CRK Portugal

Uma vulnerabilidade séria no Apache HTTP Web Server, que permite ao atacante obter acesso remoto do servidor e um controle total de bases de dados, foi descoberta por Brett Gervasoni, investigador e consultor da Sense of Security Labs.

O erro está localizado no módulo do Apache “mod_isapi” e pode ser explorado para dar acesso e privilégios de sistema (System) ao atacante, o que significa que os dados podem ser manipulados, suprimidos ou roubados.

A ZDNet Austrália, demonstra que a solução para o problema é simples – o utilizador só precisa de fazer upgrade para a versão mais recente do software (2.2.15). É recomendado que todos os utilizadores façam o mais rapidamente possível, uma vez que é difícil dizer se eles foram afectados.

Jason Edelstein, o porta-voz da Sense of Security, diz que para este bug ser explorado, o atacante tem que saber escrever um “pedaço de código de alto nível”, tornando assim menos provável – mas não impossível – a possibilidade de que tal ataque já tenha sido explorado.

“Enquanto no passado era mais evidente que os atacantes apenas desfigurassem web sites, eles estão agora mais preocupados em esconder a sua invasão bem sucedida para futuro acesso”, disse ele.

Fonte: net-security

Hacking, Informaçao, Novidades, Segurança, Software Apache, Brett Gervasoni, Exploit, Jason Edelstein, Sense of Security, Vulnerabilidade

O dia 4 de Maio será o próximo “Dia Mundial” contra os sistemas de protecção anticópia, mais conhecidos como DRM (Digital Right Management).

O anúncio foi feito ontem pela Free Software Foundation (FSF), que, com a iniciativa, pretende alertar a opinião pública para as implicações das restrições do DRM, e apresentar publicamente o seu protesto contra o uso desta tecnologia.

As tecnologias de protecção à cópia “atacam a liberdade a dois níveis”: ao restringir a utilização dos conteúdos adquiridos e ao “forçar” o utilizador a usar software proprietário, afirma o presidente da Fundação para o Software Livre, Richard Stallman. “Quando as empresas se organizam para desenvolver produtos que nos restringem, nós temos de nos organizar para combatê-las”, justifica.

Num comunicado online, a FSF alega ainda que muitas das tecnologias de DRM monitorizam as actividades dos utilizadores e reportam-nas às empresas que impõem o seu uso.

A iniciativa marcada para o mês de Maio propõe uma acção a nível global, envolvendo organizações de interesse público, sites e particulares, num esforço conjunto para consciencializar o público para “os perigos das tecnologias que restringem o acesso dos utilizadores a filmes, música, literatura e software”, lê-se no comunicado da organização.

O primeiro Dia Contra o DRM aconteceu em Outubro de 2006 e contou com mais de 200 iniciativas, milhares de emails de protesto e distribuição de cerca de 150 mil autocolantes, para além de várias acções à escala local – incluindo a do grupo de activistas franceses “StopDRM” que se entregaram numa esquadra de Paris em protesto contra a forma escolhida pelo país para transposição da directiva europeia sobre “Direitos de Autor e Direitos Conexos na Sociedade de Informação”.

Fonte: Sapo Tek

Informaçao, Novidades, Tecnologia DRM, Free Software Foundation, FSF

Um grupo de empresas de tecnologia criou uma associação com vista a controlar quando é que o público deve ser avisado de falhas de segurança no seu software que poderão, eventualmente, colocar os computadores em risco de serem atacados por cibercriminosos, informou a agência Reuters.

Designada de Organization for Internet Security (OIS) esta aliança tem como objectivo estabelecer regras para a divulgação de vulnerabilidades de segurança e “assegurar que as empresas de segurança e as produtoras de software, bem como os investigadores em segurança, possam proteger mais eficazmente os utilizadores da Internet”, de acordo com um comunicado citado por aquela agência de notícias.

Esta aliança partiu de uma ideia da Microsoft apresentada publicamente no início de Novembro de 2001. Para além da gigante de software, outros membros fundadores do OIS identificados no comunicado do grupo foram a IBM, Oracle, Hewlett-Packard, Sun, Compaq, Silicon Graphics, Cisco, Symantec, Network Associates, Internet Security Systems, BindView, Foundstone, Guardent e @Stake. Segundo a Reuters, o grupo reuniu-se na RSA Conference – um evento organizado pela companhia de segurança informática RSA, em San José, Califórnia, na semana passada.

Para além da aliança, será ainda formado um conselho consultivo constituído na sua grande maioria por gestores de rede “que podem oferecer uma perspectiva única sobre as necessidades dos utilizadores informáticos e dos fornecedores de infra-estrutura de rede”, tal como referiu o comunicado.

A Microsoft, cujo software está na origem de maior parte dos bugs de segurança e vírus, criticou os investigadores de segurança por estes não darem tempo suficiente às produtoras de software antes de avisarem o público sobre vulnerabilidades nos seus produtos.

Por seu lado, os especialistas em segurança informática têm vindo a argumentar que a Microsoft levou demasiado tempo a reconhecer certos problemas e a resolvê-los, deixando os computadores vulneráveis a ataques durante esse período. Na sua opinião, ao divulgarem a informação, o seu objectivo é levar as produtoras de software a agir e a dar aos utilizadores uma oportunidade para resolver a situação antes de um cracker – hacker com intenções destrutivas e maliciosas – possa tirar vantagem do buraco de segurança.

Neste mesmo âmbito, na quarta-feira passada – dia 20 de Fevereiro -, foi anunciada uma proposta entregue à Internet Enginering Task Force por investigadores da MITRE e da @Stake que recomendava que fosse dado às produtos de software um prazo de 10 dias para responder a relatos de vulnerabilidades e de 30 dias para solucioná-las, antes que essa informação fosse tornada pública, informou ainda a agência noticiosa.

Segundo Chris Wysopal, director de investigação e desenvolvimento da @Stake e co-autor da proposta, citado pela Reuters, no caso das produtoras de software que possuem diferentes versões dos seus produtos destinadas a múltiplas plataformas, programar e testar códigos de correcção leva tempo: “Quase que não podem fazer nadas em menos de um mês.”

Este problema esteve recentemente em destaque quando Gary McGraw, director tecnológico da Cigital, revelou o que considerou ser limitações numa nova funcionalidade de segurança do novo software de programação da Microsoft para a sua plataforma de serviços Web .NET. McGraw divulgou publicamente as suas críticas na semana passada, no mesmo dia em que o produto foi lançado.

Quando a Microsoft argumentou que McGraw não se tinha dirigido primeiro a si, este afirmou que os utilizadores não foram prejudicados pela revelação de dados e que ainda não tinham sido desenvolvidos quaisquer programas vulneráveis. Noutras alturas, quando os programas estão já disponíveis no mercado, os investigadores avisam os utilizadores acerca da vulnerabilidade e por vezes lançam software de forma a ajudá-los a testar os seus sistemas para ver se estão afectados por essa falha.

A Microsoft e outras empresas queixaram-se de que a divulgação demasiado rápida de falhas poderia gerar ataques ao avisar crackers da vulnerabilidade potencial e, em alguns casos, oferecendo-lhes uma ferramenta útil para explorá-la. O surgimento desta aliança acontece numa altura em que a Microsoft está a tentar aumentar a sua imagem de segurança. A companhia tornou a iniciativa “Trustworthy Computing” uma peça essencial da sua estratégia em Janeiro, ao afirmar que vai tornar a segurança na principal funcionalidade dos seus produtos de software.

Fonte: Sapo Tek

Informaçao, Novidades, Segurança, Software, Tecnologia Cisco, Hewlett-Packard, IBM, Internet Security Systems, Microsoft, Network Associates, OIS, Oracle, Sun

O site Torrents.ru, um dos maiores sites de torrents da Rússia, que conta com mais de 4 milhões de usuários, encontrou impedimentos legais para o seu funcionamento nesta semana.

De acordo com o site TorrentFreak, o RU-Center, maior registo de domínios e provedor de hospedagem russo, desactivou o domínio torrents.ru, seguindo ordens da Divisão Investigadora de um escritório de Moscovo.

Os responsáveis pelo site, entretanto, não se deixaram abalar e já disponibilizam o conteúdo do antigo domínio em um endereço alternativo, rutracker.org. O novo domínio, entretanto, não resolve problemas com os trackers do antigo site, mas ao menos oferece aos usuários a possibilidade de fazer o download do torrent novamente.

Fonte: Yahoo!

Informaçao, Novidades, Software RUTracker.org, Torrents.ru

A Microsoft garante já ter iniciado uma investigação do problema, e afirma que a privacidade dos seus usuários é prioridade.

A Microsoft confirmou recentemente a veracidade de alguns relatos de ‘trocas’ acidentais de caixas de entrada do Hotmail quando acessado por plataformas móveis. No entanto, a empresa frisa que o número de ocorrências foi pequeno e que as devidas providências já foram tomadas.

De acordo com o site Ars Technica , os usuários eram apresentados a uma caixa de entrada alheia ao tentar fazer login por um dispositivo mobile e ao realizar diversas tentativas de acesso, eram apresentados a diferentes emails. Em comunicado, a Microsoft garantiu que “leva a sério a privacidade dos usuários” e que assim que soube dos incidentes, iniciou uma investigação sobre o problema.

Para o site The Next Web , talvez o problema não seja totalmente culpa da Microsoft, já que a falha pode ter ocorrido com os cookies de autenticação utilizados pela operadora dos dispositivos móveis. Segundo o site Dark Reading , houve também uma falha do serviço do Windows Live ID em horário semelhante aos problemas com o acesso ao Hotmail, mas ainda não se sabe se os incidentes estão relacionados.

Fonte: Yahoo!

Informaçao, Novidades, Segurança Hotmail, Microsoft