Hacker demonstra que caixas eletrônicos são extremamente vulneráveis

Barnaby Jack conseguiu um jackpot na Black Hat (conferência de segurança digital) na última quarta-feira (28/07). Duas vezes. Ao explorar falhas em duas máquinas ATM (caixas eletrônicos) diferentes, o pesquisador da IOActive foi capaz de extorquir dinheiro dos aparelhos e obter dados dos cartões de créditos de clientes que a utilizaram.

O hacker demonstrou sua habilidade em dois dispositivos adquiridos por conta própria – daqueles usualmente encontrados em bares e lojas de conveniência. Criminosos já vêm utilizando tal tática há anos, contratando profissionais para descobrir senhas de cartões ou, às vezes, simplesmente roubando as máquinas a fim de levá-las a um local mais seguro onde a mesma ação será colocada em prática.

Segundo Jack, no entanto, existe uma maneira ainda mais fácil para explorar o sistema: delinquentes podem se conectar ás máquinas simplesmente contatando-as com um telefone. Ele acredita que grande número delas pode ser controlada remotamente a partir de um simples telefonema.

Depois de experimentar com seus próprios aparelhos, Jack desenvolveu um método para derrubar o sistema de autenticação remota e instalar uma praga virtual também feita por ele. Batizada de Scrooge, ela torna possível a substituição do firmware do dispositivo. Mas, Jack não parou por aí: ele construiu um software de gerenciamento online, que lhe permitia manter contato com as máquinas infectadas, de modo a continuar a coletar os dados das pessoas que as utilizavam.

Criminosos poderiam encontrar caixas eletrônicos vulneráveis a partir do software open-source desenvolvido, fazendo com que ele ligasse para inúmeros aparelhos e apenas esperando a reposta daqueles que já estariam infectados. É uma tática parecida com aquela já utilizada para entrar, a partir da internet, no sistema de computadores responsáveis por transações comerciais.

Causa nobre
De acordo com Jack, sua demonstração foi só uma forma de provar o quão vulneráveis são os caixas eletrônicos. “O objetivo de meus atos é iniciar uma discussão sobre as melhores formas para corrigir o problema”, afirma. “Chegou a hora desses dispositivos serem atualizados. As companhias que os fabricaram não são a Microsoft; elas não sofreram dez anos de ataques contínuos”.

As máquinas as quais Jack infectou, no entanto, são baseadas em um sistema operacional da gigante dos softwares, o Windows CE.

 

Em uma convincente performance durante sua palestra na Black Hat, o hacker se conectou a um caixa eletrônico e executou o programa denominado Jackpot. O que se viu a seguir foi uma quantidade significativa de notas saindo do aparelho ao mesmo tempo que a palavra “Jackpot” era exibida em sua tela.

Na segunda parte, Jack caminhou até o dispositivo, invadiu seu sistema com uma senha obtida na internet e instalou seu firmware. Ele diz que uma simples chave pode abrir diversos caixas eletrônicos, ou seja, mais um problema de segurança dos mais preocupantes.

O curioso é que Jack havia planejado a palestra para a conferência do ano passado, mas, foi convencido por vendedores de caixas eletrônicos a adiar suas revelações. Eles pensavam que, com mais tempo, poderiam corrigir as falhas descobertas pelo hacker.

Fonte: idgnow.uol.com.br

Hacker cria falsa rede de celular para invadir iPhones

 

Apesar de sua apresentação na conferência hacker Black Hat não ter sido perfeita, o estudante da Universidade de Luxemburgo, Ralf-Philipp Weinmann, mostrou que é realmente possível enganar usuários de iPhone para se conectarem a uma falsa rede GSM (Global System for Mobile Communications – utilizada pela maioria das operadoras de telefonia).

No evento realizado em Washington, nos EUA, Weinmann mostrou como invadir smartphones usando o software de código aberto OpenBTS e outros equipamentos de baixo custo. Assim foi possível criar uma falsa estação base de transmissão GSM, localizar iPhones e enviar mensagens aos seus donos. Vários usuários de iPhone presentes no evento ficaram surpresos ao receber uma mensagem pedindo que se conectassem à rede.

Weinmann, que pesquisa vulnerabilidades em redes celulares, afirmou que com o equipamento correto, o alcance da falsa estação GSM pode chegar a 35 quilômetros. “Você quer ‘pegar’ telefones não apenas de adolescentes, mas também de executivos”, disse Weinmann, adicionando ainda que é possível “ter controle total sobre o aparelho”. Parte da razão desses ataques por meio de redes falsas GSM existirem é porque o código base utilizado em smartphones como o iPhone, que é baseado em Infineon, remete aos anos 1990.

Um pouco de investigação permitiu ao especialista descobrir vulnerabilidades que podem ser exploradas. Por exemplo, ele teve ajuda ao descobrir que uma empresa italiana que faliu nos anos 1990 deixou dados sobre código para seções de memória GSM no site Sourceforge por quatro anos, antes de tirá-los do ar.

O ataque de Weinmann permitiria que ele tirasse vantagem de iPhones atraídos para sua falsa estação base para “habilitar e desabilitar a resposta automática do iPhone”. Ou com um ataque para gravar o áudio do iPhone, armazená-lo em RAM e então transmitir a informação obtida.

O estudante ainda afirmou que não quer encorajar o roubo de dados com o procedimento que demonstrou, mas sim alertar as operadoras e fabricantes para que melhorem a segurança das redes wireless. Ele também adiciona que tecnologias como femtocells (estações domésticas que permitem que as ligações de celulares sejam direcionadas para uma rede mais ampla) poderiam ser usadas para substituir o programa OpenBTS, o que apenas aumentaria os tipos de ataques que investiga.

Fonte: macworldbrasil.uol.com.br

Busca de SMTP LOGIN e SENHA

Este é link do "Conheça nos" da empresa Assembla

http://www.assembla.com/about o texto abaixo segui dentro do link.
Assembla fornece ferramentas e serviços para acelerar o desenvolvimento de software, com três linhas de negócio: Ferramentas: Espaços em Assembla.com, neste site, utilizado por milhares de equipes.

Conhecimento: Nós executar projetos de nós mesmos e fazemos de consultoria de gestão para corrigir os ciclos de lançamento de produto parado, racionalizar a estratégia de produto, construir equipes de inicialização, implementar processos iterativos e ágeis, e obter produtos lançados.

Nós somos experientes empresários de software, apoiado por desenvolvimento de talentos de topo. Assembla diretores têm projetado, construído, e lançou mais de 30 software comercial e produtos de serviços de informação.

Andy Singleton , presidente

Andy já construiu mais de 20 produtos de software e serviços de informação

Sesha Pratap , Desenvolvimento de Negócios

Sesha começou na faculdade de centro atuou como CEO, enquanto crescia a um businessProfile US $ 20 milhões

Hallinan PhD Peter, Consultoria, no Vale do Silício.

Entre outros gloriosos nomes da informatica

Agora vamos fazer uma pequena busca de SMTP no deposito de projetos :)

O código abaixo copie e cole no campo de busca veremos que encontramos.

 site:assembla.com  +@ *smtp.*  ext:sql

Loading

Hacker divulga ferramenta que desvenda vulnerabilidades em navegadores; Microsoft protesta

Engenheiro do Google Michal Zalewski alega ter avisado a Microsoft em julho, empresa de Redmond diz que problemas só foram descobertos em dezembro.

Aylons Hazzud

Uma pequena ferramenta chamada cross_fuzz está causando rebuliço no mundo dos navegadores, com protestos da Microsoft contra a publicação da ferramenta. O pequeno software foi criado especificamente para descobrir falhas em navegadores e tem se revelado muito competente nesta função: Internet Explorer, Firefox, Opera e navegadores baseados no WebKit (Google Chrome e Safari) já tiveram algumas falhas expostas pelo programinha.
A ferramenta foi criada em meados do ano passado pelo hacker Michal “lcamtuf” Zalewski, atualmente funcionário do Google. As falhas descobertas foram repassadas aos responsáveis por cada navegador a fim de que as falhas pudessem ser corrigidas, assim como o próprio cross_fuzz. E aí surge a confusão: enquanto as equipes da Mozilla, Opera e WebKit (o que inclui o Google) já tomaram providências para corrigir as falhas, a Microsoft não consertou o Internet Explorer, preferindo pedir a Zalewski que não divulgasse o programa. Zalewski recusou, e agora a Microsoft o acusa de facilitar a vida dos bandidos online.
Zalewski publicou um relato (http://bit.ly/gkQjjC) de seus contatos com a Microsoft e explica que decidiu publicar o software no tempo previsto por acreditar que as falhas já são conhecida por invasores chineses (http://bit.ly/icZReX). O relações-pública da Microsoft Jerry Bryant alega que até o dia 21/12/10 a empresa de Redmond não havia identificado nem sido informada por Zalewski de nenhuma falha, e por isto ainda a correção ainda não foi liberada.
A falha não é das mais críticas, pois nos Windows Vista e 7 o IE roda em modo protegido, limitando o impacto da vulnerabilidade, e também porque ainda não foi encontrada nenhum vírus ou ataque que faça uso desta brecha de segurança. O efeito mais imediato é portanto o aumento da animosidade entre o Google, onde Zalewski trabalha como engenheiro de segurança de sistemas, e a Microsoft, que em julho havia se queixado da divulgação de outra falha do Windows pelo Google.

Fonte:http://aylons.geek.com.br/posts/14487-hacker-divulga-ferramenta-que-desvenda-vulnerabilidades-em-navegadores-microsoft-protesta

Governo lança projeto de internet banda larga em escolas

Depois de nove meses de negociação, governo e empresas de telefonia lançam nesta segunda-feira (7), no Palácio do Planalto, um programa para levar internet gratuita em banda larga a 55 mil escolas públicas de todo o país até dezembro de 2010.

O lançamento exigiu tanto tempo de negociação porque foi preciso fazer um ajuste nos contratos das operadoras. As concessionárias ficaram desobrigadas de instalar Postos de Serviços de Telecomunicações (PSTs), espécie de telecentro com orelhões e acesso à internet. Em contrapartida, a estrutura de banda larga a espalhar pelo interior do País incluirá a internet em alta velocidade para todas as escolas públicas urbanas.

O projeto, que será implementado pelas concessionárias de telefonia fixa, é considerado um dos mais importantes do segundo mandato do presidente Luiz Inácio Lula da Silva e seu lançamento será usado pelo governo também para tirar o foco da crise em torno do dossiê da Casa Civil sobre os gastos do ex-presidente Fernando Henrique Cardoso.

Para a cerimônia, foram convidados os ministros da Casa Civil, Dilma Rousseff, das Comunicações, Hélio Costa, e da Educação, Fernando Haddad, além do presidente da Agência Nacional de Telecomunicações (Anatel), Ronaldo Sardenberg, e dos presidentes das concessionárias, entre elas a Telefônica, a Oi e a Brasil Telecom.

  Modelo

O acordo pode representar um primeiro passo para concluir a meta do governo de levar internet em alta velocidade a todas as escolas públicas do país. Esse modelo de universalização dos serviços pode ser usado também como medida compensatória para permitir a compra da Brasil Telecom pela Oi, hoje proibida pela legislação. As duas empresas, juntas, levariam a banda larga a cerca de 90 mil escolas públicas restantes, instaladas na zona rural.

O programa, que já foi aprovado pela Anatel, prevê que as empresas, até dezembro de 2010, construam a infra-estrutura de banda larga para permitir o acesso à internet em 3.439 municípios. Hoje, apenas 2.125 municípios dispõem desses serviços.

A idéia é de que as concessionárias levem a infra-estrutura até a sede da cidade. A partir daí, a própria concessionárias ou outras empresas que aluguem a rede poderão oferecer serviços de internet à população em geral.

Dos 3.439 municípios, 40% deverão ser atendidos até dezembro deste ano. No fim de 2009, 80% do total já terão que dispor da infra-estrutura de banda larga, e todos os municípios terão que ser atendidos até o fim de 2010.

A maior ampliação da cobertura de banda larga terá de ser feita pela Oi. Do total de municípios, 2.730 estão na região atendida pela concessionária, que compreende 16 Estados; 452, na área da Brasil Telecom; e 257, na área da 
Telefônica.