Adolescentes de 14 anos invadem caixa eletrônico usando manual encontrado online

Dois adolescentes de 14 anos invadiram um caixa eletrônico do banco canadense BMO (Bank of Montreal).

Os estudantes Mattew Hewlett e Caleb Turon encontraram um manual de operadores de ATMs (caixas eletrônicos) disponível online que continha uma senha padrão para logar no modo administrador. Eles conseguiram logar na primeira tentativa por que a senha de fábrica nunca tinha sido alterada.

Padawans apresentam documentos comprovando a invasão do caixa eletrônico.

"Nós achamos que seria divertido tentar, mas não esperávamos que funcionasse" disse Mattew a um jornal canadense. Os garotos conseguiram ver quanto dinheiro tinha na máquina, quantas transações foram feitas, dentre outras informações geralmente não disponíveis para o usuário comum.
Os adolescentes ainda mudaram a saudação da máquina de "Bem-vindo ao BMO ATM" para "Vá embora. Este ATM foi hackeado ".

Felizmente os jovens não roubaram dinheiro nem instalaram algum malware no caixa eletrônico, em vez disso, avisaram os funcionários do banco que verificaram que a máquina foi comprometida.

Ralph Marranca, um porta-voz do BMO, disse que nenhum dado de clientes foi exposto. Ele não respondeu imediatamente às perguntas sobre quais os passos que o banco está tomando para garantir a segurança de seus milhares de caixas eletrônicos em todo o país

May The Force be with You!

Fonte:
http://www.winnipegsun.com/2014/06/08/code-crackers--charleswood-teens-hack-into-grant-avenue-atm

"If I wish to use the NSA" or "Teoria da Conspiração do Truecrypt"

Na semana passada, uma mensagem dos desenvolvedores  do TrueCrypt (ferramenta Opensource de criptografia largamente usada) na página oficial da ferramenta alarmou todo o mundo da InfoSec.

O anúncio dizia que o software não é seguro e pode ter brechas de segurança. O aviso ainda aconselhava os usuários migrassem para o Bitlocker, ferramenta proprietária da Micro$oft.

A principal frase era essa:
"Using TrueCrypt is not secure as it may contain unfixed security issues"

Os teóricos da Conspiração isolaram a primeira letra de cada palavra:
"(U)sing (T)rueCrypt (i)s (n)ot (s)ecure (a)s (i)t (m)ay (c)ontain (u)nfixed (s)ecurity (i)ssues"

O resultado é: "utinsaimcusi"

Se as palavras forem separadas adequadamente obtem-se:  "uti nsa im cu si"
Que em latim quer dizer: "If I wish to use the NSA" em pt-br: "Se eu quiser usar a NSA"

Não seria nenhuma novidade se a NSA quiser forçar os desenvolvedores a deixarem uma "back door" no código do Truecrypt.

May The Force be with You!

Fonte: http://pastebin.com/9catw4X7

SSL Threat Model

Clique para ampliar.

Fonte: http://www.infosecurity.us/blog/2014/6/1/ristis-model?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+SecurityBloggersNetwork+%28Security+Bloggers+Network%29

Gmail com OpenPGP

A Google está lançando uma extensão do Chrome para, entre outras coisas, encriptação de email com OpenPGP.

"Ferramentas de criptografia ponta-a-ponta como PGP e GnuPG, em geral, exigem um know-how técnico e esforço manual para serem usadas. Para ajudar a fazer esse tipo de criptografia um pouco mais fácil, nós estamos liberando o código para uma nova extensão Chrome que usa OpenPGP , um padrão aberto apoiado por muitas ferramentas de criptografia existentes." diz o blog de segurança da Google. 

A ferramenta suporta as seguintes RFCs: RFC 4880 (OpenPGP Message Format) e RFC 6637 (Elliptic Curve Cryptography (ECC) in OpenPGP).

O código ainda está em fase de testes e não foi lançado na Chrome Web Store. Você pode verificá-lo aqui e ajudar a testar e descobrir vulnerabilidades (e talvez ganhar algum dinheiro!)

Uma ferramenta alternativa é o Mailvelope.

May The Force be with You!

Fonte: http://googleonlinesecurity.blogspot.com.br/2014/06/making-end-to-end-encryption-easier-to.html