Wednesday, September 26, 2012

Criador de “CSI” faz websérie sobre ciberterrorismo


Os nove primeiros episódios de Cybergeddon, nova websérie de Anthony E. Zuiker, o criador de “CSI”, estão disponíveis no Yahoo!.
Lançada na semana passada, a produção digital narra a história da agente do FBI Chloe Jocelyn, que investiga ciberataques que acontecem no mundo. Há algum tempo Zuiker se aventura pelo mundo virtual: ele um dos responsáveis pelo BlackBox TV, canal do YouTube que mostra filmes de terror e ficção científica.  
A empresa de segurança virtual Norton prestou consultoria à série, de modo a dar mais realismo às ameaças virtuais mostradas –apenar de vez ou outra o roteiro forçar a barra ao dar poderes demais ao superhacker Gustav Dobreff, líder dos terroristas cibernético
Os espisódios no Yahoo! Brasil estão dublados em português. Mas se você preferir assistir com o áudio original em inglês, sem legendas, pode ir lá no site gringo do Cybergeddon.
Para completar a experiência, há também os jogos oficiais do Cybergeddon para iOS e Android, que já estão disponíveis para serem baixados pelo iTunes e Google Play.

Thursday, September 6, 2012

Falha no site da Eletropaulo expõe dados de 6,4 milhões


Uma falha de segurança no site da AES Eletropaulo permitia, até a noite de ontem, que fossem acessados e alterados os dados cadastrais e de pagamento dos 6,4 milhões de clientes residenciais da companhia de energia elétrica da Grande São Paulo.
A brecha foi encontrada na semana passada pelo estudante de sistemas de informação Carlos Eduardo Santiago, 20 --ele relatou o caso ao serviço de atendimento ao consumidor da Eletropaulo na última sexta (31).
A Eletropaulo só começou a resolver o caso ontem, após ser questionada pela Folha. Na manhã desta quinta (6), a seção de serviços do site da Eletropaulo estava operacional e sem a falha. Posteriormente, o acesso ao site permaneceu interrompido entre as 10h e as 12h.
Até as 18h30 de ontem, em cinco passos e usando só o CPF e o código de instalação informado na conta, qualquer cliente da Eletropaulo podia entrar no perfil de outro cliente e alterar as informações de contato (o telefone e o e-mail do titular) e da fatura (o endereço de entrega, a data de vencimento e a forma de pagamento).
Era possível ainda ver as faturas dos últimos 13 meses, relatar uma pane elétrica e solicitar a interrupção do fornecimento de energia do cliente invadido.

Yuri Gonzaga/Folhapress
O estudante Carlos Eduardo Santiago, 20, que descobriu a falha de segurança no site da AES Eletropaulo
O estudante Carlos Eduardo Santiago, 20, que descobriu a falha de segurança no site da AES Eletropaulo

A falha ocorria devido a um link desprotegido no site da Eletropaulo (aeseletropaulo.com.br ). Uma alteração no link permitia a invasão de outras contas --para evitar a brecha, esse endereço eletrônico deveria ter sido blindado, impedindo alterações.
Para o estudante que encontrou a falha, a companhia foi negligente. "É um erro primário, e eles [desenvolvedores do site] sabem que o erro existe", diz Carlos Eduardo Santiago. "Sei como esses sites funcionam, mas qualquer um poderia ter descoberto [a falha], até por engano."
"A Eletropaulo presta um serviço público, e isso é o que me deixa mais indignado. Como vou saber se alguém viu meus dados?"
"CASO INÉDITO"
Concessionária de energia elétrica da capital paulista e de mais 23 municípios da região metropolitana, a Eletropaulo diz que o caso é o primeiro problema de segurança do site da companhia.
"Nós não sabíamos desse caso específico e, assim que tomamos conhecimento, agimos rapidamente", diz Gustavo Pimenta, vice-presidente de uma divisão de tecnologia da AES Brasil, que controla a Eletropaulo. "É claro que não é uma situação desejável. É como se o cliente visse a conta de luz do vizinho."
A assessoria de imprensa da companhia disse que um novo site deve ser lançado por volta do mês de novembro. Na segunda (3), a companhia anunciou o investimento de R$ 90 milhões em melhorias no atendimento telefônico.
Sandro Suffert, diretor de tecnologia da empresa Apura Cibersegurança, diz que esse tipo de falha é recorrente.
"Esse problema é uma questão de consciência de quem desenvolve o site. É um erro crítico, mas comum."
O especialista em segurança digital diz que a falha abre espaço para ataques cibernéticos, mas que poderia ser sanada facilmente.
"Isso seria evitado se houvesse controle mais rígido na autenticação do site, por meio dos chamados 'cookies', por exemplo. Seria preciso mais cuidado na criação do serviço, algo que, por tomar mais tempo, custaria mais."
Segundo Suffert, para que a brecha tivesse sido evitada, seria preciso investimento extra de "no máximo" R$ 10 mil.

fonte: http://www1.folha.uol.com.br/tec/1149155-falha-no-site-da-eletropaulo-expoe-dados-de-64-milhoes.shtml

Wednesday, September 5, 2012

Veja se seus Apples IDs estão nas mãos dos hackers


O grupo hacker AntiSec divulgou, na manhã de terça-feira, que conseguiu roubar, do FBI, identificações de aparelhos e dados pessoais de 12 milhões de usuários de produtos da Apple. Para comprovar que tem mesmo as informações, os hackers publicaram dados de cerca de 1 milhão de usuários. Se você tem um iPhone, iPad ou iPod touch, veja como verificar se seus dados estão nessa amostra.
O site The Next Web desenvolveu uma ferramenta online para essa verificação. Para usá-la, o primeiro passo é descobrir o UDID, o código que identifica o dispositivo. Conecte o iPhone, iPad ou iPod touch ao computador por meio do cabo USB. Abra o iTunes. O dispositivo conectado deve aparecer na coluna esquerda. Clique nele.
No painel principal do iTunes, clique sobre a expressão “Número de série”. O UDID vai ser exibido nesse local. Copie-o teclando Ctrl+C (no Windows) ou Command+C (no Mac). Depois, é só ir até o site The Next Web e colar parte da sequência de caracteres no campo onde está escrito “Paste your UDID here” (tecle Ctrl+V ou Command+V). Basta, então, clicar em Check e ver o resultado no quadro verde.
Os hackers do AntiSec não disseram se obtiveram também as senhas dos usuários. É possível que não. Mesmo assim, se você estiver entre as pessoas que tiveram seus dados publicados, convém, por precaução, trocar a senha do iTunes. Infelizmente, não há como saber se seu nome está entre os 11 milhões de outros que o AntiSec supostamente possui e não divulgou. 

Tuesday, September 4, 2012

Grupo hacker divulga dados de 1 milhão de usuários da Apple


O grupo hacker AntiSec publicou o que parece ser de cerca de 1 milhão de números de identificador de dispositivo exclusivos (UDIDs) da Apple, os quais ele alega ter acessado no início deste ano a partir de um computador de um agente do FBI.
O grupo, que é parte da operação do coletivo Anonymous, afirma ter coletado mais de 12 milhões de UDIDs e dados pessoais do computador do FBI e disse, ainda, que decidiu publicar uma parte dos registros para provar que os possui.
Em uma nota excepcionalmente longa publicada no site de armazenamento Pastebin, um membro do AntiSec disse que o grupo coletou alguns dados pessoais, como nome completo e números de celulares a partir dos dados publicados. Mas em vez disso, o grupo disse que publicou informações como tipo de dispositivo, ID do dispositivo e tonkens do serviço de notificação da Apple (Apple Push Notification Sevice) para que usuários pudessem determinar se seus dispositivos estão na lista.
Não foi possível verificar imediatamente a autenticidade das informações dadas pelo AntiSec sobre os dados. A porta-voz do FBI, Jennifer Shearer, disse que a agência não tem qualquer comentário oficial sobre o ocorrido. O consultor sênior de tecnologia da Sophos, Graham Cluley, disse que não há como saber ainda se os hackers estão dizendo a verdade. "Nós não temos nenhum jeito de confirmar a origem dos dados, ou o que mais poderia ter sido invadido, mas parece que os arquivos contêm ao menos alguns UDIDs originais", disse Cluley, via e-mail.
"É grande coisa? Bem, se os dados foram roubados de um computador do FBI então serão feitas perguntas sobre o que o FBI estava fazendo com essas informações, em primeiro lugar, bem como por que não estavam mais protegidas", disse ele. "No momento, parece que os hackers estão mais interessados em embaraçar o FBI e causar um mal entendido do que colocar os usuários inocentes em risco."
UDIDs da Apple são um conjunto de caracteres alfanuméricos utilizados para identificar um iPhone ou iPad. Os números são projetados para permitir que desenvolvedores de aplicativos saibam quantos usuários baixaram a sua aplicação e para reunir outras informações para análise de dados.
Em sua mensagem no Pastebin, AntiSec disse ter obtido os números de um laptop Dell Vostro que supostamente pertence a um agente especial do FBI chamado Christopher Stangl da Equipe de Ação Regional de Cyber do FBI em Nova York.
O computador foi violado usando a "vulnerabilidade AtomicReferenceArray do Java", sengundo o post. "Alguns arquivos foram baixados de sua pasta Desktop. Uma delas com o nome de NCFTA_iOS_devices_intel.csv, era uma lista de 12.367.232 dispositivos Apple iOS, incluindo identificadores de dispositivos únicos (UDID), nomes de usuário, nome de tipo de aparelho, de equipamento, forçar a Apple fichas de notificação de serviço, códigos postais, números de telefone celular, endereço, etc."
"Os campos de detalhes pessoais referentes a pessoas aparecem, muitas vezes, em branco, tornando a lista incompleta", disse o post. "Nenhum outro arquivo na pasta faz menção sobre essa lista ou seu propósito."
De acordo com AntiSec, a razão pela qual decidiu publicar os dados era expor o rastreamento de informações feito pelo FBI. "Bem, aprendemos que ninguém presta atenção se você disser 'ei, o FBI está usando seus dados de dispositivos e informação e sabe lá que diabos eles estão experimentando com isso'. Bem, desculpe, mas ninguém vai se importar. O FBI, como de costume, negará ou ignorará esse detalhe desconfortável e todo mundo vai esquecer a coisa toda em uma velocidade incrível."

Saturday, September 1, 2012

Mãe usa conta falsa no Facebook para expor pedófilo para sua filha


Uma mãe residente da cidade de Sedro-Woolley, em Washington, nos Estados Unidos, criou conta falsa no Facebook e no e-mail do Yahoo para convencer a sua filha a não namorar um jovem registrado como agressor sexual.



De acordo com uma reportagem realizada pela rede afiliada da Fox em Seattle, a KCPQ-TV, Julie Myfors ficou preocupada quando soube que sua filha estava saindo com William Elms, de 19 anos, que foi registrado como criminoso sexual em julho deste ano. Myfors contatou a polícia imediatamente depois que recebeu fotos abusivas em que ele agia como um menor.

A filha encontrou o garoto algumas vezes, quando ia visitar o seu pai na cidade de Sedro-Woolley. Como ela não escutava sua mãe, Myfors teve de agir por conta própria e criou uma conta no Facebook e no Yahoo depois de ter conhecido uma garota que era amiga de Elms. Chamada de “Ashley Lynn Brooks” e com uma idade falsa de 15 anos, o garoto aceitou a solicitação de amizade e começou a conversar com ela pela rede social.

As conversas, porém, rapidamente se tornaram “sujas, violentas e nojentas”, até que Elms enviou uma foto de seu órgão sexual para Myfors. Além disso, o jovem convidou a sua amiga virtual Brooks para acampar com ele e, caso alguém perguntasse sua idade, ela deveria responder que tinha 16 anos.
Myfors levou toda a conversa e dados para a polícia, e o garoto foi preso em 18 de agosto, pouco tempo depois de ter saído da prisão por violação de liberdade condicional.

De acordo com uma reportagem local, Elms estava sob supervisão do estado por envolvimento em um caso de abuso infantil. Agora, ele aguarda julgamento preso sob fiança de US$ 25 mil, cerca de R$ 50 mil na cotação atual do dólar.



fonte: http://www.dailydot.com/news/mom-facebook-sting-daughter-boyfriend/