Jump to content
herakty

Guerra Cibernética atinge CE

Recommended Posts

herakty

European Commission suffers 'serious' cyberattack

hoje o James Bond está num PC a conseguir os segredos que antigamente conseguia na cama... esta é parte triste da coisa... mas as TI rulam em tudo, até no espionagem como podem ver

European Commission systems have come under attack from hackers searching for data belonging to Commission and diplomatic officials.

e há quem diga que há segurança a 100% lol... se onde os melhores do mundo estão a defender são atacados, então isso quer dizer que...

The cyberattack was discovered on Tuesday, according to Antony Gravili, inter-institutional relations spokesman for the Commission. He said that the Commission frequently suffers attacks that try to eavesdrop on sensitive political information, and noted that this incursion was aimed at staff in the Commission and the External Action Service, the EU's foreign ministry.

"We are treating this as a serious attack because it is targeted," Gravili told ZDNet UK on Thursday. "What's new is that we have never taken precautionary measures on such a scale."

In response, the Commission has stopped web access to employee emails from home. Since Tuesday night it has also blocked access to its internal intranet — My IntraComm — from outside the Commission, and all users have been told to change their passwords.

Gravili declined to reveal whether hackers had targeted Commission systems via email, or whether any data had been compromised, saying the matter was still under investigation. The length of the attack and the type of infection or malware used is also not known.

    We are treating this as a serious attack because it is targeted. What's new is that we have never taken precautionary measures on such a scale.

    – Antony Gravili, spokesman

"It's a security issue," said Gravili. "The enquiry is ongoing, and we are finding new information all the time."

The investigation, which is being run by the Commission's Security Directorate — an in-house security team — will focus on how to "avoid similar infections in the future", he added.

The Commission is working with the European External Action Service, which has intelligence capabilities, to mitigate the effects of the intrusion. The EU's foreign service has been active lately, and on Monday it extended a freeze on Libyan assets to more individuals following the upheaval in that country.

At the beginning of March, the French finance ministry at Bercy said that it had been infiltrated by hackers searching for documents relating to the G20 summit. Gravili said that there was no evidence at this time that there was a link between the two attacks.

http://www.zdnet.co.uk/news/security-threats/2011/03/24/european-commission-suffers-serious-cyberattack-40092260/?s_cid=165

teckV

Share this post


Link to post
Share on other sites
Lfscoutinho

Boas,

Quem é que diz que há segurança a 100% !? Nunca vi ninguém dizer isso... Acho que foi um comentário um pouco infeliz :P

Share this post


Link to post
Share on other sites
herakty

eu ando aqui desde o nick teckV.... basta ires ao inicio dos posts para veres GRANDES DEBATES sobre isso..

agora se és novo e não estiveste cá nessa altura é outra coisa... mas sim, houve mts que defenderam a segurança a 100%... está no fórum :P

ultimamente vem mudando e se calhar por eu e outros terem insistido nisso.... e penso que há quem ainda não esteja convencido.. basta dizer que a maioria usa home banking... isso é confiar o nosso guito na segurança da tecnologia.. diference mas parecido.. eu não uso home banking

teckV

Share this post


Link to post
Share on other sites
Lfscoutinho

Boas,

Em primeiro lugar, dou-te os meus parabéns por seres utilizador há muito tempo, se é isso que te faz feliz :P

Em segundo, eu referia-me a pessoas da área da segurança e não a pessoas que dão opiniões por dar e/ou por acharem ;)

Em terceiro, também te dou os meus parabéns por teres conseguido mudar a mentalidade de algumas pessoas ;)

E, por último... Relativamente à última coisa que disseste, não vejo qualquer tipo de lógica. Eu sei que não há nada que seja 100% seguro, mas não é por isso que não uso o home banking.

Mais... As pessoas que se dedicam a roubar dados bancários e afim, não procuram contas com 10, 100 ou 1000 euros...

Agora, se fores uma pessoa rica ou muita rica, acho que fazes muito bem!

Para terminar, podes comparar o home banking a andar de carro. Não é seguro andares de carro, nunca sabes quem vem atrás de ti nem quem vai à tua frente, de repente qualquer pessoa pode provocar um acidente e morreres... Mas, acho que não deixas de andar de carro por isso... O home banking é igual, não é 100% seguro... mas é MUITO seguro (mais ainda com os cartões virtuais).

Nota: se calhar, devias preocupar-te mais por teres uma conta do facebook (se é que tens) e teres alguns dados teus publicados, do que utilizar home banking ;)

Mas, isto é só a minha opinião, como e óbvio respeito a tua ;)

Share this post


Link to post
Share on other sites
bubulindo

Nota: se calhar, devias preocupar-te mais por teres uma conta do facebook (se é que tens) e teres alguns dados teus publicados, do que utilizar home banking :P

Ou, usando a piada do James Bond, devias preocupar-te mais se alguém tem algo sobre ti no perfil deles no facebook. Tipo esta senhora:

http://www.dailymail.co.uk/news/article-1197562/MI6-chief-blows-cover-wifes-Facebook-account-reveals-family-holidays-showbiz-friends-links-David-Irving.html

LOLOL

Já agora, e pegando no teu aladino da verdade e justiça mundial... a probabilidade de segredos sujos se virem a saber é muito maior no caso dum espião que dorme com alguém ou encontra alguém frustrado no meio do deserto com uma ligação ao sistema de informação dos Estados Unidos, do que propriamente através de hacking por computador.

Alguém que diga que algo é 100% seguro ou 100% fiável é, muito provavelmente, um idiota que não sabe do que fala. Seja em que assunto for!

Já agora, o Ubuntu Live Disk para home banking é muito giro. ;) 

Mais... As pessoas que se dedicam a roubar dados bancários e afim, não procuram contas com 10, 100 ou 1000 euros...

1000 * 100 já é algo que se veja. ;)

P.S.:

Quem tem dinheiro a sério, tem quem faça o "home banking" pelo telefone. ;)


include <ai se te avio>

Mãe () {

}

Share this post


Link to post
Share on other sites
Lfscoutinho

Boas,

Só li um pouco, o suficiente para perceber a história... só tenho isto para dizer: LOOOOOOOOOOO...L !  :cheesygrin:

Alguém que diga que algo é 100% seguro ou 100% fiável é, muito provavelmente, um idiota que não sabe do que fala. Seja em que assunto for!

Eu disse "pessoas que dão opiniões por dar e/ou por acharem" para não ser tão directo ;)

1000 * 100 já é algo que se veja. :P

Sim.. já dava para tirar uns euros, sem dar muito nas vistas ;)

P.S.: Quem tem dinheiro a sério, tem quem faça o "home banking" pelo telefone. ;)

Vou mais longe... Quem tem dinheiro a sério, nem precisa disso !

Infelizmente, eu preciso... LOOL

Share this post


Link to post
Share on other sites
herakty
Para terminar, podes comparar o home banking a andar de carro. Não é seguro andares de carro, nunca sabes quem vem atrás de ti nem quem vai à tua frente, de repente qualquer pessoa pode provocar um acidente e morreres... Mas, acho que não deixas de andar de carro por isso... O home banking é igual, não é 100% seguro... mas é MUITO seguro (mais ainda com os cartões virtuais).

eu disse que eu não uso home banking... há pessoas que não voam de avião por e simplesmente... cada um sabe de si. já analisei vírus demais dedicados a entrar em processos em memória relativos com o home banking e que procuram exatamente home banking

mas como disse-te há que respeitar as diversas opiniões...

Ou, usando a piada do James Bond, devias preocupar-te mais se alguém tem algo sobre ti no perfil deles no facebook. Tipo esta senhora:

deixa a minha vida pessoal em paz pode ser? eu nunca me referi ao que fazes da net ou web e como tal peço-te que faças o mesmo em relação a mim... eu já sei que tens opiniões diferentes..

como tal peço o seguinte.. eu posto as minhas e tu as tuas em posts próprios.. e não critico os teus e tu não criticas o meus.. senão as coisas seguem sempre um caminho diferente... eu postei sobre a segurança em espionagem e já andam a falar no facebook.. só pode ser por não entenderem a diferença...

Já agora, o Ubuntu Live Disk para home banking é muito giro

pois... quando um browser está em memória não está.. tipo, há uma falha num componente do browser, é injectado lá código em memória e... deixo-te para reflectires e se quiseres umas dicas.. METASPLOIT... investiga (podes começar pelos meus posts) e vais ver como se ataca um LIVE CD...

hoje seria ridiculo ir para um concurso de cracking sem ser com live CD.. e deixou de haver vencedores e atacados? não...

teckV

Share this post


Link to post
Share on other sites
Lfscoutinho

Boas,

@herakty Como mestre da segurança 😎, devias ter percebido que eu referi o facebook falando de segurança e o @bubulindo só confirmou o que eu disse, não foi relativamente a nada da tua vida pessoal, mas ok !

Share this post


Link to post
Share on other sites
bubulindo

deixa a minha vida pessoal em paz pode ser? eu nunca me referi ao que fazes da net ou web e como tal peço-te que faças o mesmo em relação a mim... eu já sei que tens opiniões diferentes..

como tal peço o seguinte.. eu posto as minhas e tu as tuas em posts próprios.. e não critico os teus e tu não criticas o meus.. senão as coisas seguem sempre um caminho diferente... eu postei sobre a segurança em espionagem e já andam a falar no facebook.. só pode ser por não entenderem a diferença...

Eu não pretendia atacar-te de maneira alguma... o Facebook foi falado e apenas dei um exemplo (interessante).

Caso não saibas, o MI6 é o "patrão" do James Bond e usei a referência ao facebook e a tua do James Bond para mostrar algo que, pelos vistos, não foi sabido por Portugal e envolve o MI6 e a segurança nacional do Reino Unido. Logo, se não consegues perceber que a segurança de informação é muito mais que firewalls e antí-virus, provavelmente precisas de pensar um pouco mais no assunto.

Este exemplo que dei é um dos muitos que existem relativamente à segurança da informação... lá porque tu preferes que toda a espionagem seja feita em frente a um computador, não implica que não existam espiões (o ano passado o MI6 e MI5 abriram concursos para a entrada de novos espiões) a sério ou que não exista gente estúpida ao ponto de revelar tanto como a senhora do exemplo revelou.

Se achas que isso é um ataque à tua pessoa, lamento... mas que serve como ponto para mostrar que nem todas as informações interessantes em termos de espionagem resultam de hacking e piratas informáticos lá isso serve. Bem como o exemplo do Wikileaks...

É um facto que temos opiniões diferentes, mas não no campo da segurança informática onde eu não meto a colher por estar a um nível elevado demais para mim. Agora não percebo como ficas todo stressado desta forma quando, eu não sei quem és, não sei se tens facebook, não sei onde trabalhas nem tão pouco se és homem ou mulher e foquei um ponto relativo à segurança da informação. Se não queres que as pessoas comentem, não coloques isto num fórum... é tão simples.

Agora podia, para estragar a imagem que toda a gente tem dos espiões (principalmente ingleses) dizer que segundo os padrões de admissão para o MI6, só este último 007 conseguiria chegar aos testes de admissão... mas isso seria off-topic e se tu reages mal aos on-topic, nem quero pensar no que seria aqui feito se aparecesse um off-topic.


include <ai se te avio>

Mãe () {

}

Share this post


Link to post
Share on other sites
herakty

pahhh... peço desculpa... eu tento passar coisas na maior da boa fé (porque motivo viria aqui gastar tempo só para chatear alguém?) e mts vezes acabam a descanbar... eu sinceramente não quero nada disso, por isso te disse o que disse, pois para se andar sempre a rematar sobre o que o anterior diz é... é uma coisa sem fim e que foge ao interesse inicial do Post

é apenas isso.. nada mais... mais uma vez e com o já fiz várias vezes peço desculpa, mas tento fazer o meu melhor e na maior boa fé...

como já é uma longa história (não contigo) por vezes fico logo irritado quando vejo certos comentários.... porque é stressante fazer um post, com uma opinião e vir logo uma ou outra pessoa contrariar o que um gajo disse.. é esgotante e so acontece neste forum que é um fenomeno que tento desvendar há mt mas ainda não consegui

no inicio, nas BBS´s a coisa mais comum eram as FLAME WARS... ainda há pouco tempo postei um conversa do ppl MAIS HARD e MAIS VELHO e como puderam ver é tudo em postura de ataque e sempre a picarem-se e pura guerra... tem a ver com as personalidades e com a história que temos vivido desde há mts mts anos... era uma criança quando me liguei a 1ºvez a uma rede global e era pelo sistema de BBS´s... claro que dai para a Internet era um "pulinho" :D

tá-se bem, só quero coisas positivas pois vivemos um momento único em que são precisas as nossas melhores capacidades

tudo de bom PARA TODOS... e uns bons docs sobre uma cultura mt própria... vejam também este que é sobre a PRIMEIRA REDE GLOBAL, AS BBS´S

Hackers: Outlaws and Angels

http://topdocumentaryfilms.com/hackers-outlaws-angels/

Web Warriors

http://topdocumentaryfilms.com/web-warriors/

BBS: The Documentary

http://www.imdb.com/title/tt0460402/

teckV

Share this post


Link to post
Share on other sites
apocsantos

    Bom dia,

    Sistema 100% seguro, simplesmente não existe, e quem disser que existe está a mentir! Nada é 100% seguro, nada é 100% fiavel. Eu não acredito quando me respondem "nunca tive um servidor atacado". Acredito quando me respondem "Sim" ou "Não sei". Essas respostas eu considero como verdade, fora isso não acredito.

      Mesmo usando os sistema operativo em "live" é possível comprometer tanto o software que nele corre como o sistema no seu todo, por isso mesmo eu deixei de usar home-banking. Deixei de confiar... Espero que com a massificação do IPv6, se torne "relativamente" mais seguro, mas ainda assim é "relativo", pois será feita segurança na comunicação e não no software.

    Sobre o facebook nem comento...

    Os links para os documentários são bastante interessantes, eu já vi os 3, achei todos eles interessantes. Vale a pena tirar tempo para os ver.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Share this post


Link to post
Share on other sites
bubulindo

      Sistema 100% seguro, simplesmente não existe, e quem disser que existe está a mentir! Nada é 100% seguro, nada é 100% fiavel. Eu não acredito quando me respondem "nunca tive um servidor atacado". Acredito quando me respondem "Sim" ou "Não sei". Essas respostas eu considero como verdade, fora isso não acredito.

LOL Adoro estas conversas porque me trazem à ideia o meu primeiro patrão (como engenheiro) ele vangloriava-se que, e vou citar: "O meu código não tem erros!!!"

Ele era um engenheiro electrotécnico, e admito, aprendi com ele vários pormenorzinhos electrónicos que alguém se esqueceu de falar na Universidade, mas programar computadores não era de todo com ele.

Até que um dia ao reclamar que o código para o protocolo X estava errado e cheio de bugs o programador em questão apenas disse "Eu nem sequer mexi nisso... foi uma cópia do seu programa."... Eu gostei da cara dele e do modo como disse que, o código estava com erros mas que ele nunca cometia erros. LOLOL


include <ai se te avio>

Mãe () {

}

Share this post


Link to post
Share on other sites
apocsantos

    Bom dia,

    Como eu disse e mantenho a minha crença, não existem sistemas 100% seguros. Eu próprio tenho noção que o sistema que administro não é 100% seguro.

    Acho de "morrer a rir" esse tipo de comentários de "clara arrogância". Todos nos enganamos algures num programa, por alguma coisa fazemos "updates" e revisões. Durante o tempo como beta-tester numa software house nacional vi o quão "fácil" era criar um bug onde os engenheiros diziam que "era impossível" existir.

    Numa longa conversa com o na altura chefe do desenvolvimento perguntei-lhe claramente sobre os bugs, a resposta foi "esclarecedora" e passo a citar: "Não posso dizer que não existem, o codigo é extenso e eu sou Humano, por isso posso muito bem cometer algum erro ou esquecer-me de algum pormenor. Tenho consciência que o programa tem bugs e não é 100% seguro. Se alguém achar que consegue fazer algo 100% seguro que me diga que eu terei todo o gosto em contestar, e provar o contrário".

    Eu fiquei "pasmo" o tipo era engenheiro electrotécnico, com vasta formação em programação, era "o pai do programa" desenvolvia o programa e grande parte do hardware especifico que ele usava e ainda assim tinha a noção plena de que não existia nada 100% seguro. Isto mostra muito sobre uma pessoa.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Share this post


Link to post
Share on other sites
bubulindo

Pois... na empresa em questão, o programador sénior dizia: "Se os meus programas têm bugs? Devem ter centenas deles... agora onde..."


include <ai se te avio>

Mãe () {

}

Share this post


Link to post
Share on other sites
apocsantos

    Boa tarde,

    Sim de facto o "onde" é a "derradeira questão", mas o admitir que os tem já é um bom principio. Depois é preciso testar exaustivamente para os identificar e corrigir, conforme vão sendo identificados, mas sem usar da prepotência de dizer que não tem bugs.

    Não acredito que existam programas totalmente "sem erros", pois errar é humano e os programadores são humanos.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Share this post


Link to post
Share on other sites
Rui Carlos

Quantas pessoas sofreram acidentes de avião? Quantas morreram?

Quantas pessoas sofreram acidentes de carro? Quantas morreram?

Quantas pessoas perderam dinheiro com homebanking? Quantas perderam quantias significativas?

E podem analisar os números em função do número de utilizadores.

Já vi alguns números, e todos eles apontam para uma muito maior probabilidade de se morrer em acidentes de carro do que em acidentes de avião.

Não tenho número sobre o homebanking, mas diria que é mais provável sofrerem ferimentos num acidente de carro, do que perderem pequenas quantias de dinheiro em homebanking, e que é mais provável morrerem num acidente de carro, do que perderem grandes quantias de dinheiro em homebanking.

Se há gente que não anda de avião porque tem medo de morrer num acidente e anda de carro, diria que o "medo" que têm do avião está muito mal fundamentado.

Eu não só uso homebanking, como não uso todos os mecanismos de segurança que tenho ao meu dispor. Tento balancear a funcionalidade/comodidade com o risco. Posso vir a ter problemas? Certamente que sim, mas há outros riscos que corro no dia a dia que me preocupam muito mais.

Share this post


Link to post
Share on other sites
herakty

SEM COMENTÁRIOS MEUS... APENAS FACTOS... se isto é possível, então um PC de casa é como tirar um doce a uma criança.. e não é só o vosso PC que conta... há mt coisa... enfim, mais factos

Lizamoon malware attacks 1.5 million websites É UM NUMERO INTERESSANTE... e quantos destes sites infetados vocês visitam e depois ficam voçes infectados? será que o P@P está? eu sei, que mais sabe se está ou não? e com tools como o SQL Ninja, W3AF, as medidas normais de proteção não funcam... encondings e coisas dessas que quem sabe entende

http://www.zdnet.co.uk/news/security-threats/2011/04/04/lizamoon-malware-attacks-15-million-websites-40092370/?s_cid=167

Massive data breach hits US banks and retailers

Epsilon, which manages email communications for TiVo, JP Morgan Chase, Capital One Financial, US Bank, the Kroger grocery chain, and other clients said it suffered a security breach that revealed data on some of its clients' customers.

Epsilon, which says it sends 40 billion emails annually, released a statement on Friday saying that on 30 March it detected an "unauthorised entry" into its system that exposed customer names and email addresses. The company said "no other personal identifiable information associated with those names was at risk".

Bloomberg reported that an Epsilon representative would not say how many other clients might be affected, citing an ongoing investigation.

http://www.zdnet.co.uk/news/security-management/2011/04/04/massive-data-breach-hits-us-banks-and-retailers-40092369/?s_cid=166

Comodo hacker hints at more stolen certificates (espero que saibam o que isto significa? e vejam os sites alvos.. até o Skype, assim podem escutar qualquer conversa, mesmo que usem certificados ;))

The hacker allegedly responsible for stealing digital certificates from Comodo has said that further certificate authorities may have been hacked.

In an email interview, the hacker going by the name Sun Ich said "maybe there is more CAs involved", but would not elaborate, saying only that it is the decision of affected authorities to come forward. There are hundreds of certificate authorities (CAs) around the world, responsible for authorising digital certificates that determine which websites browsers can trust. CAs use registration authorities to administer certificates.

The alleged lone Iranian hacker made headlines after he broke into one of Comodo's registration authorities InstantSSL.it and obtained nine fraudulent digital certificates for the likes of Gmail, Microsoft Live, Mozilla and Skype. He posted the private key to the Mozilla certificate as proof of the attacks.

http://www.zdnet.co.uk/news/security-threats/2011/03/31/comodo-hacker-hints-at-more-stolen-certificates-40092342/?s_cid=171

Lizamoon malware attacks 1.5 million websites É UM NUMERO INTERESSANTE

A massive SQL injection called Lizamoon is blazing through the internet, infecting more than half a million domains around the world to date and as many as 1.5 million URLs.

The attack initially hit around 50,000 domains when it emerged earlier this week, by using an automated JavaScript injection that targets vulnerable websites. Compromised sites then redirect visitors to malware and scareware-infected domains.

The first malware-filled domain to surface was lizamoon.com, after which the attack was subsequently named. It was responsible for infecting thousands of victims, but is currently offline. Researchers have identified others that are being used in its place.

http://www.zdnet.co.uk/news/security-threats/2011/04/04/lizamoon-malware-attacks-15-million-websites-40092370/?s_cid=167

teckV

Share this post


Link to post
Share on other sites
KTachyon

herakty, eu, sinceramente, não te percebo. Tu dizes que não fazes comentários, que não entendes "encodings e coisas dessas" (que penso que estejas a falar de encriptação, correcto?), mas consegues publicar todas as notícias de falha de segurança que conseguires encontrar.

Gostava de tentar perceber qual é o teu objectivo.

E estás a confundir certificado com encriptação. Por teres acesso ao certificado (mais exactamente à chave privada, não ao certificado em si), não quer dizer que tenhas acesso a qualquer conversa que seja efectuada através do Skype. Significa que um cliente que acede ao serviço irá receber um certificado que é depois aprovado pela CA (que significa que a CA diz que quem apresentou o certificado é quem diz que é). A encriptação das conversas é um assunto completamente diferente.


“There are two ways of constructing a software design: One way is to make it so simple that there are obviously no deficiencies, and the other way is to make it so complicated that there are no obvious deficiencies. The first method is far more difficult.”

-- Tony Hoare

Share this post


Link to post
Share on other sites
herakty
encodings e coisas dessas

óbvio que não... e já disse que é para mostrar que há muita insegurança por ai. há pessoas que se esquecem que são os único no forum e que por saberem uma coisa qualquer niguem deve postar sobre isso. há mts pessoas que não conhecem o lado negro da Internet e graças a ISSO HÀ MILHÕES DE COMPUTADORES ZOOMBIE QUE SÃO A MAIOR DOR DE CABEÇA DE SEGURANÇA... e porque os há? porque todos sabem se proteger? e sabem que há abusos em segurança?

basta olhar para o Facebook e ver que a maioria das pessoas não sabe o que faz na NET... com um jogo de palavras a pedir acesso a imagens e não notam nada... se calhar continuar a  lançar o alerta em INSEGURANÇA não é má ideia

E estás a confundir certificado com encriptação. Por teres acesso ao certificado (mais exactamente à chave privada, não ao certificado em si), não quer dizer que tenhas acesso a qualquer conversa que seja efectuada através do Skype. Significa que um cliente que acede ao serviço irá receber um certificado que é depois aprovado pela CA (que significa que a CA diz que quem apresentou o certificado é quem diz que é). A encriptação das conversas é um assunto completamente diferente.

pois estou... o que eu disse já aconteceu e eu estou a confundir.. posso fazer um pergunta? estás por dentro da segurança quer tecnicamente, quer a nível do que se passa?

"The alleged lone Iranian hacker made headlines after he broke into one of Comodo's registration authorities InstantSSL.it and obtained nine fraudulent digital certificates for the likes of Gmail, Microsoft Live, Mozilla and Skype. He posted the private key to the Mozilla certificate as proof of the attacks. "

tou a ver que não entendes de certificados... mas falas... então não é a validação da pessoa a coisa mais importante? e toda a encriptação não é feita com os certificados de cada um? como é com o GMAIL? a encriptação não é feita com o certificado cliente e com o do servidor, para criar a sessão HTTPS? mas estás a ensinar a missa...

leste isto de certeza? e isto.. .porque terão FECHADO o acesso aos certificados? por não haver perigo... o que fazes é poluição da informação

"Comodo admitted to the twin breaches on a Mozilla post, but said digital certificates were not compromised in the attack. The company's chief technology officer Robin Alden said the company has suspended privileges to the compromised RAs and is "implementing both IP address restriction and hardware-based two-factor authentication" for all authorities. "

http://www.zdnet.com.au/comodo-attacker-hints-at-more-ca-hacks-339312372.htm

teckV

Share this post


Link to post
Share on other sites
Rui Carlos

As mensagens são cifradas com as chaves públicas que os certificados "garantem" que são legítimas.

Mas os certificados por si só não servem de nada. É preciso que consigas interceptar as comunicações (por exemplo, conseguindo também comprometer servidores de DNS).

Share this post


Link to post
Share on other sites
KTachyon

e vejam os sites alvos.. até o Skype, assim podem escutar qualquer conversa, mesmo que usem certificados ;))

Repara bem no que disseste. É completamente trivial apanhar qualquer conversa, só com acesso aos certificados? Ou seja, ao teres o certificado podes simplesmente chegar a uma comunicação a decorrer e "ouvir" o que se passa? Ou tens que estar previamente preparado para apanhar a abertura da comunicação?

A questão aqui não é tu informares, porque, de facto, muita gente do fórum nem sequer faz ideia do que é uma CA. A única coisa que estás a fazer é a lançar uma onda de paranóia. As pessoas devem estar atentas? Sim. Mas será que devem tomar medidas dentro das possibilidades, ou viverem em tanto medo que nem sequer possam utilizar um computador? Até porque mesmo socialmente, as falcatruas também se sucedem, não é preciso entrarmos na internet para verificarmos que há insegurança. Será razão para ficarmos enfiados num cubículo para o resto da vida?

Porque repara, a única coisa que tu tens a dizer é mesmo "é tudo inseguro". Onde está a tua contribuição? Pois... tu só apresentas factos, não os comentas.


“There are two ways of constructing a software design: One way is to make it so simple that there are obviously no deficiencies, and the other way is to make it so complicated that there are no obvious deficiencies. The first method is far more difficult.”

-- Tony Hoare

Share this post


Link to post
Share on other sites
herakty

boa... acho mt interessante ver que os maiores especialistas do mundo estão errados mais uma vez.. mais uma vez há aqui quem saiba mais que os maiores especialista do mundo que consideraram este como um dos PIORES ATAQUES dos ultimos tempos, a nivel de compromentimento..

mas não... pessoas com certificações de Certified Ethical Hacher, pessoas que trabalham em empresas que passam o dia a lidar com isto, sabem menos que dois ou tres aqui...

mas eu acho é que aqui falam sem saber... pois este ATAQUE ESTÁ A FAZER TREMER O MUNDO E VEIO DO IRÃO E ACREDITA-SE QUE TENHA OBJECTIVOS DE ESPIONAGEM.. DIZ-ME, PORQUE FARIAM ISTO SENÃO FOSSE IMPORTANTE?  FAZEM IDIA DE QUANTOS ARTIGOS, POST E NOTICIAS ANDAM A CIRCULAR POR CAUSA DESSE ATAQUE? PESQUISEM... e deixem de poluir com má info...

o FBI anda a alucinar.. .porque investigar isto? não é?

FBI probes Comodo web security breach

"The FBI is investigating how a hacker tricked a New Jersey company into issuing fraudulent digital certificates for Google, Yahoo, Microsoft and other major websites, the firm's chief executive has said."

http://www.zdnet.com.au/fbi-probes-comodo-web-security-breach-339312309.htm

1º Porque tomaram uma reação tão drástica

"Comodo admitted to the twin breaches on a Mozilla post, but said digital certificates were not compromised in the attack. The company's chief technology officer Robin Alden said the company has suspended privileges to the compromised RAs and is "implementing both IP address restriction and hardware-based two-factor authentication" for all authorities. "

2º Está aqui o que todo o mundo sabe menos dois ou tres aqui

"A fraudulent certificate allows someone to impersonate the secure versions of those websites — the ones that are used when encrypted connections are enabled — in some circumstances.

The IP addresses used in the attack are in Tehran, Iran, the firm said, which believes that because of the focus and speed of the attack, it was "state-driven". Spoofing those websites would allow the Iranian government to use what's known as a man-in-the-middle attack to impersonate the legitimate sites and grab passwords, read email messages and monitor any other activities its citizens performed, even if the connections were protected with SSL encryption.

For more on this ZDNet UK-selected story, see Google, Yahoo, Skype targeted in attack linked to Iran on CNET News."

"A malicious attacker that appears to be the Iran government managed to obtain supposedly secure digital certificates that can be used to impersonate Google, Yahoo, Skype and other major websites, the security company affected by the breach said on Wednesday."

percebeste o BOLD?

http://www.zdnet.co.uk/news/security-threats/2011/03/24/iran-linked-to-google-skype-and-yahoo-attack-40092248/

"And there are further problems caused by the different methods browsers use to decide which CAs to trust."

Certifying trust: Comodo highlights risk

"For all the tens of billions of dollars a year spent on internet security there's one component that's vital but remains obscure: which websites browsers decide to trust.

Each of the major browser makers has compiled a different list of who possesses the master keys to web authentication — namely, who can be trusted to issue the secure digital certificates to create encrypted channels — and each has different procedures for approval. A closed lock icon typically appears in a browser and an "https://" connection is displayed when a website is deemed legitimate.

The flaws in this system were thrown into sharp relief by last week's revelation that a hacker traced to Iran obtained fake digital certificates for Google, Yahoo, Microsoft and other companies. Comodo said it revoked the nine certificates as soon as it discovered the breach in a business partner's systems."

http://www.zdnet.com.au/certifying-trust-comodo-highlights-risk-339312072.htm

INFORMEM-SE ANTES DE POSTAR SFF.. é pedir pouco... pesquisam que há centenas de coisas sobre isto, este ataque especifico

teckV

Share this post


Link to post
Share on other sites
bubulindo

Ja pensaste, por exemplo, colocar todos estes posts em foruns onde as pessoas realmente precisem de os ler?

Eu nao sou de todo um exemplo em termos de seguranca na net... afinal de contas, ate tu ja descobriste a minha idade (apesar de teres passado ao lado do mapa dos locais visitados por mim)...

Mas num forum de informatica, onde a maioria dos utilizadores habituais e engenheiro informatico nao achas uma perda de tempo e, mais importante, estares a dar a ideia de seres o paranoico aqui do sitio?

Ja se fosses, por exemplo, a um forum de crochet ou algo do genero avisar para os perigos da internet a pessoas que realmente estao completamente a leste disso, realmente estarias a fazer algo de bom e util.

Assim, continuas, literalmente a falar para os teus botoes.

E antes que comeces ja a disparatar... se todos estamos a dizer isto e porque (ainda) nos preocupamos com outros utilizadores. Nao e para desacreditar ou negar aquilo que tu dizes... apenas para te dar a entender que, sim! Nos sabemos que a internet nao e segura.

Mas o tabaco tambem mata e no entanto, imensa gente continua a fumar.


include <ai se te avio>

Mãe () {

}

Share this post


Link to post
Share on other sites
herakty
Mas num forum de informatica, onde a maioria dos utilizadores habituais e engenheiro informatico nao achas uma perda de tempo e, mais importante, estares a dar a ideia de seres o paranoico aqui do sitio?

paranoico? mostrar como está o mundo das tecnologias é paranoico? olha, vai para que àrea fores das TI e vais ter de pensar em segurança, alias, já tiveste durante o curso, pois está em tudo

na forma de programar.

na forma de se configurar um so.

na forma de se configurar todos os equipamentos informáticos, redes, segmentar uma rede, AD, eu sei lá... TUDO... até na forma de se usar um PC está a segurança

deves ser dos que tem 500 worms no PC que depois permitem que as bootnets seja o problema que são... PC´s controlados remotamente sem que os donos saibam e porque? porque se deixam infetar e INFETAM OUTROS:...

até a M$ propôs uma lei para que os PC´s fossem analisados a ver se tinha virus/worms, antes de se ligarem para não infetarem outros.. mas..

ISTO É INFO PARA INFORMÁTICOS.. agora eu sei que há aqui (tu por exemplo) que não é de informática e anda aqui só para ver outras coisas, o que para mim não tem nada de mal.. quem está a mandar a boca és tu, mas NÃO TE IMPONHAS SOBRE A VONTADE GERAL

sabes quantas PESSOAS JÁ ME AGRADECERAM PELOS MEUS POSTS? não só EM PM COMO NOS POSTS?

não achas que a SEGURANÇA hoje é DAS COISAS MAIS IMPORTANTES EM TI? vais programar hoje sem saber de XSS e SQL Injection? força...

teckV

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.