constatações do comitê independente? de que no atual sistema eleitoral brasileiro é impossível para os representantes da sociedade conferir e auditar o resultado da apuração eletrônica dos votos. sistema, e não só urna.

em um sistema opaco, sem auditoria independente, que se tornou parte essencial dos mecanismos de poder da nação e, com o passar do tempo, com cada vez mais gente sabendo cada vez mais sobre as mais variadas partes dos métodos, processos e do software que as implementam, e com muita gente, em eleições cada vez mais caras, interessadas em obter votos de forma mais, digamos, “efetiva”, era questão de tempo rolar um evento eu-não-disse, como parece que acaba de acontecer.

leia: um hacker, através de acesso ilegal e privilegiado à intranet da Justiça Eleitoral no Rio de Janeiro… interceptou os dados alimentadores do sistema de totalização e, após o retardo do envio desses dados aos computadores da Justiça Eleitoral, modificou resultados beneficiando candidatos em detrimento de outrossem nada ser oficialmente detectado.

o texto em itálico vermelho acima é do site do PDT, sobre seminário realizado no dia 10/12 pelos institutos de estudos políticos do PR e PDT do rio de janeiro.

a notícia continua, citando o hacker, que estaria sob proteção policial: A gente entra na rede da Justiça Eleitoral quando os resultados estão sendo transmitidos para a totalização e, depois que 50% dos dados já foram transmitidos, atuamos. Modificamos resultados mesmo quando a totalização está prestes a ser fechada. um ataque, portanto, à integridade do voto. você votou em X? o voto será de Y.

o “gente” poderia ser um só, na fala do dia a dia. mas o “modificamos”… preocupa. o “gente” são quantos, vindos de onde, que adquiriram conhecimento de quem e como, que atuaram em que eleições em 2012 [foram mais de 5.500 eleições…] e fizeram o que, a soldo de quem, com que resultado? se tiveram sucesso, quantos “eleitos”, diplomados pelos TREs, tiveram votos vitaminados pela “gente” amiga do hacker? mais: em um sistema em que é impossível para os representantes da sociedade conferir e auditar o resultado da apuração eletrônica dos votos, se o TSE nos disser que que não houve nenhuma fraude, vamos acreditar? agora que parece que temos um agente confessando que perpetrou uma, e das graves?…

segundo o hacker do rio, a atuação da “gente” era em prol de clientes da região dos lagos, lá. só isso já merece ampla e profunda investigação, que deveria ocorrer da forma mais aberta e transparente possível. estamos chegando a um ponto em que não dá mais para sustentar que um sistema do porte e importância do que elege os brasileiros que vão nos representar e administrar o país esteja sob qualquer tipo de suspeita. e também já não dá mais para sustentar, na base da crença e discursos, que o sistema não tem furos, é à prova da “gente” lá do hacker, os do rio ou outros, talvez mais contidos, que estão escondidos pelo brasil afora.

o sistema eleitoral brasileiro, todo ele, das regras e atribuições dos agentes até os componentes de hardware, software, logística, segurança… precisa de uma real e urgente revisão, com toda transparência do mundo, para que se ache as falhas que for possível achar e as corrijamos pela raiz. ou para que, todos juntos e ao mesmo tempo, em um processo aberto a todos, comemoremos que verdadeiramente não há falhas. e que este menino do rio não passa de um calor que provoca arrepio. no verão, na praia. e não na democracia brasileira.

dica do João Marcos

Sem Facebook? Comente aqui

Mãe hackeia site de escola para mudar notas de seus filhos

Thiago Barros, no TechTudo

O que mães não fazem por seus filhos, certo? Algumas são capazes de até mesmo invadirem o sistema online da escola para alterarem suas notas. Foi isso o que fez uma senhora, mãe de dois alunos da escola Northwestern Lehigh School. A americana Catherine Venusto conseguiu acesso à página por possuir a senha da diretora do colégio, já que também trabalhou no local por alguns anos.

Catherine Venusto, mãe de alunos que teria hackeado
o site da escola para alterar notas (Foto: Reprodução)

O principal motivo para o crime foi o fato de sua filha não ter passado em uma prova de química. Ela, então, decidiu alterar a nota da menina para garantir que ela seria aprovada. O curioso é que Venusto mexeu também nas notas de matemática do seu filho, apesar dele não precisar nem um pouco disso – a modificação foi de 98 para 99.

Mary Ann Wriggt, superintendente do colégio, foi questionada sobre as mudanças, já que seu login foi utilizado, e ela negou qualquer relação com o caso. Foi então que se iniciou a investigação. Descobriu-se a responsável por conta de um simples fato: apenas duas notas foram modificadas, justamente as dos filhos de Venusto.

Embora tenha admitido o crime, Catherine alegou não saber que o ato teria sido ilegal. Segundo ela, considerava-o apenas “anti-ético”. Mesmo assim, a instituição tem intenção de processá-la criminalmente. O colégio emitiu uma nota oficial se desculpando pelo caso e se posicionando totalmente contra a ação da mulher, garantindo que tomará as providências legais cabíveis.

Sem Facebook? Comente aqui

Cuidado: Seu ‘like’ no Facebook pode virar dinheiro para criminosos

Por Murilo Roncolato e Nayara Fraga, no Estadão

Aplicativos como “Veja quem te visitou” ou “Mude a cor do seu perfil”não são apenas brincadeiras desagradáveis de algum hacker que quer se divertir. Eles servem também para um esquema fraudulento de venda de “curtidas” (ou “likes”) a empresas ansiosas por audiência no Facebook.

Uma investigação feita por Fábio Assolini, analista da Kaspersky Lab e integrante do Grupo de Análise e Resposta a Incidentes de Segurança (Aris), revela que cibercriminosos brasileiros vendem pacotes de “curtidas” que variam de R$ 50, para mil “likes”, a R$ 3.990, para 100 mil “likes”.

“Uma maneira rápida e fácil, adquira cem mil curtidas em sua fan page no Facebook. Compre este plano, escolha a melhor forma de pagamento que desejar”, diz o site que comanda o negócio – encontrado sob os domínios hxxp://publicidadesonline.com e hxxp://publicidadesonline.net. Eles foram retirados do ar após Assolini comentar o comércio de “likes” em um blog.

De fato, a companhia que compra o serviço consegue movimentar o seu perfil na rede social. Mas o que ela pode não saber é que isso é feito às custas de usuários infectados por aplicativos do tipo “Mude a cor do seu perfil” — gente que não necessariamente admira a marca “curtida” ou que até acaba ficando com raiva da empresa por ver seu rosto exposto onde ela nunca pensou em estar.

O esquema, que promete também milhares de seguidores no Twitter, é totalmente brasileiro, segundo o analista da Kaspersky. Um dos sites estava registrado em nome de um usuário localizado em Goiânia.

Involuntariamente. Para tomar conta de um perfil no Facebook, os cibercriminosos geralmente criam aplicativos falsos com motes apelativos para atrair usuários e convencê-los a baixar o que, na verdade, é uma porta para um malware (software usado para fins criminosos).

A pessoa, sem saber, está instalando um plug-in no navegador (Firefox ou Chrome) que roubará o seu nome de usuário e senha, não importa quantas vezes eles forem trocados.

A menos que o plug-in seja excluído, ele continuará lá como um espião — e com o poder de usar o seu perfil como bem entender. Caso o usuário suspeite ter instalado aplicativos maliciosos ou plug-ins estranhos, é aconselhável verificar as extensões no navegador, segundo Fábio Assolini.

O analista alerta que é provável que o plug-in esteja disfarçado de Adobe Flash Player, por exemplo, um dos mais populares na web e usado como isca em outros ataques virtuais. Essa extensão força o usuário acessar o Facebook por um domínio não-seguro que começa com http:// em vez de https://, que representa o site seguro.

Quando isso ocorrer, é preciso excluir o plug-in malicioso do navegadorVeja como:

No Mozilla Firefox, vá em Ferramentas > Complementos > Extensões. No Chrome, vá em Ferramentas > Extensões. Procure pelos últimos plug-ins instalados.

Popular. Especialistas dizem que o Facebook, hoje com mais de 36,1 milhões de brasileiros, costuma ser eficiente na exclusão de aplicativos cuja intenção é espalhar vírus pela rede. Mas, apesar dos esforços, a empresa diz ser necessária a colaboração do usuário. “Em caso de dúvida, confirme antes com seu amigo se aquela mensagem ou post é segura”, disse a empresa em uma de suas campanhas.

1 resposta