Albert Gonzales pode cumprir de 15 a 25 anos de prisão. Ele foi acusado de roubar dados de mais de 130 milhões de cartões.
O hacker Albert Gonzales, de 28 anos, assumiu nesta sexta-feira (28) a culpa pela invasão de sistemas e roubo de dados referentes a cartões de crédito, segundo documentos de um acordo apresentados em tribunal de Boston.
Gonzales era acusado de comandar um grupo para invasão de sistemas e roubo de informações, incluindo dados relativos a mais de 130 milhões de cartões de crédito e débito.
Rene Palomino Jr., advogado do hacker, não foi encontrado pela reportagem nesta sexta-feira, mas disse à agência Associated Press, na quinta-feira, que Gonzales "estava muito arrependido do que fez".
O acordo assegura que Gonzales ficará preso de 15 a 25 anos e terá restrições no uso da internet até 5 anos depois de ser solto.
Golpes na web
Albert usava na web os nomes "segvec", "soupnazi" e "j4guar17" e era acusado, juntamente com outros dois hackers não identificados, de usar uma sofisticada técnica de invasão chamada "ataque de injeção SQL", para roubar informações sobre cartões de crédito e de débito.
Nesse tipo de ataque, o invasor se infiltra no banco de dados por meio de um problema nos sistemas que com ele interagem. "Tecnicamente, um ataque de injeção SQL é um que altera as consultas que o sistema ou site faz ao banco de dados. Com isso, o invasor pode inserir dados, capturar informações que normalmente não são retornados, ou ainda burlar sistemas de login", explicou Altieres Rohr, colunista de segurança do G1.
De acordo com o Departamento de Justiça dos EUA, este é o maior caso de violação de dados de cartões de crédito e de débito já levado a um tribunal norte-americano.
Desde 2006
Gonzales e seus cúmplices iniciaram o golpe em outubro de 2006, ao pesquisarem os sistemas de crédito e de débito utilizados por suas vítimas. Em seguida, os dados roubados eram enviados para servidores que operavam na Califórnia, Illinois, Letônia, Holanda e Ucrânia.
Ainda de acordo com a polícia, os hackers usavam sofisticadas técnicas para encobrir suas pistas e evitar a detecção por software antivírus utilizados por suas vítimas.
Entre as vítimas dos ataques estão clientes de companhias norte-americanas de cartão de crédito, cadeias de restaurantes, lojas de conveniência e supermercados.
Segundo Gabinete de Segurança Institucional da Presidência, uma das 320 grandes redes foi vítima de 3,8 milhões de ataques em 2008
As redes de computadores do governo federal brasileiro recebem dois mil ataques por hora. Segundo o blog do jornalista Josias de Souza, o número foi repassado pelo chefe do Gabinete de Segurança Institucional da Presidência (GSI), Raphael Mandarino Jr., que o divulgou durante uma reunião da Comissão de Segurança Pública da Câmara, no dia 7 de julho.
O governo tem 320 grandes redes, incluindo as do Banco do Brasil, Serpro e Justiça, entre outros órgãos. Na maior dessas redes houve um total 3,8 milhões de ataques em 2008. Aproximadamente 1% foi tentativa de invasão. Mandarino, porém, não disse qual seria essa rede específica.
Apesar da gravidade dos números, a crise pela qual o Congresso tem passado nos últimos meses pode ter sido responsável pela baixa repercussão que da reunião. De acordo com Josias de Souza, apenas cinco deputados compareceram ao encontro que revelou os dados.
Um assessor do ministro Jorge Felix, da Segurança Institucional, afirmou que seu departamento analisa cerca de 200 novos softwares maliciosos por mês. Deles, 70% buscam informações bancárias nas redes oficiais, 15% procuram informações pessoais e 10% tentam roubar informações da INFOSEG, rede do Ministério da Justiça que armazena dados das secretarias estaduais de Segurança Pública e da Justiça.
Na reunião, Mandarino disse que o caso de ataque mais sério envolveu uma quadrilha do Leste Europeu, que entrou no servidor de um órgão público, trocou a senha e pediu um resgate de 350 mil dólares para devolver a senha. O servidor foi recuperado com a ajuda de técnicos da Agência Brasileira de Inteligência (Abin) e especialistas de fora do governo. A investigação ainda tramita pela Polícia Federal e Mandarino não forneceu mais detalhes.
Primeiro gostaria de agradecer a todos pelos emails recebidos referentes ao ultimo artigo sobre pentests. Neste artigo espero conseguir contar um pouco da história de como IDM (identity Management) tornou-se IAM (Identity And Access Management), dando diversos exemplos de situações encontradas nos clientes, durante implantações. Não citarei nomes de clientes por questões éticas mas, os casos citados são reais.
O conceito de Identity Management ou Gerenciamento de Identidades surgiu da necessidade de gerenciar o ciclo de vida de um usuário na corporação. Imagine você chegando a uma empresa empresa, o RH valida sua documentação e te cadastra no sistema interno, seja legado ou de mercado (como Peoplesoft, Siebel, SAP, etc). A partir deste momento diversas solicitações de aprovações são disparadas por email para diferentes gestores. O responsável pelo ambiente de email recebe uma solicitação de aprovação, o responsável pelo ambiente de rede recebe uma solicitação de aprovação e assim com todos os sistemas integrados a solução de IDM. Posterior aprovação inicial o processo pode seguir para outros aprovadores ou, simplesmente realizar a criação da conta de acesso ao determinado sistema e notificar ao responsável pela mesma. A automação do processo agiliza o tempo de criação e a segurança e controle sobre as contas de acesso existentes no ambiente corporativo. Por exemplo, realizei um projeto em uma grande empresa de telecomunicações aonde, durante as férias do funcionário, caso o mesmo precisasse ir ao escritório era necessário uma concessão temporária de acesso para que o mesmo pudesse entrar na empresa. Todos os acessos do funcionário eram bloqueados a partir do momento que o RH inseria no sistema o mesmo como INATIVO ou EM FÉRIAS. Neste momento o sistema de IDM realizava o sincronismo de dados e todos os acessos eram cancelados temporariamente. Neste projeto não só a tecnologia foi bem implementada, mas os processo internos também foram bem mapeados assim como a cultura foi difundida dentro da empresa. IDM ou IAM não é tecnologia e sim uma mudança na cultura da corporação. Falaremos sobre este tema mais tarde.
O primeiro projeto de IDM que participei foi no ano de 2000. Este projeto foi realizado numa grande indústria petroquímica e, ali começamos a perceber a necessidade de integração de sistemas e de outras suítes de segurança como aplicações de controle de acesso. Nesta época as soluções de IDM eram muito imaturas e, precisam de muitas customizações de códigos e aplicações de patchs e correções. Neste projeto eu trabalhava em um fornecedor a qual possuía uma suíte grande de aplicativos de segurança e, uma das grandes necessidades de integração foram as ferramentas de identity management e access control. Notamos que as duas aplicações explicitamente deveriam ser integradas e o conceito unificado. Naquele momento tínhamos a certeza de o caminho do conceito de gerenciamento de identidades seria para o conceito de gerenciamento de ACESSO e identidades.
Posteriormente realizei um projeto em uma grande indústria de aço e peças de metais no interior de São Paulo. Mais uma vez a necessidade clara de integração da aplicação de gerenciamento de identidades com a aplicação de controle de acesso. Era cada vez mais clara a necessidade de uma solução integrada. Os agentes, ou conectores (como também são chamados) de integração com aplicativos já estavam mais maduros e já existiam diversos tipos desenvolvidos como por exemplo para Unix, Linux, Siebel, Oracle, SQL, Active Directory, SAP enfim, para todos os aplicativos de ponta no mercado.
Hoje, não mais falamos de Gerenciamento de Identidade mas sim de Gerenciamento de Acesso e Identidade (IAM – Identity and Access Management). Visando o futuro já estamos falando de SOC (Security Operation Center). Através de uma central única já é possível verificar em tempo real todos os alertas gerados por aplicativos de segurança da informação como o aplicativo de IAM, alertas gerados por firewalls, IDS e IPS enfim, todos os componentes da disciplina segurança da informação. Já trabalhei em clientes com SOC internos já implementados, assim como em projetos de elaboração e implementação de SOC. Confesso que é um projeto desafiador e trabalhoso.
Depois de muitas implementações de IAM bem sucedidas como outras nem tanto, posso afirmar com certeza que um projeto de sucesso, é resultado de uma combinação de:
Tecnologia madura (Realizar um estudo para certificar-se da melhor tecnologia que se adapte ao ambiente da sua empresa);
Processos bem mapeados (Levantar todos os processos de integração, fluxos de aprovações e workflows necessários a serem customizados);
Implantação de uma cultura interna (Realização de fóruns, envio de emails explicativos);
Gestão de Perfis (Realizar mapeamento de perfis internos junto as políticas adotadas pelo RH)
Vou comentar um pouco dos quatro tópicos a serem abordados.
1 – Tecnologia Madura
É necessário realizar estudos com as tecnologias de mercado para certificar-se da melhor para o seu ambiente. Hoje existem dezenas de soluções excelentes no mercado como as soluções da CA, Oracle (Sun), IBM, Novell, Microsoft e diversas outras, até mesmo a possibilidade de criar uma aplicação interna. É importante a realização de testes dos aplicativos e validação da integração da solução de IAM com os aplicativos internos da empresa. Verificar a integração da solução com a tecnologia de email usada na empresa para não ter problemas futuros nas customizações de workflows internos de aprovações, também é uma boa dica. Projetos com testes internos realizados foram sempre projetos com tecnologia aderente ao core business da empresa a necessidade da mesma.
2 – Processos Bem Mapeados
É muito importante o mapeamento de todos os processos que envolvem o conceito de IAM. Todos os fluxos de workflow devem ser mapeados anteriormente, assim como todos os aprovadores. Cada sistema pode ter um aprovador distinto. O processos de Self Registration e de Recuperação de Senha devem ser mapeados de forma a agilizar o sistema de perguntas e resposta e tempo de recuperação. Os processos de gestão de política de contas de acesso também deverão ser mapeados para que os sistemas estejam integrados a política implementada na tecnologia de IAM.
3 – Implementação de uma Cultura Interna
Não existe projeto de IAM bem implementado sem uma forte inclusão desta cultura na empresa. IAM muda com toda a estrutura organizacional. Muitos usuários não mais terão necessidade de se conectar a sistemas críticos (como a gestão de usuários da rede por exemplo). Apenas será necessário realizar a aprovação de uma requisição. O Acesso de criação é realizado pelos conectores e/ou agentes de integração da solução de IAM. Todos os seus acessos são integrados e, a área responsável pelo funcionário deve atualizar diariamente a base de dados do sistema de RH de forma a garantir a gestão de acessos aos sistemas na empresa. Desta forma, um usuário de férias deve se apresentar na portaria da sua empresa, caso tenha que realizar uma visita ao trabalho, pois seu crachá não terá acesso às dependências internas, uma vez que o sistema de crachá e controle de catracas é integrado a solução de IAM.
É importante um processo de comunicação interna avisando sobre os benefícios da implementação como o sistema de recuperação de senha automatizado sem a necessidade de ligar ao helpdesk interno. Todas essas mudanças devem ser comunicadas de forma proativa a fim de minimizar o impacto da implantação desta nova cultura de trabalho da empresa.
4 – Gestão de Perfis
É muito importante, antes de qualquer implementação de tecnologia de IAM, realizar um mapeamento interno dos perfis a serem criados. Uma integração com o RH deve ser bem efetuado para entender como são os perfis atualmente e como serão os mesmos. Qual será a nomenclatura definida para os perfis ? Quais os componentes de cada perfil ?
Realizando este mapeamento prévio, o processo de implementação e customização dos perfis na ferramenta de IAM consumirá muito menos tempo de criação.
Em resumo geral uma implementação de sucesso da tecnologia de IAM é uma implementação bem integrada na empresa, com todas as áreas envolvidas “falando a mesma língua”. Uma outra dica importante é a elaboração de um comitê interno com responsáveis diretos por todas as funções do mesmo. Se criado o comitê é bom definir responsabilidade entre outras coisas para:
1)Verificação de conformidades a frameworks de mercado (Itil, Sox, PCI-DSS, conforme negócio da empresa);
2)Verificação de adequação a políticas internas e elaboração de políticas específicas para a disciplina;
3)Gestão de perfis e fluxos de aprovação;
4)Gerenciamento de integração (definir especificações funcionais para integração com aplicações).
Estes são algumas necessidades básicas que este comitê deverá elaborar e implementar, entre outras a serem implementadas em paralelo.
Futuramente estarei postando novos artigos me aprofundando mais em processos distintos como o Mapeamento de Perfis por exemplo.
Espero poder contribuir para o aprendizado de todos assim como aprender muito ao longo da vida.
Proposta do senador Expedito Júnior (PR-RO) passa pela Comissão de Constituição, Justiça e Cidadania (CCJ).
Projeto (PLS 607/07), de autoria do senador Expedito Júnior (PR-RO), que regulamenta o exercício da profissão de analista de sistemas foi aprovado na última quarta-feira (19/08) pela Comissão de Constituição, Justiça e Cidadania (CCJ). Agora, segue para análise da Comissão de Assuntos Sociais (CAS), em decisão terminativa - tomada por uma comissão, com valor de uma decisão do Senado.
Pelo substitutivo, aprovado anteriormente pela Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT) e acolhido pelo relator na CCJ, senador Marconi Perillo (PSDB-GO), apenas profissionais com diploma superior em Análise de Sistemas, Ciência da Computação ou Processamento de Dados poderão exercer a profissão de analista de sistemas.
Já a profissão de Técnico de Informática poderá ser exercida por portadores de diploma de ensino médio ou equivalente com curso técnico de Informática ou de Programação de Computadores, expedido por escolas oficiais ou reconhecidas.
A proposta torna privativa do analista de sistemas "a responsabilidade técnica por projetos e sistemas para processamento de dados, informática e automação, assim como a emissão de laudos, relatórios ou pareceres técnicos".
Bom dia a todos. Mediante a tantos testes de penetração (internos e externos) executados no decorrer de alguns anos de experiência, resolvi elaborar um framework macro para auxílio neste tipo de trabalho. Minha idéia não é dar o caminho das pedras para ninguém, mas, auxiliar a todos nas etapas necessárias para este tipo de trabalho.
Basicamente temos 3 etapas distintas neste tipo de serviço, sendo as mesmas detalhadas no decorrer deste artigo. A primeira etapa é denominada como Network Footprint ou mapeamento de informações. Nesta etapa é realizado um mapeamento completo da empresa “alvo” do pentest. São levantados notícias da empresa, citação da mesma em grupos de discussão, a situação da mesma no registro.br entre outras atividades que serão descritas posteriormente.
A segunda etapa é realizar o chamado Discovering & Probing isto é, identificar vulnerabilidades juntos aos dados mapeados na etapa anterior. Nesta etapa são utilizados softwares como NMAP, NETCAT, AMAP entre outros, de acordo com a necessidade do serviço. Por exemplo, caso estejam sendo mapeados problemas com as páginas ou aplicações web disponibilizadas pela empresa, é aconselhável a utilização de sistemas e software como o PAROS por exemplo.
A terceira e última etapa, basicamente consiste na exploração das vulnerabilidades encontradas nas etapas anteriores. Nesta fase vai do conhecimento do consultor responsável pelo serviço, de saber e mapear as ferramentas, scripts e qualquer outro procedimento necessário para explorar as vulnerabilidades identificadas.
Vale lembrar que este tipo de serviço pode causar paralisação de serviços e até mesmo do ambiente do cliente como um todo. Tenha sempre cuidado com os comandos e scripts que serão utilizados nos serviços e, antes de mais nada entendam a necessidade de seu cliente para que não se perca com tarefas que não irão gerar o resultado esperado pelo cliente.
Abaixo apresento alguns sites ou ferramentas que podem ser utilizada em cada uma das etapas descritas anteriormente neste artigo.
Etapa 1 (Network Footprinting – Mapeamento)
1. Google Search (www.google.com)
2. Registro.br (www.registro.br)
3. Subnet Calculator (http://www.subnet-calculator.com/)
4. Traceroute (http://registro.br/cgi-bin/nicbr/trt e http://www.traceroute.org)
5. TCPTraceroute – Comando Linux
6. DNS Stuff (http://www.dnsstuff.com/# e http://member.dnsstuff.com/pages/tools.php?ptype=free)
Para este tipo de Trabalho costume utilizar sistema operacional linux como o Nubuntu e o Back Track já que estes são sistemas operacionais preparados para a execução deste tipo de trabalho.
Não explorei muito comandos utilizados, pois não é este meu intuito e sim de levar um modelo macro de framework para este tipo de serviço. Na internet é possível encontrar frameworks mais detalhados que podem servir de complementos para o apresentado neste artigo.
De qualquer forma me coloco a disposição para esclarecimentos de dúvidas e debates sobre ferramentas e tecnologias utilizadas.
Maior causador de danos no 1º semestre de 2009, no entanto, foi o worm Conficker. Tráfego de spams cresceu 150% no período.
Por Nando Rodrigues, da PC World - 19 de agosto de 2009 - 18h22
Os vírus do tipo cavalo-de-troia são o tipo de praga virtual mais comum na internet e representam 83% de todo malware que circula eletronicamente, aponta estudo divulgado pela empresa de segurança BitDefender na terça-feira (18/8), referente ao período de janeiro a junho de 2009.
Apesar disso, mostra a análise, o Downadup Internet Worm - mais conhecido como Conficker - foi a praga que mais danos causou, tendo conseguido infectar mais de 11 milhões de computadores em todo o mundo. O Downadup se aproveita de uma brecha existente para se espalhar. A Microsoft já publicou correção para a falha, mas a praga, segundo a empresa de segurança, continua a infectar um grande número de sistemas que ainda não instalaram a correção.
De acordo com a BitDefender, os países mais ativos na propagação de pragas virtuais nos primeiros seis meses de 2009 foram China, França, Estados Unidos, Romênia, Espanha e Austrália, respectivamente.
Mensagens não desejadas O levantamento mostra que houve um aumento de 150% no volume de spam (mensagens eletrônicas não desejadas) com imagens no primeiro semestre do ano em relação ao mesmo período de 2008.
Segundo a BitDefender, em junho de 2009, spams com ofertas de softwares e produtos representaram 5% do total de mensagens não desejadas enviadas no mundo todo. Entre os demais conteúdos mais comuns de spam estão: medicamentos; links para sites phishing; empréstimos e hipotecas; mensagens com pragas virtuais anexas; pornografia; sites de encontro/relacionamento; ofertas de emprego; cassinos online e diplomas acadêmicos.
Entre janeiro e junho deste ano, mensagens de phishing corresponderam a 7% do total de spam que circulou pela web. De acordo com a empresa de segurança, os países mais visados neste tipo de ataque foram Estados Unidos, Canadá e Reino Unido. A Rússia é apontada com uma das mais importantes fontes deste tipo de ataque e tem como principal motivo sua fraca legislação contra crimes cibernéticos e elevada taxa de desemprego.
