Tecnoblog

Menos de três dias após a liberação da versão 3.5.1 do Firefox (que corrigia de falhas de segurança envolvendo o motor de JavaScript), o browser já possui uma nova brecha comprovada.

A falha atinge o método document.write, que após receber uma string Unicode muito longa, causa um estouro da pilha de memória (buffer overflow). Isso possibilita a execução de código remoto, abrindo espaço para um ataque DOS (Denial Of Service).

A Mozilla, desenvolvedora do browser, respondeu à noticia informando que apesar da falha realmente existir, técnicas de segurança presentes nas ultimas versões do browser não permitem a mesma seja explorada. Entretanto, já foi tornada pública uma prova de conceito, e sites de segurança como SANS Internet Storm Center e IBM ISS X-Force já confirmaram a falha.

E não para por aí. Com esta falha, desabilitar manualmente a execução de JavaScript pelo browser NÃO é suficiente para evitar a execução de código pelo atacante. Até o momento, não foi liberada nenhuma correção para o problema. A recomendação, assim como das outras vezes, é não visitar sites que não sejam confiáveis até que o problema seja resolvido. [DownloadTube]

A equipe do twitter, mais famoso site de micro-blogging da internet, fez mudanças sem alarde a sua API para evitar invasões as contas de seus usuários reduzindo o numero máximo de tentativas de login para o limite de 15 vezes a cada hora.

A medida foi tomada para diminuir as invasões feitas por ataques do tipo “brute force”, ou força bruta, técnica baseado em tentativa e erro onde o acesso é conseguido a partir de várias tentativas das mais variadas combinações de senhas para um determinado login.

Nos últimos meses o serviço vem sendo atacado dessa forma por aplicativos que utilizam sua API. Com a nova limitação, apesar de não haver um bloqueio completo da técnica, a torna ineficaz já que o tempo necessário se torna extremamente alto.

Entretanto a novidade não foi bem vista pelos desenvolvedores, que não gostaram da falta de aviso por parte da equipe do site, o que pode acarretar no mal funcionamento de aplicativos de terceiros nos primeiros dias após a mudança. [Info]

O encurtador de URLs Bit.ly recentemente passou a contar com uma proteção extra para seus usuários. Quando o usuário clica em um link que seja potencialmente malicioso, ao invés do redirecionamento ser executado, uma tela de aviso é exibida com a seguinte mensagem: “Atenção – este site foi marcado e pode conter conteúdo não solicitado. O conteúdo desta página parece contar spam ou links para sites não solicitados ou indesejados.”.

Desde que se tornou o encurtador padrão do Twitter, o Bit.ly aumentou sua participação de mercado consideravelmente: passou de 13% que tinha um mês antes da mudança para atuais 78%, de acordo com o site de estatísticas TweetMeme.

Com a fama vieram também os problemas. Cada dia que passa, mais e mais conteúdo indesejado tem sido publicado no Twitter, sob a camuflagem fornecida pelos próprios encurtadores de URLs. Inicialmente, o Twitter adicionou a opção de visualizar a URL original no próprio site. Entretanto, esta função não garante a segurança dos usuários com menos conhecimento ou que estejam desatentos. A prova disso é o alto número existente de contas suspensas devido a vírus no serviço.

O novo sistema filtra as páginas encurtadas, utilizando bancos de dados de sites destinados a identificação de páginas maliciosas, como o StopBadware.org e o AntiPhishing.org. [TechCrunch]

Twitter confidencial. (Reprodução)

Biz Stone, um dos co-fundadores do Twitter, publicou ontem um post (intitulado de “Alguém chame a segurança”) no qual fala sobre a ameaça que alguns blogs fizeram de publicar material confidencial da empresa, que foi roubado por um hacker.

O TechCrunch, por exemplo, cumpriu a promessa de publicar os documentos oficiais do Twitter recebidos por e-mail. Michael Arrington, principal responsável pelo site, chegou a escrever que quem discordasse da publicação dos documentos também discordaria “de toda a história da indústria de notícias”.

Stone, no entanto, ainda acha que a publicação não deveria ser feita. Ele escreveu:

A publicação de documentos roubados é irresponsável e nós absolutamente não demos permissão para que esses documentos fossem compartilhados. Fora de contexto, notas rudimentares de discussões internas serão interpretadas erroneamente por atuais e futuros jornalistas que estejam pondo em perigo nossas relações comerciais.

O co-fundador aproveitou para explicar como o roubo dos documentos foram feitos:

Um funcionário do Twitter usou senha em vários serviços. Um hacker conseguiu acessar nosso sistema porque essa senha estava armazenada em um sistema não relacionado [ao que eles usam internamente].

Moral da história: nunca use a mesma senha para vários serviços diferentes. Se um hacker descobri-la uma vez, poderá usá-la em todos os serviços nos quais você está cadastrado.

Tem circulado nos últimos dias uma nova ameaça para dispositivos rodando Symbian OS. Identificado como SYMBOS_YXES.B pela empresa de soluções de segurança Trend Micro, ele se passa pelo aplicativo legítimo ACSServer.exe e se autodenomina Sexy Space. A ameaça obtém informações do aparelho, como número, rede e dados do usuário, e as envia para uma página da web.

Por fim, a ameaça envia por SMS mensagens com o conteúdo recebido do próprio site para todos os contatos existentes no aparelho. Devido a isso, tem as características de uma botnet para dispositivos móveis. Ainda não sabemos se terá alguma utilidade específica.

Conhecidos como dispositivos relativamente seguros contra ataques de pragas virtuais, telefones celulares e outros dispositivos móveis devem grande parte dessa fama a suas plataformas fechadas ou, como em plataformas mais modernas, a sistemas de assinatura de software.

No caso do sistema Symbian, quem faz a assinatura dos softwares é a própria Fundação Symbia. Apesar disso, tanto o SYMBOS_YXES.B quanto sua variante anterior SYMBOS_YXES.A são aplicações assinadas, o que revela ao menos ser possível burlar o sistema. Ou o pior, que o processo de verificação e assinatura é falho, tirando a confiança de toda a plataforma. [TrendLabs]

A segurança do Twitter não é um dos pontos fortes do serviço. A prova disso são as várias invasões que o serviço sofreu em janeiro, maio e junho desse ano. Em um dos ataques, perfis de celebridades e outros com grande número de seguidores foram abduzidos com o propósito de publicar algo infame ou chulo. Na madrugada de hoje, no entanto, foi revelado um ataque ocorrido no último sábado (11) no dia 11 de junho que supera todos os anteriores.

Um hacker francês sob o pseudônimo de Croll (e que supostamente foi o mesmo que conseguiu acesso ao painel de admin do twitter em abril) obteve acesso à diversas contas de vários funcionários do Twitter através do sistema de email usado internamente, o Google Apps para empresas.

O método utilizado por Croll foi o mais simples possível: ele chutou a resposta para a pergunta secreta que se deve responder para resetar a senha do Gmail. Um dos chutes foi o certo. Croll conseguiu logar com sucesso no Gmail de Evan Williams, fundador do Twitter, e a partir dele conseguiu obter acesso às suas contas do Paypal, Amazon, Apple , AT&T e MobileMe, além do painel de administração interno do Google Apps do Twitter e da conta de Evan no GoDaddy, atual registrar do domínio twitter.com.

Outros três funcionários do serviço tiveram seus emails lidos e vasculhados, incluindo a da esposa de Evan, Sara. Um site francês que recebeu uma mensagem de Croll publicou alguns screenshots enviados por ele, além de dizer quais outras informações foram obtidas pelo hacker: plantas do novo escritório, números de cartão de crédito, telefones e até contratos de parcerias com a Microsoft, Nokia, Dell, AOL e Samsung.

Nesse ponto, aparece uma controvérsia. Ao acessar o email interno de funcionários do Twitter, Croll baixou todo e qualquer documento que achava pela frente, embrulhou todos para presente em um arquivo zip e enviou para Michael Arrington, do TechCrunch. Esse, por sua vez, disse que vai tornar público parte desses documentos, mas apenas aqueles que não comprometerem demais a vida das pessoas envolvidas. Arrington decidiu começar com o documento contendo a proposta para o programa de TV: FinalTweet.

Mais tarde, no fórum em que Croll tornou público as falhas de segurança do serviço, ele avisou que o Twitter acionou o FBI e por isso decidiu deletar os posts. [Mashable]

Um dos navegadores tidos como mais seguros do mundo teve uma falha grave de segurança revelada hoje. O site focado em segurança Secunia publicou um relatório sobre vulnerabilidade no consumo de memória do Firefox 3.5. O site classifica a falha de “altamente crítica”; nunca escala de 1 a 5, ela é considerada como 4.

“A vulnerabilidade é causada por um erro de processamento de JavaScript”, diz o relatório. No exemplo dado pela Secunia, a tag HTML <font> poderia ser usada para explorar essa falha. Uma vez que uma página utilize a vulnerabilidade para ataques, o buffer do Firefox “explode”, permitindo controle sobre os arquivos do computador e também contaminação por vírus.

Uma das formas de evitar a vulnerabilidade é instalando o plugin NoScript, que dá ao usuário controle sobre como cada JavaScript é executado (ou não). A correção oficial para o problema deve ser disponibilizada em até uma semana. [PC World/Rebit]

Já estava nos planos da Microsoft o lançamento de um patch de segurança para o Office com correções de vulnerabilidades divulgadas há mais de um ano. Mas antes que a atualização fosse disponibilizada, a empresa de Redmond já tem mais um buraco para tapar.

Uma vulnerabilidade, classificada como crítitica pela empresa de anti-malware Sophos, foi encontrada em um ActiveX que faz parte dos Componentes Web do Microsoft Office 10 e 11, e já está sendo usada em ataques online e pode já ter se tornado parte de um Exploit Kit. As informações são de Vanja Svajcer em um artigo para o blog Sophos Lab.

Curiosamente, ambas as versões não possuem a vulnerabilidade em sua instalação padrão. Entretanto, aqueles que possuírem instalados os seguintes produtos listados abaixo estarão vulneráveis. São eles:

1. Office XP SP3;
2. Office 2003 SP3;
3. Office XP Web Components SP3;
4. Office 2003 Web Components SP3;
5. Office 2003 Web Components for the 2007 Microsoft Office System SP1;
6. Internet Security and Acceleration Server 2004 Standard Edition SP3;
7. Internet Security and Acceleration Server 2004 Enterprise Edition SP3;
8. Internet Security and Acceleration Server 2006;
9. Internet Security and Acceleration Server 2006 SP1;
10. Office Small Business Accounting 2006.

O ActiveX integrante dos Components Web do Office permite a visualização de planilhas, além de banco de dados e tabelas, diretamente da internet. Com o exploit, se o usuário acessar o site malicioso utilizando o Internet Explorer, o atacante pode ganhar todos os direitos do usuário e executar códigos maliciosos livremente.

A recomendação para aqueles que possuem seu sistema vulnerável é que faça a atualização assim que esta estiver disponível. Enquanto isso evite visitar sites desconhecidos ou escolha um browser melhor. [BetaNews]

Modelos de HTC's hackeados (+)

Um pesquisador espanhol da área de segurança descobriu uma vulnerabilidade em dispositivos HTC rodando Windows Mobile 6.o ou Windows Mobile 6.1 que dá acesso total e irrestrito a arquivos armazenados dentro da memória flash dos smartphones através do Bluetooth, além de permitir o envio de arquivos maliciosos para dentro dos aparelhos.

A falha está no serviço OBEX FTP dentro do driver obexfile.dll para Bluetooth usado pelo Windows Mobile. Esse driver, no entanto, é de criação da própria HTC e não da Microsoft. O ataque pode ser feito tanto através de emparelhamento seguro ou por spoofing, em que o dispositivo atacante forja o endereço físico (MAC address) de outro dispositivo que já está pareado com o HTC que se pretende atacar. Uma vez pareado, as ações da pessoa que estiver atacando serão invisíveis ao usuário.

Alberto Moreno, o pesquisador que descobriu a vulnerabilidade, reportou-a à HTC em fevereiro, mas a empresa não tomou nenhuma providência e por isso ele decidiu tornar público suas descobertas. Dentre os dispositivos que ele testou e que estão vulneráveis, estão o HTC Touch Diamond e o HTC Touch Cruise, ambos vendidos no Brasil.

Smartphones HTC rodando versões anteriores à Windows Mobile 6.0 não sofrem tal vulnerabilidade. E acredito que essa é uma das poucas vezes em que não atualizar o sistema operacional pode ter suas vantagens. [PCWorld]

Update: Um dia depois da vulnerabilidade ser tornada pública, a fabricante de celulares liberou um hotfix que corrige o problema.

Durante parte da tarde e início da noite de quarta-feira (09), os sites da Casa Branca e do Pentágono sofreram tentativa de ataque por parte de cibercriminosos. Além deles, o site jornal The Washington Post e da bolsa de valores de Nova Iorque  (NYSE) e também o portal Yahoo! foram alvo dos crackers.

Websites sul-coreanos passaram pelo mesmo tipo de ataque, o que fez o serviço de inteligência da Coreia do Sul determinar que a origem dos ataques eram computadores baseados na Coreia do Norte, um regime ditatorial que tem se envolvido em polêmicas por testar mísseis balísticos.

O ataque, conhecido como DDoS,  envolveu aproximadamente 50 mil computadores infectados, que tentaram sucessivamente requisitar dados de 26 sites dos Estados Unidos e da Coreia do Sul, causando lentidão. Alguns websites não resistiram ao ataque e ficaram offline, mas os da Casa Branca e do Pentágono permaneceram no ar.

- Esse ataque não foi diferente dos outros. Só foi mais notável devido à natureza dos sites que foram atacados. Por causa de medidas que temos tomado, pudemos atenua-lo rapidamente. – Disse uma fonte do LA Times envolvida no assunto.

A Secretaria de Segurança Nacional dos Estados Unidos, responsável por proteger redes internas de computadores e websites governamentais, disse que uma equipe reunida de forma emergencial foi deslocada para assessorar agências federais sobre como evitar o ataque. [Terra / LA Times]