ASPECTO.Net - Notícias

Usei o mesmo título da mensagem que recebi, mas é porque é um ótimo título mesmo. Não sei se a conversa com o Demi Getschko (no ou depois do Campus Party) influenciou, mas o CGI.BR decidiu liberar o registro de domínios com.br mediante o CPF. Aliamos o maravilhoso controle já existente com ainda mais facilidade.

Valeu, CGI.BR! Valeu, Demi!

Vamos lá, pessoal. Escolha um dos nossos planos e tenha o seu espaço na internet.

Prezado(a) Usuário(a),

COM.BR com CPF
————–

Por decisão do CGI.br, o domínio COM.BR, destinado a atividades comerciais genéricas na Internet, também poderá ser registrado sob um CPF. Ou seja, pessoas naturais com atividades comerciais e afins poderão registrar domínios COM.BR.

Esta modificação terá efeito a partir do dia 01/05/2008.

Inicialmente, somente o domínio COM.BR estará disponível nesta nova categoria, genérica, que permite registro tanto com CNPJ quanto com CPF. Lembramos que, para manter a transparência do registro de domínios .br, pessoas físicas responsáveis por domínios COM.BR estarão sujeitas aos mesmos procedimentos das entidades cadastradas previamente.

Verificação DNS
—————

O Registro.br monitora constantemente o correto funcionamento de seus domínios. Fique atento aos avisos de problemas DNS e siga nossas recomendações para evitar problemas aos usuários de seus sítios.

Agradecemos a atenção,

Registro.br
http://registro.br/

Estão disponíveis em http://www.cert.br/stats/spam/ as estatísticas referentes a reclamações de spam enviadas ao CERT.br
em 2007, incluindo:

- os totais anuais agrupados (2007: janeiro a dezembro);
- o quarto trimestre de 2007 (2007: outubro a dezembro);
- o mês de dezembro de 2007.

O número total de emails processados no ano de 2007 foi superior a 2,44 milhões, com as reclamações concentrando-se nas categorias de Proxy Aberto e Envio de Spam.

O número total de emails processados no mês de dezembro e no quarto trimestre de 2007 foi superior a 287 mil e 694 mil, respectivamente, com as reclamações concentrando-se nas categorias de Proxy Aberto e Envio de Spam.

Foram observadas as seguintes variações no número de reclamações recebidas:

- acréscimo de 51,3% no mês de dezembro, comparado com o período anterior (novembro de 2007);
- acréscimo de 33,1% no quarto trimestre de 2007, comparado com o período anterior (terceiro trimestre de 2007);
- decréscimo de 28,1% no ano de 2007, comparado com o período anterior (ano de 2006);

Atenciosamente,
–
CERT.br
<cert@cert.br>
http://www.cert.br/

Estão disponíveis em http://www.cert.br/stats/incidentes/ as estatísticas dos incidentes reportados ao CERT.br em 2007,
incluindo:

- os totais anuais agrupados (2007: janeiro a dezembro);
- o quarto trimestre de 2007 (2007: outubro a dezembro).

Chamaram a atenção os seguintes fatores:

* As tentativas de fraude contabilizadas no primeiro semestre de 2007  estiveram em patamares próximos aos do ano de 2006, porém estas notificações aumentaram no segundo semestre de 2007, fechando o ano com um total de 45.298. Apesar dos números apresentarem uma queda nos meses de novembro e dezembro, o total ainda representou um aumento de cerca de 8% com relação a 2006.

* Dentre as tentativas de fraude, as reclamações de quebra de direitos autorais cresceram 773% em relação a 2006.  As tentativas de fraudes financeiras apresentaram redução de 26% em 2007, porém houve uma mudança no tipo de ardil utilizado, com o aumento no número de páginas falsas de bancos brasileiros (phishing tradicional), ataque que não era mais tão comum no Brasil desde 2004.

* Os casos envolvendo documentos HTML (como páginas Web e emails) contendo trechos maliciosos em alguma linguagem de script (JavaScript, VBScript, etc) foram comuns ao longo de 2007. Estes códigos tentam explorar vulnerabilidades no browser e/ou sistema operacional e podem resultar no download e execução de código malicioso no computador da vítima sem a necessidade de nenhuma ação adicional.

* Ocorreu um aumento nas notificações de ataques a servidores Web, de 116% em relação ao trimestre anterior e de 575% em relação ao mesmo período de 2006. Em comparação com o total anual de 2006 houve um aumento de 276%. Estes ataques estão explorando vulnerabilidades em aplicações Web e, em alguns casos, visam a hospedagem de cavalos de tróia utilizados em fraudes ou de páginas falsas de instituições financeiras.

* As notificações referentes a varreduras aumentaram 18% se comparadas ao terceiro trimestre de 2007 e diminuiram 50% em relação ao mesmo período de 2006. Considerando os números anuais, as notificações referentes a varreduras diminuiram 24% em relação a 2006.

* Com relação aos tipos de varreduras mais comuns foi grande a procura por serviços que possam sofrer ataques de força bruta como SSH (22/TCP), FTP (21/TCP) e TELNET (23/TCP). O serviço mais procurado foi o SSH (22/TCP), com 71% das notificações no quarto trimestre, chegando a 49% no acumulado anual. Também foram muito procurados os serviços que possam ser explorados para envio de spam, como proxy SOCKS (1080/TCP) e SMTP (25/TCP).

* As notificações de atividades relacionadas com propagação de worms e bots diminuíram 25% em relação ao terceiro trimestre de 2007 e 73% em relação ao mesmo período de 2006. Considerando os acumulados anuais, houve uma diminuição de 29% em relação a 2006.

* O total de notificações recebidas em 2007 caiu 19% em relação ao ano de 2006, em grande parte devido à diminuição no número de notificações relacionadas com worms.

Atenciosamente,
–
CERT.br
<cert@cert.br>
http://www.cert.br/

Há dois novos vídeos lançados pelo antispam.br. Vale a pena conhecer mais sobre o Spam e o que podemos fazer para combatê-lo (ou pelo menos ajudar). Spam e A Defesa. Assista e divulgue.

CGI.br lança dois novos vídeos da campanha Antispam.br São Paulo, 30 de novembro de 2007

Spam e proteção do usuário na Web são os temas abordados pelos episódios

O Comitê Gestor da Internet no Brasil (CGI.br — www.cgi.br), através de sua Comissão de Trabalho Anti-spam, apresenta dois novos vídeos educativos da campanha Antispam.br: “Spam” e “A Defesa”. Os vídeos possuem recomendações e dicas sobre como o internauta deve se comportar para aumentar a sua segurança e se proteger de possíveis ameaças. “Os usuários têm procurado cada vez mais informações para se proteger dos ataques e incidentes da rede, por isso a importância de criar este material interativo com uma linguagem acessível”, explica Marcelo Fernandes, conselheiro do CGI.br.

O vídeo “Spam” demonstra aos usuários os diversos problemas que podem ser causados pelas mensagens não-solicitadas. Propagação de vírus e de produtos supostamente milagrosos, assim como aspectos relacionados à segurança da rede e do usuário, são alguns dos tópicos abordados pela animação. O objetivo do episódio “A Defesa” é apresentar ao usuário maneiras e dicas de como se proteger de ameaças na Internet para navegar com mais segurança na rede.

A iniciativa amplia ainda mais o acesso às informações sobre proteção na Web, transmite conceitos importantes de forma lúdica, leve e interativa, e atinge o público potencial, ou seja, os usuários de Internet em geral. A campanha tem o apoio do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br).

A campanha

No total, quatro animações compõem o material da ação. “Navegar é preciso” e “Os Invasores” foram os dois primeiros vídeos da série educativa. O primeiro apresenta o funcionamento da Internet, suas vantagens, riscos e a necessidade de proteção, principalmente de mecanismos como o firewall. O segundo trata dos tipos de códigos maliciosos e como eles podem entrar no computador do usuário, reforçando que a maioria dos códigos tem mais de um vetor de entrada e por isso mais de uma proteção é necessária.

Todos os episódios estão disponíveis para download no site Antispam.br (http://www.antispam.br/videos). Com distribuição livre, podem ser baixados em diferentes formatos, tamanhos e resoluções, assim podem ser visualizados em diversos sistemas operacionais e conexões, discada ou banda larga.

Sobre o Comitê Gestor da Internet no Brasil - CGI.br

O Comitê Gestor da Internet no Brasil coordena e integra todas as iniciativas de serviços Internet no país, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados. Mais informações em http://www.cgi.br/

Sobre o CERT.br

O CERT.br é o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Mantido pelo Comitê Gestor da Internet no Brasil, o grupo é responsável por receber, analisar e responder incidentes de segurança em computadores envolvendo redes conectadas à Internet no Brasil.

A Juliana Barreto, da Info, divulgou que o Google ajuda a descobrir senhas de blogs, especificamente o Wordpress. Outros meios de comunicação também divulgaram, mas mencionei a Info por ser um canal de renome quanto as informações de tecnologia (embora o MeioBit já se tornou o canal mais poderoso e correto em minha opinião).

Tudo não passou de uma notícia divulgada apressadamente, sem uma apuração cuidadosa do fato. Levo em conta que uma jornalista que esteja trabalhando na Info conheça algo de tecnologia, ou pelo menos sabe onde procurar informações que dêem embasamento às suas informações e notícias. Tivemos, infelizmente, uma disseminação da insegurança àqueles que utilizam o wordpress.

O Élcio, preocupado com a falta de segurança noticiada, resolveu apurar e o resultado é muito diferente do divulgado. Convido-os a visitar o Blog Fecha Tag para ver o que ele escreveu (e também convido-os a acompanhar, pois há conteúdo de primeira qualidade). De qualquer forma, peço licença a ele para copiar aqui:

Para começar, leia o trecho a seguir desta notícia na INFO Online:

Mas, quando tentou o Google, o especialista descobriu que serviço de publicação de blogs Wordpress é vulnerável a pesquisas específicas. O site armazena dados como hashes MD5, que podem conter senhas, de uma maneira visível ao buscador. Bastaria informar um trecho do algoritmo para encontrar dados relacionados ao usuário e suas senhas.

Uau, belo trabalho jornalístico esse hein? Espalhando o medo. Imagine a reação de um leigo, que tenha um um blog Wordpress, ao ler essa pérola da desinformação. Não parece, lendo esse texto, que o Wordpress tem uma seríssima falha de segurança que pode ser explorada usando o Google? Que se alguém “informa um trecho do algoritmo” vai descobrir uma porção de dados seus? Bom, fui ao site do sujeito e li o artigo em que ele explica como quebrou a senha.

O que aconteceu é que o Wordpress do tal Murdoch foi invadido por um cracker, que criou uma conta de usuário. O Wordpress guarda suas senhas em um formato chamado MD5, um formato de criptografia que transforma qualquer senha num hexadecimal de 32 caracteres, assim:

• “Sylar” = 7bef5e9683a92c37a266283bf229c2e8
• “Cap. Nascimento” = 40a4b69d3132bd562dc03e2de30fda3e
• “Pat Morita” = 261f3880c4eab23075356dbc6b5befc3

O Wordpress faz isso para proteger você. Se alguém invadir seu blog, mesmo assim não vai descobrir sua senha. Então o Murdoch não tinha a senha do sujeito que invadiu o blog dele, tinha apenas o texto “20f1aeb7819d7858684c898d1e98c1bb”. O jeito comum de se descobrir essa senha é o chamado ataque de dicionário. Você consegue um enorme dicionário de palavras e nomes comuns, e faz um programa que converte cada um deles para MD5. Se, ao converter algum, você encontrar o tal texto “20f1…”, pronto, você descobriu qual é a senha.

O problema é que esses ataques levam tempo, pois o computador tem que processar milhões de palavras. E se a senha não for uma palavra comum do dicionário, ela não vai ser encontrada. Assim, “banana” vai ser encontrada, mas “Xbanana43″ não. Acontece que palavras muito, muito comuns, como “banana”, ou nomes de pessoas, provavelmente já tem seu hash MD5 publicados em alguma página na web. E, se está publicado, o Google encontra. Por exemplo, procure pelo MD5 de banana.

Então, ao procurar o MD5 da senha do invasor, o Murdoch achou páginas como essa aqui, uma lista de pessoas chamadas “Anthony”. Ele resolveu tentar então “Anthony” como senha, e funcionou.

Perceba que isso não torna o Wordpress mais vulnerável, porque a senha ia ser descoberta de qualquer maneira, só ia levar um pouco mais de tempo. E para fazer isso, o sujeito tem que ter acesso ao banco de dados com as senhas. Ou seja, já tem que ter invadido o sistema.

Foi só isso. Não há nenhuma vulnerabilidade no Wordpress que, se alguém vai ao Google e “informa um trecho do algoritmo”, vai descobrir seu CPF e número de cartão de crédito. Aliás, será que esse repórter sabe o que significa “algoritmo”? Aprendi quando era criança, quando minha mãe ouviu meu primeiro palavrão, que gente não devia usar palavras que a gente não sabe o que significa.

Você que usa Wordpress, não precisa se desesperar. Só não use senhas óbvias, não acredite em tudo o que você lê por aí e não entre em pânico.

Só lembrando: em Janeiro tem Oficina de Wordpress na Visie

(Publicado no meu Blog)