Pesquisadores usam bugs para reduzir falhas em softwares

bug

A nova estratégia consiste em treinar ferramentas para encontrar vulnerabilidades nos sistemas

Pesquisadores desenvolveram uma técnica experimental que usa bugs para, acredite, reduzir a quantidade de falhas dos softwares. A ideia consiste em inserir uma quantidade conhecida de vulnerabilidades no código para entender quantos deles são descobertos por ferramentas que buscam brechas.

A partir dessa rotina, é possível analisar as razões que permitiram que aqueles bugs escapassem dos sistemas de detecção e, com isso, possibilitar que desenvolvedores possam criar métodos mais efetivos.

O modelo vem sendo testado por pesquisadores da Universidade de Nova York e do MIT, que criaram a técnica de baixo custo de adição de vulnerabilidades automatizadas em larga escala (Lava, na sigla em inglês).

“A única forma de avaliar um sistema que encontra bugs é controlar o número de bugs em um programa, o que é exatamente o que estamos fazendo com o Lava”, afirmou Brendan Dolan-Gavitt, professor de engenharia e ciência da computação na NYU.

A pesquisa revelou que as ferramentas de varredura eram pouco eficientes na detecção de falhas. Não apenas isso, esses sistemas encontravam problemas que não existiam, gerando um esforço desnecessário de limpeza para garantir a qualidade do código.

O time inseria nos programas um número conhecido que foi chamado de “vulnerabilidades sintéticas”, atributos que simulavam falhas. A ideia é que o avanço da pesquisa ajude a reduzir consideravelmente os custos de desenvolvimento de sistemas.

Fonte: IDG NEWS

Desenvolvedores insistem em códigos vulneráveis para criar softwares

dado

Mesmo sabendo que alguns desses pedaços de sistemas comprometidos, programadores os utilizam em aplicações corporativas

Empresas que desenvolvem software corporativos baixam, em média, mais de 200 mil componentes open source todos os anos. Um em cada 16 desses elementos vem com vulnerabilidades de segurança.

O contexto afeta a qualidade. Ao analisar 25 mil aplicações corporativas, foi constatado que 6,8% dos componentes usados possuem, no mínimo, uma vulnerabilidade.

Segundo a Sonatype, fornecedora de ferramentas para controlar o ciclo de vida das aplicações, esses componentes pegos junto a bibliotecas de terceiros contribuem com entre 80 e 90% da base de código de um software empresarial nos dias de hoje.

Esse é um indicativo preocupante da qualidade da cadeia de suprimento de sistemas, um problema que se torna pior a medida que as empresas aumentam os níveis de terceirização da criação de aplicações.

A Sonatype estima que uma empresa com cerca de 2 mil aplicações gastaria US$ 7,4 milhões para remediar apenas 10% dos defeitos e vulnerabilidades introduzidas por esses componentes afetados.

Práticas de gestão da cadeia de suprimento são comuns em diversas indústrias. A prática, talvez, devesse chegar ao setor de software, o que ajudaria a reduzir os custos de manutenção.

 Fonte: IDG NOW

Estudo revela presentes mais suscetíveis a ataques

Com a época de festas chegando, a Intel Security revela para os consumidores os “Presentes de Natal mais suscetíveis a ataques de hackers” para garantir sua segurança ao dar e receber presentes tecnológicos.

Na época de festas, os consumidores ficam ansiosos para começar a usar seus novos dispositivos o quanto antes e geralmente não percebem alguns dos riscos de segurança em potencial que os tornam vulneráveis. Coisas tão comuns e aparentemente seguras como uma conexão Wi-Fi, Bluetooth e aplicativos para pagamentos podem rapidamente se tornar um ponto fraco na segurança pessoal.

Para ficar alerta aos riscos, veja a seguir os presentes de Natal mais suscetíveis a ataques de hackers em 2015 segundo a Intel Security.

Relógios inteligentes e monitores de atividades físicas

Os relógios inteligentes e monitores de atividades físicas se tornaram extremamente populares nos últimos anos, e devem gerar um grande volume de vendas nesta época de festas.

O proveito real de invadir um dispositivo vestível está em sua conexão com um smartphone. Com acesso ao smartphone, o hacker pode passar pelo aplicativo do dispositivo vestível e ler e-mails, SMSs ou até mesmo instalar um software mal-intencionado, além de visualizar informações no dispositivo como endereços de e-mail, números de telefone, datas de nascimento etc., que podem ser usadas para roubar identidades.

Smartphones e tablets

Com a constante fabricação de novos modelos de smartphones e tablets durante todo o ano, esses dispositivos são presentes ideais para amigos e familiares que querem ter o telefone mais atual para dar suporte à sua rotina sempre em movimento.

Nesses dispositivos, os invasores podem assumir o controle do Bluetooth e, com algumas informações e artimanhas, um invasor pode se passar por um dispositivo Bluetooth e usar isso para roubar informações, como ler mensagens de texto ou ligar para um número pago fingindo ser o seu relógio inteligente, bem como visualizar informações no dispositivo para roubar sua identidade.

Drones e dispositivos com câmeras

Nos dias de hoje, todos querem registrar cada momento utilizando dispositivos com câmeras e até mesmo capturar vistas aéreas com equipamentos como drones. De acordo com as previsões da CEA, o mercado norte-americano de drones faturará quase US$ 105 milhões em 2015.

Os cibecriminosos podem roubar dados pessoais confidenciais de alguém que deseja se conectar a uma rede Wi-Fi aberta enquanto um drone sobrevoa sua cabeça. Isso tira proveito do fato de que os consumidores geralmente estão dispostos a sacrificar a segurança e a privacidade pela praticidade de conectar-se a redes não seguras.

Dispositivos para crianças

E-books, aplicativos sociais e carros de controle remoto: as crianças adoram usar a tecnologia e, embora esperemos que os brinquedos infantis sejam incondicionalmente seguros, existem algumas questões de segurança das quais os pais devem estar cientes, principalmente quando esses dispositivos possuem acesso à Internet. Já houve casos de hackers que invadiram babás eletrônicas e câmeras de vigilância infantil.

Infelizmente, raramente a segurança dos dispositivos e aplicativos sociais para crianças é considerada, então é responsabilidade dos pais assegurar que o brinquedo de seu filho não esteja transmitindo vídeo ou áudio para visualizadores desconhecidos!

Veja algumas dicas para manter mais seguros os dispositivos que ganhar de presente:

Altere as senhas padrão. Esse provavelmente é um dos métodos mais eficazes para proteger melhor seu dispositivo na época das festas. Ao alterar a senha de um dispositivo para outra mais complexa (de pelo menos oito caracteres com números, símbolos e letras maiúsculas e minúsculas), você adotará uma postura de segurança mais reforçada.

Mantenha o software atualizado. Os dispositivos inteligentes quase sempre exigem atualizações de software regulares. Geralmente, essas atualizações incluem correções de segurança criadas para proteger os usuários contra os cibercriminosos. Sempre atualize seus dispositivos assim que as atualizações forem disponibilizadas.

Proteja seus principais dispositivos. Mesmo se um hacker assumir o controle do seu drone ou monitor de atividades físicas, o ideal é impedir que eles acessem seu smartphone, tablet ou laptop.

Fonte: Risk Report

Leitura de impressão digital deve ser adotada por bancos

Hoje em dia, há dois tipos de organização: a que sabe que está sendo hackeada e a que não sabe ou finge desconhecer essa realidade. Seja como for, todas são vulneráveis e suscetíveis a ataques e fraudes”, diz Phil Scarfo, vice-presidente global de marketing da HID Biometrics. Em termos de tecnologia, o sistema financeiro brasileiro é um dos mais avançados e vem, nos últimos cinco anos, substituindo o uso de senhas, tokens e outros dispositivos, pela autenticação biométrica. “Diante de tantos prejuízos por causa do roubo de senhas e cartões dos correntistas, os bancos se adiantaram em buscar soluções que fossem simples e ao mesmo tempo confiáveis em termos de segurança. Por isso a autenticação da impressão digital tem sido o recurso mais usado nos caixas eletrônicos”.

A seguir, Scarfo aponta três razões para que os bancos adotem a leitura da impressão digital para validar operações bancárias:

Facilidade de uso. “Não é à toa que a autenticação biométrica já foi implantada em 90 mil caixas eletrônicos em todo o Brasil, sendo que cerca de 60 mil adotaram a tecnologia de imagem multiespectral para validar impressões digitais. Da base instalada de caixas eletrônicos que utilizam sensores biométricos com essa tecnologia, estimamos mais de 120 milhões de leituras de impressão digital por mês. Isso demonstra que, depois que o usuário cadastra suas digitais na agência bancária onde tem conta, pode sacar dinheiro de qualquer caixa eletrônico da bandeira sem ter de levar a senha anotada ou memorizada. Esse procedimento é especialmente favorável à população com baixa escolaridade, facilitando o recebimento de seus proventos”.

Segurança. “O roubo de senhas, cartões e tokens é muito comum. Obviamente, não são poucos criminosos que tentam fraudar, também, a impressão digital de uma pessoa para uso indevido. Com esse objetivo, usam todo tipo de material – desde látex transparente e silicone, até gelatina, fita adesiva e dedos de borracha, entre outros. Não se pode afirmar que todo leitor de impressão digital está apto a identificar que se trata de uma fraude e impedir que seja bem-sucedida. Por isso, a qualidade da imagem é fundamental para o aumento de segurança. A tecnologia de imagem multiespectral permite que um único leitor biométrico seja capaz de autenticar de forma confiável um grande volume de usuários. Trata-se de uma tecnologia superior que emprega diversos comprimentos de ondas luminosas em conjunto com modernas técnicas de polarização para obter características singulares da impressão digital, tanto da superfície da pele quanto de uma subcamada que reproduz o mesmo padrão. Por isso é tão eficiente no combate às tentativas de fraude”.

Desempenho do sensor biométrico. “Além de ser capaz de garantir a autenticidade da impressão digital, o sensor biométrico tem de funcionar bem em situações reais. Seja no caixa eletrônico instalado dentro de uma agência bancária, de um posto de combustível ou de um shopping center, o leitor de impressão digital tem de identificar e autenticar rapidamente qualquer tipo de dedo, ainda que a mão esteja molhada, suja de graxa ou óleo, machucada, desgastada pelo tempo ou pela atividade exercida pelo correntista. Esse também é um diferencial da tecnologia de imagem multiespectral, por isso também costuma ser empregada em áreas abertas de aeroportos e terminais rodoviários”.

Na opinião do executivo da HID Biometrics, nenhum sistema é 100% seguro por muito tempo. Por isso, outra virtude da tecnologia biométrica de imagem multiespectral é ser capaz de atuar em conjunto com outros dispositivos de segurança. “O importante é sua capacidade de modificar, atualizar e responder a novas vulnerabilidades e ameaças, atualizando o nível de segurança e se provando um investimento de longo do tempo”.

Fonte: Risk Report

Juniper Networks lança novo antimalware avançado

A Juniper Networks anuncia um avançado antimalware (software para proteger contra ameaças) que oferece proteção diária na nuvem, gestão de segurança redesenhada, e os mais recentes firewalls para rede de campus e filiais de empresa, como parte de sua nova arquitetura Juniper Networks Unite®. As mais recentes soluções de segurança incluem a prevenção de ameaças Juniper Networks® Sky Advanced Threat Prevention, Junos® Space Security Director e os Services Gateways da Série SRX, para fornecer aos clientes sofisticada proteção contra ameaças na gestão da segurança, automação e escalabilidadenecessária para se defender das ameaças em qualquer ponto da rede, sem prejudicar o seu desempenho. Esses avanços oferecerão melhor visibilidade da rede por meio de uma plataforma de gerenciamento simplificada e intuitiva, bem como assegurarão proteção dinâmica e total contra ameaças, com inteligência automaticamente distribuída na nuvem pelos firewalls SRX em todos os pontos da corporação.

A implantação de ações planejadas para impedir riscos cibernéticos (cyber risks), não é mais uma opção para as empresas — é uma necessidade — na medida em que as empresas enfrentam ameaças mais sofisticadas possibilitando a invasão de redes internas, burlando muitos dos métodos de segurança para sua detecção. Soluções de segurança que apenas detectam malwares (softwares maliciosos) já conhecidos e atividades suspeitas não são mais suficientes. As empresas enfrentam crescente demanda por acesso às informações críticas em qualquer lugar, a partir de dispositivos móveis e aplicações na nuvem, os quais trazem novos riscos para a segurança da rede. Como resultado, as empresas necessitam ter visibilidade em toda a rede e detectar as mais novas e perigosas ameaças aplicando a políticas de segurança que são dinâmicas e globais. A solução para esta difícil situação pode ser alcançada por meio de redes definidas por software.

A Juniper Networks está transformando a forma pela qual as empresas protegem e gerenciam suas redes com uma abordagem abrangente, aberta e simples. Esta abordagem permite executar uma política aberta para aplicações contando tanto com a colaboração dos feeds da Juniper ou de terceiros (third-party feeds) para ampliar a identificação de ameaças dinâmicas pelos firewalls físicos ou virtuais do gateway de serviços SRX.

Fonte: Risk Report

Ataques Ramsomware vão crescer mais de 300% a partir da Black Friday

A temporada de compras de fim de ano está prestes a começar, e a expectativa do mercado é de que as compras online continuarão a desempenhar um papel importante nas vendas. Mas, embora a Black Friday e a Cyber Monday sejam, geralmente, vistas como o início da temporada de compras de fim de ano, os especialistas em segurança da F-Secure alertam que os criminosos podem executar campanhas de ransomware e malware durante todo o mês de dezembro, e não somente nos dias com o maior volume de vendas.

“A Cyber Monday é apenas a ponta do iceberg das compras de fim de ano. Os criminosos estão à espreita das pessoas 365 dias por ano, mas os ataques se tornam mais constantes durante o fim do ano, porque mais pessoas fazem compras online. A Cyber Monday não é mais nem menos segura do que qualquer outro dia do ano. Ainda assim, as pessoas devem se conscientizar de que sites poluídos de anúncios pode resultar em surpresas desagradáveis”, diz Sean Sullivan, F-Secure Security Advisor.

O ransomware é um software malicioso que permite ao criminoso impedir o acesso ao computador da vítima até que ela pague um “resgate”. A F-Secure Labs observou um significativo aumento das detecções de diversas famílias de ransomware entre novembro e dezembro de 2014, incluindo um aumento de aproximadamente 300% da família Browlock de ransomware, destacada como uma das dez maiores ameaças no mais recente relatório de ameaças da F-Secure.

O Browlock é um subconjunto de ransomware que os pesquisadores denominam “ransomware policial”, pois ele impede o acesso aos computadores das pessoas usando uma tela de bloqueio que alega agir em nome da lei. As detecções de ransomware policial aumentam significativamente antes e depois do fim de ano, mas os demais tipos de ransomware seguem outras tendências, em conformidade com a diferença de infraestrutura por trás deles.

O subconjunto Cryptowall, que utiliza técnicas de criptografia para bloquear o acesso a conteúdos como imagens e documentos, usa agentes humanos para ajudar as vítimas a completarem seus pagamentos e desbloquear seus dispositivos. Apesar de ter pouca incidência, é mais um perigo a ser considerado durante o fim de ano. Segundo Sullivan, a atividade do Cryptowall sofreu uma queda repentina no início de janeiro do ano passado, indicando que as pessoas que executavam campanhas de Cryptowall durante a temporada de fim de ano estavam, muito provavelmente, saindo de férias.

“O ransomware policial usa muito mais automação do que as famílias que realmente criptografam dados; vale destacar que a maioria dessas famílias de ramsonware não desbloqueia os dispositivos após a vítima pagar”, comenta Sullivan. “Mas o Cryptowall e famílias semelhantes empregam pessoas em call centers para ajudar as vítimas a fazerem seus pagamentos, e essas pessoas tiram férias como todas as outras. No ano passado, o Cryptowall encerrou as operações por volta de 6 de janeiro – o Natal na Rússia; por isso, muito provavelmente elas estavam gastando o dinheiro que arrecadaram em dezembro para as suas próprias férias.”

Três dicas para compras online seguras neste fim de ano

Qualquer pessoa infectada com o Browlock ou outro ransomware policial pode consultar o F-Secure Labs’ removal guide (Guia de remoção da F-Secure Labs) para saber como remover o malware sem ter de pagar o resgate. Mas, ainda assim, a melhor defesa é que as pessoas evitem se expor a ameaças. Há algumas maneiras para minimizar os riscos ao fazer compras online.

1.Usar um iPad ou outro dispositivo móvel: Embora os dispositivos móveis sejam tão populares quanto os PCs, a maior parte do malware é projetada para comprometer PCs baseados em Windows; por isso, usar um dispositivo móvel para navegar nas ofertas de fim de ano pode minimizar os riscos. Sullivan diz que usa um iPad com o F-Secure Freedome para verificar as ofertas de fim de ano e obter ideias de presentes.

2.Fazer transações financeiras com um PC seguro: “Dispositivos móveis são muito convenientes, mas isso não os torna mais seguros”, diz Sullivan. Muitas pessoas têm, em seus dispositivos móveis, apps com permissões confusas ou invasivas; alguns até salvam dados em serviços de armazenamento na nuvem sem o conhecimento das pessoas. Embora a maioria das ameaças de malware funcione em Windows, os PCs tradicionais oferecem às pessoas mais maneiras de gerenciar as configurações que controlam as informações armazenadas, o que é importante quando se utiliza cartão de crédito ou informações bancárias online.

3. Cuidado com clickbait: Propagandas maliciosas são uma maneira comum de fazer um download acidental de malware ou de entrar em websites maliciosos; por isso, pense antes de clicar em qualquer propaganda ou oferta por e-mail que pareça boa demais para ser verdade.

Fonte: Convergencia Digital

Ataque terrorista em Paris vira isca para golpes de hackers na web

Segundo a Bitdefender, cibercriminosos já usam ação do Estado Islâmico para enganar internautas e tomar controle dos seus aparelhos.

Como costuma acontecer com notícias de grande mobilização popular, os ataques do grupo terrorista Estado Islâmico em Paris na sexta-feira, 13/11, já viraram isca para ataques de hackers na web.

De acordo com a empresa de segurança Bitdefender, os cibercriminosos criaram uma versão maliciosa da conhecida campanha “Somos Todos Paris”, mas com imagens falsas – ao clicar nelas, o usuário permite a instalação de um malware que consegue controlar seu computador e smartphone.

A companhia destaca que o próprio Ministério do Interior da França fez um alerta sobre essa ameaça, pedindo cuidado aos internautas contra golpes desse tipo.

“Às vezes não é fácil detectar uma falsa notícia. O ideal é acessar as matérias diretamente nos portais que o usuário já conhece e confia, e evitar clicar em links que chegam por e-mail, WhatsApp, SMS ou redes sociais, além de cuidado especial com conteúdos sensacionalistas”, explica o CEO da Securisoft e Country Partner da Bitdefender no Brasil, Eduardo D’Antona.

Além de tomar cuidado antes de abrir e/ou clicar em qualquer link/arquivo, é recomendado sempre manter seu antivírus atualizado, aponta a companhia especializada.

Fonte: IDG NOW!