SEGURANÇA NACIONAL SNB BRASIL

sexta-feira, 26 de julho de 2013

Com laptop, especialistas ‘hackeiam’ e assumem controle de carros

Dois especialistas em segurança nos Estados Unidos mostraram que é possível assumir o controle de um carro em movimento usando um laptop, alertando para uma nova modalidade de crime que pode estar prestes a se tornar uma realidade nas ruas.
Com cabos, Charlie Miller e Chris Valasek conectaram computadores às unidades de controle eletrônico de dois modelos de carros, o Ford Escape 2010 e o Toyota Prius. A conexão ocorreu através do sistema de autodiagnóstico ─ utilizado por mecânicos para identificar falhas.Encontrados na maioria dos veículos modernos, as unidades de controle eletrônico, ou ECU na sigla em inglês, fazem parte da rede informatizada que controla a maioria das funções de um carro, incluindo a aceleração, a frenagem, a direção, o monitor e a buzina.
Por meio de um software no laptop, Miller e Valasek enviaram instruções para o carro e conseguiram alterar os comandos do motorista, chegando a transferi-los para o controle de um videogame Nintendo.
Eles se filmaram sentados na parte de trás de um dos veículos movendo a direção para a esquerda e para a direita, ativando os freios e alterando o medidor de combustível, enquanto o carro estava aparentemente sob controle do motorista e em movimento.

Conscientização

O estudo foi financiado pelo Darpa, o centro de pesquisa do Departamento de Defesa dos Estados Unidos, e provocou reações negativas dos fabricantes.
Com a experiência, Charlie Miller e Chris Valasek esperam aumentar a conscientização sobre a possibilidade de que carros sejam hackeados, em um momento em que aumenta o uso de sistemas informatizados nos veículos.
"Há pessoas que estão cientes do problema, há outras que não acreditam que seja algo importante e há aqueles que dizem essa possibilidade é uma questão já conhecida. Mas, no momento, não há muitas informações disponíveis sobre o assunto ", disse Miller, que trabalha como engenheiro de segurança."Gostaríamos muito que todos tivessem uma discussão sobre isso, e que os fabricantes ouvissem e melhorassem a segurança de se seus carros."
Um porta-voz da Toyota disse à BBC que, visto que o laptop teve que ser conectado fisicamente ao veículo, ele não considera isso "hacking".
"Alterar o controle só pode ser feito quando o dispositivo está conectado ao carro. Após ser desconectado, as funções do carro voltam ao normal", disse ele.
"Nós não consideramos que seja 'hacking', no sentido de criar um comportamento inesperado, porque o dispositivo deve ser conectado ─ ou seja, o sistema de controle do carro foi alterado fisicamente. A presença de um laptop ou outro dispositivo portátil ligado à OBD (sigla em inglês para o sistema de autodiagnóstico) seria aparente".
A Ford também destacou que o experimento apresentou um tipo de ataque específico, "agressivo", e que a empresa leva a sério a questão da segurança dos sistemas eletrônicos de seus veículos.
"Este ataque em particular não foi feito de forma remota, pelo ar, mas por meio de um manipulação física altamente agressiva de um veículo durante um longo período de tempo, o que não representaria um risco em massa aos consumidores", disse a Ford em um comunicado.
"A segurança, privacidade e segurança de nossos consumidores é sempre será prioridade."

'Assustador'

Alan Woodward, especialista em segurança e diretor de tecnologia da consultoria Charteris, disse que o hacking de carros não tem sido amplamente discutido porque ainda não houve nenhum incidente criminoso do tipo.
"Eu acho que (o 'hacking') é uma das coisas mais assustadoras que existem por aí. O hacking de carros e de dispositivos médicos são duas coisas sobre as quais ninguém fala", disse Woodward.
"Se você já ouviu falar em ransomware, imagine isso acontecendo dentro de um carro. Não vai demorar muito tempo para criminosos se utilizarem dessa técnica."
Ransomware (de ransom, "resgate" em inglês) é um vírus de computador que congela o computador da vítima, ou ameaça divulgar publicamente arquivos pessoais, a menos que um pagamento de um resgate seja feito.
No entanto, tanto os pesquisadores quanto Woodward concordam que hackear um carro não é tarefa fácil.
"Este é um ataque muito técnico, que exige uma grande quantidade de conhecimento técnico", concluiu Woodward.
BBC BRASIL..SNB

Novas Sub ataque russo ter sensores avançados

RIA Novosti) - projeto mais recente da Rússia 885m Yasen classe submarino de ataque terá um sistema de sonar avançado que lhe permite detectar navios inimigos, numa fase inicial, o departamento de engenharia do submarino, disse na sexta-feira.
O Novosibirsk, a terceira de oito barcos da classe Yasen (designados Graney classe pela NATO), deve ser previsto no estaleiro Sevmash perto do Mar Branco na sexta-feira.
O designer do barco, a empresa Malakhit Marine Engineering Bureau, disse antes da cerimônia que o novo Yasen-M será ter um design avançado que iria aumentar significativamente a sua capacidade de detectar navios inimigos em velocidades velocidade muito maior do que as de seus antecessores.
A sua secção curva será "acusticamente limpo" e será inteiramente dedicado aos sistemas de sonar de alojamento, com os sistemas de torpedo deslocadas para uma outra parte do barco, de acordo com a empresa.
De modo a reduzir o ruído e aumentar a sua capacidade furtiva, sistemas de defesa novo poder acústico fornecimento e têm sido desenvolvidos para o barco, Malakhit disse.
Além dos tubos de torpedos, a classe Yasen será armado com um sistema de mísseis multirole incluindo um lançador vertical para mísseis de cruzeiro. Ambos os tubos de mísseis de torpedo e poderia ser usada "para uma variedade de armas sem serem especialmente reequipado," a companhia.
Sevmash planeja entregar o Severodvinsk , o primeiro barco ataque nuclear classe Yasen, até o final deste ano.
Armamento do submarino irá incluir 3M55 Oniks (SS-N-26) e 3M54 (SS-N-27), mísseis de cruzeiro e torpedos Kalibr convencional, lança-torpedos e minas, de acordo com Malakhit.
O segundo navio 885m do projeto, o Kazan, foi estabelecido em 2009 e já está em construção no estaleiro Sevmash de Severodvinsk.
SNB

Centro Espacial Russa Obtém próprio Priest

RIA Novosti) - Um sacerdote ortodoxo russo foi atribuído a uma unidade de defesa aeroespacial estacionado em um centro espacial no norte da Rússia, o Patriarcado de Moscou nesta sexta-feira.
Arcipreste Emke Artemy será responsável pelo trabalho religioso com o pessoal da unidade como vice-comandante em questões religiosas no centro espacial de Plesetsk, disse um representante da igreja.
"Qualquer unidade militar deve ter um padre para ajudar os crentes, entre soldados e oficiais, de acordo com a Constituição russa, a seguir suas crenças religiosas, tomar o sacramento e participar na vida da Igreja Ortodoxa", disse Sergei Privalov, chefe de Departamento da Igreja Ortodoxa Russa para a cooperação com os militares, policiais e serviços de segurança.
"O trabalho de um padre no serviço militar visa prevenir trotes e suicídios, e destina-se a cultivar altos padrões morais e patrióticos entre o pessoal", Privalov acrescentou.
Ele expressou a esperança de que a nomeação de 240 sacerdotes de quatro grandes religiões (cristianismo ortodoxo, Islamismo, Judaísmo e Budismo) como vice-comandantes das unidades militares seria concluída no futuro próximo.
De acordo com Privalov, 77 sacerdotes, incluindo 74 Ortodoxa, dois muçulmanos e um budista foram designados para as unidades militares até agora.
Em julho de 2009, depois de uma reunião com os chefes das principais religiões da Rússia, o então presidente Dmitry Medvedev apoiou um projeto para restaurar o sacerdócio militar em larga escala, que já existia desde o século 18 até o início da era soviética.
De acordo com o Ministério da Defesa russo, dois terços do pessoal das forças armadas do país se consideram religiosos. Cerca de 83 por cento deles são cristãos ortodoxos, cerca de 8 por cento são muçulmanos, e 9 por cento representam outras confissões.
SNB

Conheça os projetos estratégicos do Exército Brasileiro

SNB

ALERTA CONTRA ATAQUES CIBERNÉTICOS

Os ataques cibernéticos são cada vez mais notícia. A probabilidade de que mais uma empresa, de qualquer lugar do mundo, ainda esta semana, anuncie aos clientes e usuários que o sistema foi violado e seus dados estão comprometidos é enorme. Os ataques possuem diversos objetivos, que vão de fraudes e espionagem econômica à destruição de informações. Independentemente das razões, os ataques virtuais estão aparecendo cada vez mais nas manchetes.

Segundo pesquisa da F-Secure, o Brasil é uma das principais fontes de ataques cibernéticos do mundo. No primeiro trimestre de 2013, o país liderou com o vírus Confiquer, sendo responsável por 26% do total. Em segundo lugar ficaram os Emirados Árabes Unidos. Em terceiro, a França, com 11%. A análise comprova que os hackers brasileiros ou os que escolheram o país como alvo estão cada vez mais perigosos. Mas a grande questão na verdade é: as empresas estão atentas aos riscos virtuais?

Pesquisa realizada no final de 2012 sobre os riscos cibernéticos, patrocinada pela American International Group (AIG), demonstra que os grandes executivos enxergam tal perigo como uma das principais preocupações empresariais, com grande potencial de perdas, seja no âmbito financeiro ou na reputação da companhia.

Mais de 85% dos 258 tomadores de decisões pesquisados disseram que estavam muito preocupados ou, pelo menos, cautelosos com o problema, em comparação com a resposta do grupo para seis outras áreas de risco, incluindo a perda de renda (82% dos executivos estavam muito ou pelo menos um pouco cautelosos), danos à propriedade (80%), e títulos e investimentos de risco (76%).

As informações eletrônicas de uma empresa podem ficar expostas por diversos fatores, seja por erro humano, quando os funcionários se descuidam com os dados confidenciais, ou por causa de hackers, que tentam desestabilizar as operações das companhias com um nível de proteção menor que o adequado. A internet, por ser uma rede mundial de computadores, tornou os riscos cibernéticos um problema global. O anonimato é algo utilizado por muitos usuários, que podem estar a quilômetros de distância dos alvos.

O conceito mais conhecido quando se fala em dados confidenciais é o de informações de transações relacionadas com os clientes (por exemplo, de cartão de crédito) ou médicas (prontuários). Mas mesmo que a companhia use pouco a internet, pode ser alvo de ataques. É o caso de dados dos empregados, como nome, endereço e números dos documentos de identificação, altamente cobiçados pelos hackers.

Os invasores também estão à procura de dados de inteligência da concorrência, tais como as intenções de uma companhia de fazer uma aquisição, desenho de produtos novos e principalmente patentes. Essa violação virou um negócio próprio para os hackers, no qual as informações confidenciais roubadas são comercializadas diariamente. Além disso, esses ladrões também são notórios pela habilidade em atender os clientes, oferecendo inclusive garantias de reembolso para informações roubadas.

Para que esse problema no panorama cibernético seja minimizado, as empresas precisam avaliar riscos, necessidades e orçamentos, e desenvolver estratégia de gestão e de resposta. Além disso, é fundamental que os funcionários sejam envolvidos no processo, pois eles precisam saber como agir em casos de ataques virtuais.

Outro fator que as companhias precisam levar em conta é em relação à área de tecnologia da informação (TI). É importante que esse setor seja sólido e seguro, visto que é o principal meio de defesa da empresa. A responsabilidade cibernética precisa fazer parte dos planos. Um pacote de seguros cibernéticos ajuda uma companhia a enfrentar a violação de seu sistema, a arcar com os custos de notificação, relações públicas e outros serviços que contribuam para mitigar o incidente.

Em uma economia global, as empresas multinacionais devem cumprir com as regulações locais, ainda que suas sedes estejam situadas em outros lugares. Podem abordar adequadamente as questões de regulamentação, as jurídicas, dos investidores e dos auditores quando o controle de riscos cibernéticos tem uma abordagem hierárquica, no qual o conselho administrativo reúne um grupo multidisciplinar que estabelece uma estratégia de melhores práticas e mantém o domínio.

Independentemente do setor em que atuem, as companhias precisam prestar mais atenção nos ataques cibernéticos. As empresas capazes de planejar com antecedência, de determinar como vão reagir, estarão em melhores condições para proteger seus negócios, se preparar e evitar ataques. É impossível eliminar as ameaças; então, saber como enfrentá-las e proteger a reputação, sem prejudicar a inovação e o crescimento dos negócios, deve ser prioridade. E isso começa prestando-se atenção à rápida mudança do panorama dos ataques cibernéticos.

Javier A. Mercado
Vice-presidente de Linhas Financeiras da American International Group, Inc. (AIG)
para América Latina e Caribe

SNB

Google pensa duas vezes antes de instalar datacenters no Brasil

O Marco Civil da Internet, iniciativa legislativa datada de 2009 que visa regulamentar o uso da web no Brasil, tem sido bem visto por Fábio Coelho, presidente da sede brasileira da Google. Mas em conversa nessa terça-feira (23) com Paulo Bernardo, nosso ministro das Comunicações, um ponto de tensão acabou sendo levantado. Em referência à instalação de datacenters pelas terras tupiniquins, Bernardo disse que “essa parte da conversa foi um pouco mais seca”.
O que deixou nosso político encucado foi o fato de que a Google é a segunda empresa em receita publicitária no Brasil – o que, a princípio, mostra o quão receptivo o país é às tais instalações. O ministro, que acha “difícil acreditar” na negação destes possíveis gastos, comentou que Fábio está preocupado não necessariamente com o mercado em si. “Não é só questão financeira, mas de arquitetura da rede”, observou o executivo da Google.

Contudo, e ainda sobre o projeto Marco Civil da Internet, o ministro disse que uma votação deve ser, em breve, feita. “A situação mudou, e há melhores condições para a votação. Por isso, sugerimos à Casa Civil e à Secretaria de Relações Institucionais que o governo peça urgência constitucional ao projeto”, afirmou Bernardo.

Por que ela não usa seus balões?

Lembra-se do projeto “Loon”, uma iniciativa da Google que pretende distribuir internet por todo o globo por meio de balões (clique aqui)? Pois esse foi, também, um dos assuntos tratados por Paulo Bernardo. “Eles [a Google] têm balões que podem prover internet na Amazônia.Tanto com balões fixos como com os que voam a mais de 30 km de altitude”.

Fábio Coelho replicou, dizendo que Bernardo deveria visitar a empresa nos Estados Unidos para dizer isso pessoalmente a seus chefes. Ao final da reunião, o presidente da Google não respondeu às perguntas feitas por jornalistas. Ele apenas manifestou apoio ao Marco Civil da Internet e reiterou o convite feito ao nosso ministro.

SNB

Hacker Cosmo explica as ferramentas que usava para invadir sites e roubar dados

O hacker conhecido como “Cosmo the God” (Cosmo, o Deus, em uma tradução livre) se tornou conhecido por ser a principal mente por trás do grupo UGNazi. Com somente 15 anos de idade, o jovem usou diversas táticas de engenharia social para conseguir dados que permitiram realizar invasões a companhias como a Amazon, Apple, AT&T, PayPal, AOL, Netflix, Network Solutions e Microsoft, entre outras.
O UGNazi se tornou conhecido por ter feito alguns dos principais ataques DDoS de 2012, cujos alvos principais foram sites pertencentes a instituições financeiras e órgãos do governo norte-americano. Entre suas vítimas estiveram a NASDAQ, a CIA e o popular site 4Chan, que teve seu tráfego desviado durante alguns minutos para a conta do Twitter pertencente aos hackers.
Em maio deste ano, Cosmo usou suas técnicas para invadir uma agência de cobranças, o que lhe garantiu acesso a 500 mil números de cartões de crédito. Para completar, ele usou seu conhecimento para invadir contas de sites como o Best Buy, Buy.com, Live.com (que engloba o Hotmail, Outlook e a Xbox LIVE), entre outros.
O jovem foi preso em junho de 2012 junto com dezenas de outras pessoas acusadas de participarem de atividades criminosas. Em entrevista à Wired, ele afirma que sequer tem certeza de quais acusações existem contra ele, pois perdeu a conta de quantos ataques ele realizou durante o tempo que passou no UGNazi.

Humanos: o elo fraco de qualquer sistema

Cosmo revela que a principal ferramenta que ele usava para conseguir invadir algum site eram suas habilidades sociais. Em vez de recorrer a keyloggers ou outros softwares especializados em espionagem digital, muitas vezes bastava realizar algumas procuras em sistemas de buscas e algumas ligações para obter as senhas que garantiam acesso irrestrito a algum serviço.
Para redirecionar o tráfego do 4Chan, por exemplo, tudo que ele precisava era das informações pertencentes a Matthew Prince, CEO do CloudFlare (companhia responsável por fornecer o DNS do site). Após obter o número do seguro social do executivo, o hacker ligou para a AT&T e usou essa informação para recuperar a senha que Prince usava em sua conta no Gmail — feito isso, ele obteve acesso a todas as informações de que precisava para realizar o ataque.
Hacker Cosmo explica as ferramentas que usava para invadir sites e roubar dados (Fonte da imagem: Reprodução/Wired)
Segundo Cosmo, a maior arma para um hacker descobrir as informações de que precisa é mostrar confiança e conhecimento sobre um sistema ou alguma pessoa. Muitas vezes, ele se passava por um membro de uma empresa como forma de obter logins e senhas que deveriam permanecer confidenciais, algo que se mostrava algo extremamente fácil de ser feito.
“Você pode invadir praticamente qualquer companhia se disfarçando como um agente dela”, disse ele enquanto exibia um sorriso de orgulho em seu rosto. “A maioria das pessoas vai cair nesse truque a não ser que tenham sido treinadas para não fazer isso. Mas a maioria das empresas não faz isso”, complementa o jovem.
Segundo o hacker, muitas vezes o processo de invasão exigia realizar diversos contatos, porém os obstáculos nunca se mostravam realmente difíceis de serem superados. Para conferir mais detalhes da história de Cosmo e saber os erros que levaram ele a ser preso, confira o artigo completo no site da Wired (em inglês).
Fonte: Wired

SNB