Cibercriminalidade em segundo lugar nos crimes com mais inquéritos em Lisboa

Os números fazem parte do relatório da comarca de Lisboa para o ano de 2015 que foi divulgado online e mostra a prevalência do cibercrime e das atividades relacionadas com crimes informáticos entre a atividade criminal investigada na região.”

cibercriminalidade

In http://tek.sapo.pt/noticias/computadores/artigo/cibercrime_em_segundo_lugar_na_investigacao_do_ministerio_publico_em_lisboa-46235xzo.html

7 Tips for Protecting Your Site From WordPress Plugin Vulnerabilities

  • Regularly install WordPress core updates and plugin updates to ensure you are running code having all the latest security patches.
  • Use a modern and updated WordPress theme. Older themes often have embedded plugins that haven’t been patched and can present vulnerabilities.
  • When researching the use of any plugin, check the date it was last updated and its WordPress version compatibility. Avoid older plugins, as those haven’t been tested with the current WordPress version.
  • When deciding between plugins having similar functionality, choose those having greater numbers of active installs and better ratings. Generally speaking, such popular plugins are regularly updated and have a lower risk factor.
  • Even inactive plugins on your WordPress site pose a security risk. Delete those that are unnecessary plugins and don’t actively use. The fewer the plugins you use, the fewer options a hacker will have.
  • No plugin is 100% safe, but the WordPress Plugin repository (https://wordpress.org/plugins/) vets each one located there before offering them to users. Only download plugins from the repository site and from third-party theme and plugin developers known to be reputable.
  • Use WPScan’s Vulnerability Database (https://wpvulndb.com/) to monitor plugins known to have vulnerabilities, as well as to learn when they are patched.

based on https://www.incapsula.com/blog/wordpress-plugin-vulnerabilities.html

ENISA Threat Landscape 2015

“Adversaries have achieved considerable advances too. No Snowden or Heartbleed-like events have been reported. Instead, cyber-threats have undergone significant evolution and just as in 2014, significant breaches have covered front pages of media. And exactly this is an alerting fact: seemingly, cyber-threat agents have had the tranquillity and resources to implement a series of advancements in malicious practices. In particular:

  • Performing persistent attacks based on hardware, far below the “radar” of available defence tools and methods.
  • Achieving enhancements in the provision of “cyber-crime-as-a-service”, tool developments for non-experts and affiliate programmes.
  • Highly efficient development of malware weaponization and automated tools to detect and exploit vulnerabilities.
  • Campaigning with highly profitable malicious infrastructures and malware to breach data and hold end-user devices to ransom.
  • Broadening of the attack surface to include routers, firmware and internet of things.”

 

https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape/etl2015

Férias em Segurança – Segurança lógica

Se no primeiro artigo sobre o tema falei sobre segurança física, neste segundo artigo abordarei algumas das minhas sugestões no que diz respeito à segurança lógica dos vossos dados em férias.

Parte 2 – Segurança Lógica:

  • Verifiquem se o vosso sistema operativo, softwares instalados e antivírus estão atualizados antes de ir para a estrada.
  • Façam backup dos vossos dados antes de ir de férias. E não levem esse backup convosco!
  • Revejam os dados que têm nos seus aparelhos e apaguem informações desnecessárias para as férias. Se utilizam o Dropbox, Evernote ou outro serviço Cloud será que não os poderão desativar ou apagar a aplicação do telemóvel ou tablet durante o período de férias? Documentos corporativos serão mesmo necessário estar no portátil pessoal?
  • Verifiquem se têm proteção por password e bloqueio de écran por tempo de inatividade em todos os dispositivos, incluindo laptops, tablets e smartphones.
  • Os screen locks para os tablets e telemóveis poderão não ser perfeitos, mas é bem melhor tê-los ativados do que permitir o acesso imediato aos vossos gadgets. Se utilizam pattern lock considerem mudar esse método de desbloquear o aparelho para PIN ou password.
  • Considerem a instalação de software antirroubo que permita bloquear e apagar os dispositivos remotamente. Software que permita obter a sua localização poderá também ser útil (ver: Prey, F-Secure Anti-Theft, Snuko).
  • A utilização de internet nos hotéis ou hospots deve ser reduzida a navegações inócuas. Até o acesso wired em hoteis deve ser considerado hostil. Não visitem websites que necessitem de credenciais de acesso, seja a vossa banca online, e-mail, facebook, etc.
  • Cuidados ainda mais redobrados na utilização dos PCs disponibilizados nos hotéis ou nos cyber cafés. Nunca confiem em nada que vos seja apresentado nestes PCs e muito menos utilizem as vossas usb drives para guardar informação. Caso pretendam guardar alguma informação considerem criar uma conta temporária de E-mail ou no Dropbox só para este efeito.
  • Para utilização da Internet com mais segurança considerem a utilização da rede 3G nos vossos aparelhos (mas cuidado com os preços de data roaming).
  • Se têm mesmo que usar a Internet para se ligar a serviços que necessitam credenciais considerem a utilização de VPN.

Ver também:

Férias em Segurança – Segurança física

Agora que o agosto já começou e muitos estão já em férias, lembrei-me de fazer alguns alertas e recomendações que julgo serem úteis para quem leva os seus gadgets ou acede à Internet nas férias.

Parte 1 – Segurança física:

  • Pensem duas vezes sobre a real necessidade de levar todos esses dispositivos para as férias. Se não contam trabalhar porque levar o portátil da empresa? Se a probabilidade de fazer uns vídeos é muito reduzida porque levar a máquina de vídeo?
  • Coloquem uma etiqueta com alguns dados de contacto nos vossos gadgets mais caros. Caso percam a câmara de vídeo ou o portátil poderão aumentar as probabilidades da sua devolução colando uma simples etiqueta com nome e telefone.
  • Guardem e tenham acessível todos os serial numbers dos seus gadgets, uma vez que poderá ser uma forma eficaz de os identificar em caso de roubo ou dúvida sobre o seu dono.
  • Nunca deixem os gadgets à vista no carro. Coloque-os no porta-luvas ou na mala do carro, mas nunca os coloquem na mala após o estacionamento, coloquem-nos antes de chegar ao destino.
  • No hotel guardem os gadgets no cofre do quarto ou pelo menos dentro de uma mala fechada à chave ou com combinação.
  • Permaneçam conscientes e alertas sobre movimentações estranhas, bem como nas ruas, shopping e transportes movimentados. Lembrem-se que estarão em território estranho e que poderá haver ladrões em todos os locais mais turísticos.

Ver também:

Questão de segurança?

A opção de alguns sites permitirem o reset da password somente respondendo a uma pergunta predefinida, poderá facilitar o abuso desta funcionalidade por quem conheça a pessoa em causa ou tenha simplesmente acesso ao seu perfil no facebook.

Senão vejamos alguns exemplos dessas perguntas que permitem o reset imediato da password da conta:

  • Qual a tua data de nascimento?
  • Qual a tua cor favorita?
  • O nome da tua mãe?
  • O nome da tua professora primária?
  • O nome do teu animal de estimação?

Quantas destas questões não estarão respondidas nos vossos perfis do facebook ou linkedin? Certamente muitos terão lá a sua data de nascimento, a sua filiação, o seu percurso educativo e muitas outras informações pessoais que poderão servir para responder às questões standard que permitirão o reset da password.
Um caso mediático deste tipo de situações deu-se com as famosas fotos da Scarlett Johansson que circularam na Net, onde tudo começou com a resposta a uma dessas “security questions”.

Por isso é que aconselho para nunca darem respostas corretas quando se depararem com estas opções, sugerindo que essa resposta sirva como outra password forte. Porque não poderemos responder que a nossa cor favorita é ‘psi~cLoDs*mew37fiD’?

Fica aqui a ideia.

Hashes


A notícia já não é nova, mas a divulgação de quase 6,5 milhões de hashes das passwords de contas do Linkedin veio trazer novamente para as conversas técnicas a necessidade de implementação das melhores soluções no que diz respeito à salvaguardar das passwords dos utilizadores.

Mas o que é uma hash?
Uma hash pode ser caracterizada como uma impressão digital de um pedaço de dados. É uma função matemática unidirecional, não revertível, que pega num conjunto de dados e converte-o numa string de tamanho fixo. É impossível recuperar o texto/dados originais depois de convertidos, mas existem inúmeros sites com extensas base de dados de hashes e o texto que o deu origem:

Salted hashes?
Se a hash de um texto dará sempre o mesmo resultado, a solução para tornar essa hash sempre única poderá passar por adicionar-lhes um texto aleatório – o chamado salt. Este deverá ser guardado conjuntamente com a hash para se conseguir futuramente comparar o resultado da hash da password com o salt.

Um exemplo rápido:
A hash SHA-1 da string ‘changeme’ é fa9beb99e4029ad5a6615399e7bbae21356086b3 e será sempre esta.
Se adicionarmos o texto/salt ‘random’ à string ‘changeme’ (ficando ‘randomchangeme’) a hash será 7df51186f50d1bcd11df64a7db86cafc19ddddff.
Se em vez de ‘random’, o texto adicionado for ‘qqcoisa’ (ficando ‘qqcoisachangeme’) a hash já será 0e84f7268b565d884d48af9f3b38b53415c3330e.

E o que podemos aprender com a divulgação das hashes do Linkedin?
A utilização de sha1 já à muito que não é suficiente para garantir a segurança das passwords armazenadas. E mesmo que um site ainda utilize sha1 ou md5, não há razões para que essa alteração não se consiga efetuar sem interrupção no serviço e sem constrangimentos para os utilizadores. Aqui fica o meu fast and darty hack para essa migração: quando o user se validar, guardar a sua password temporariamente, passá-la pela nova solução (sha2 + salt, bcrypt, scrypt, PBKDF2, …), apagar a velha hash e somente utilizar a nova solução para autenticações futuras.
Esperemos que o Linkedin tenha aprendido a lição e que isto tenha também servido de alerta para outras empresas que ainda utilizam unsalted sha1.

Fartos do MS08-069? Venha o MS09-001!

Parece que o primeiro Microsoft Security Bulletin do ano faz referência a mais um bug “interessante”.
O MS09-001 é descrito como uma vulnerabilidade no SMB que permite execução remota de comandos em várias versões do sistema operativo Windows vulneráveis.

Mais uma vez, aconselha-se a instalação do patch ASAP e a actualização dos anti-virus, etc, etc, etc.
É mais que previsível que se começem a aproveitar de mais esta vulnerabilidade remota para fazer estragos nos sistemas Windows.

Aqui fica o link: http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx

… já começa a ser repetitivo!