13.211 – (In) Segurança Digital – O que é um Pentest?


pentest_wall_image
Ainda que uma aplicação não envolva transações comerciais, ela geralmente capta dados privados do usuário.
Uma pesquisa da Lookout no sistema Android (o mais popular aqui no Brasil) mostrou que, de 30 mil aplicativos, 38% podem determinar localizações e 15% conseguem coletar números telefônicos. Esse acesso a dados sensíveis dos usuários exige que as empresas testem e aparem arestas na segurança de seus aplicativos, evitando complicações legais e descontentamento dos usuários. O Pentest é uma das maneiras de avaliar a segurança de um sistema ou aplicativo.
38% dos apps mobile podem determinar localizações. 15% conseguem coletar números telefônicos.
O Pentest é uma forma de detectar e explorar vulnerabilidades existentes nos sistemas, ou seja, simular ataques de hackers. Essas avaliações são úteis para validar a eficácia dos mecanismos de defesa do aplicativo e dos servidores por trás dele.
O teste pode ser realizado manualmente, mas normalmente é apoiado por ferramentas automáticas.
O propósito fundamental é avaliar quaisquer consequências que falhas de segurança possam ter sobre os recursos ou operações envolvidas. Isso é possível pois o Pentest detecta de forma rápida onde o sistema web/mobile é mais vulnerável, permitindo à equipe corrigir o que for necessário após o teste.
As vulnerabilidades de segurança em aplicações web podem resultar em roubo de dados confidenciais, quebra de integridade de dados ou ainda afetar a disponibilidade dos aplicativos web.
87% dos websites têm vulnerabilidades de segurança consideradas de médio risco. 46% dos websites possuem vulnerabilidades de alto risco.
Para se ter uma ideia do perigo, de acordo com uma pesquisa da Acunetix, 87% dos websites têm vulnerabilidades de segurança consideradas de médio risco. E fica pior: quase metade (46%) dos websites possuem vulnerabilidades de alto risco. A forma mais eficiente de garantir a segurança dessas aplicações é justamente eliminando estas vulnerabilidades.

SQL Injection
É um tipo de ataque utilizado para enviar comandos nocivos à base de dados através de formulários ou de URLs. Quando bem sucedido, pode apagar a tabela do banco de dados, deletar todos os dados da tabela ou ainda roubar senhas cadastradas em um banco. O SQL Injection funciona porque a aplicação aceita dados fornecidos pelo usuário, ou seja, confia no texto que é digitado e também porque essas conexões são realizadas no contexto de um usuário com nível de administrador.
Exemplo no mundo real: O SQL Injection foi utilizado em um dos maiores ataques hacker da história. Hackers russos roubaram logins e senhas de aproximadamente 1,2 bilhão de contas em websites diversos. De acordo com uma matéria do New York Times, os hackers atacaram cerca de 420 mil websites.

Cross Site Scripting (XSS)
Esse ataque se aproveita da vulnerabilidade nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação. Imagine o caso de um fórum online, por exemplo, onde o usuário tem permissão para postar mensagens de sua autoria para outros membros. Se a aplicação não filtrar corretamente os códigos HTML, alguém mal intencionado pode adicionar instruções para leitura de informações específicas do usuário legítimo. E o que isso significa? Esse usuário mal intencionado terá acesso a códigos de sessão e poderá executar tarefas específicas, como o envio arbitrário de mensagens para o fórum.
Exemplo no mundo real: Um caso bem conhecido é do WordPress. O tema TwentyFifteen (que vem instalado por padrão) estava vulnerável à ataques XSS e deixou milhões de sites vulneráveis. O grande problema dessa vulnerabilidade é que, se o administrador de uma página na plataforma abrir um comentário malicioso, um script é ativado e possibilita ao invasor modificar o código ou as configurações do website.

Cross Site Request Forgery (CSRF)
Esse ataque se tornou muito comum e está no Top 10 ataques/falhas mais comuns em aplicações web da OWASP (Open Web Application Security Project). O ataque explora a relação de confiança entre o usuário e o aplicativo web, forçando-o a executar ações indesejadas na aplicação em que ele está autenticado. Os alvos geralmente são transações comuns porém valiosas, como alteração de e-mail ou dados pessoais. A maneira mais usual de ataque é o envio de e-mail para a vítima contendo um link ou formulário.
Exemplo no mundo real: Conhecido como “Golpe da Oi”, o ataque CSRF foi realizado via e-mail e modificou as características das configurações dos roteadores e modens no país todo. Técnica incomum até então, mas potente para espionar o tráfego de usuários na web, os e-mails fingiam ser enviados pela Oi. Se bem sucedido, o ataque leva usuários para um site fraudulento, mesmo que o endereço digitado seja correto. Assim, é possível interceptar e-mails, logins e senhas.

O que fazer?
Segurança total e irrestrita contra crimes virtuais (pelo menos hoje) não passa de um sonho. Contudo, é possível testar a solidez do sistema, detectar falhas e criar barreiras que desencorajem e minimizem o impacto desse tipo de ação.
O processo envolve uma análise nas atividades do sistema, que envolvem a busca de alguma vulnerabilidade em potencial que possa ser resultado de uma má configuração do sistema, falhas em hardwares/softwares desconhecidas, deficiência no sistema operacional ou técnicas contramedidas. Todas as análises submetidas pelos testes escolhidos são apresentadas no sistema, junto com uma avaliação do seu impacto e muitas vezes com uma proposta de resolução ou de uma solução técnica.
O teste da caixa preta assume que não existe qualquer conhecimento prévio da infra-estrutura a ser testada. Sendo que o primeiro teste deve determinar a localização e extensão dos sistemas antes de iniciar a análise.
O teste da caixa branca assume que o testador possui total conhecimento da infra-estrutura a ser testada, incluindo o diagrama da rede, endereçamento IP e qualquer informação complementar.
Teste de caixa preta simulam um ataque de alguém que esteja familiarizado com o sistema, enquanto um teste de caixa branca simula o que pode acontecer durante o expediente de um trabalho ou depois de um “vazamento” de informações, em que o invasor tenha acesso ao código fonte, esquemas de rede e, possivelmente, até mesmo de algumas senhas.

13.210 – Mega Byte – Como surgiu o Facebook?


Plataforma-do-Facebook-para-criar-jogos-size-620
Trata – se de uma rede social lançada em 4 de fevereiro de 2004, operado e de propriedade privada da Facebook Inc..
Em 4 de outubro de 2012, o Facebook atingiu a marca de 1 bilhão de usuários ativos, sendo por isso a maior rede social em todo o mundo
O nome do serviço decorre o nome coloquial para o livro dado aos alunos no início do ano letivo por algumas administrações universitárias nos Estados Unidos para ajudar os alunos a conhecerem uns aos outros. O Facebook permite que qualquer usuário que declare ter pelo menos 13 anos possa se tornar usuário registrado do site.
O Facebook foi fundado por Mark Zuckerberg e por seus colegas de quarto da faculdade Eduardo Saverin, Dustin Moskovitz e Chris Hughes.
A criação do site foi inicialmente limitada pelos fundadores aos estudantes da Universidade de Harvard, mas foi expandida para outras faculdades na área de Boston, da Ivy League e da Universidade de Stanford. O site gradualmente adicionou suporte para alunos em várias outras universidades antes de abrir para estudantes do ensino médio e, mais tarde, para qualquer pessoa com treze anos ou mais. No entanto, com base em dados de maio de 2011 do ConsumersReports.org, existiam 7,5 milhões de crianças menores de 13 anos com contas no Facebook, violando os termos de serviço do próprio site.
Um estudo de janeiro de 2009 do Compete.com classificou o Facebook como a rede social mais utilizada em todo o mundo por usuários ativos mensais.
A Entertainment Weekly incluiu o site na sua lista de “melhores de”, dizendo: “Como vivíamos antes de perseguirmos os nossos ex-namorados, lembrarmos dos aniversários dos nossos colegas de trabalho, irritarmos os nossos amigos e jogarmos um jogo empolgante de Scrabulous antes do Facebook?
A Quantcast afirma que o Facebook teve 138,9 milhões de visitantes únicos mensais nos Estados Unidos em maio de 2011.
De acordo com o Social Media Today, estimava-se que em abril de 2010 cerca de 41,6% da população estadunidense tinha uma conta no Facebook.
No entanto, o crescimento de mercado do Facebook começou a estabilizar em algumas regiões, sendo que o site perdeu 7 milhões de usuários ativos nos Estados Unidos e no Canadá em maio de 2011. O Facebook entrou com pedido de uma oferta pública inicial em 1 de fevereiro de 2012.
Em 21 de julho de 2016, o Facebook fez seu primeiro voo com drone que deve levar internet a todo o mundo. O modo escolhido por Zuckerberg e sua equipe para tentar levar a web a um público que, hoje, está offline, foi apostar em equipamentos voadores alimentados por energia solar, e depois de meses de testes com modelos menores, a empresa finalmente realizou o primeiro voo de seu drone Aquila.
Em maio de 2005, o Facebook recebeu 12,8 milhões de dólares de capital da Accel Partners.
Em 23 de agosto de 2005, o Facebook compra o domínio facebook.com da Aboutface por US$200.000,00 e descarta definitivamente o “The” de seu nome. A esta data, o Facebook foi “repaginado” recebendo uma atualização que, segundo Mark, deixou mais amigável aos usuários. Também neste mês, Andrew McCollum retornou a Harvard, mas continuou atuando como consultor e retornando ao trabalho em equipe durante os verões. Como antes, Chris Hughes permaneceu em Cambridge, enquanto exercia sua função como representante da empresa. Então, em 2 de setembro, Mark Zuckerberg lançou a interação do Facebook com o ensino secundário. Embora inicialmente definido para separar as “comunidades” para que os usuários precisassem ser convidados para participar, dentro de 15 dias as redes escolares não mais exigiam uma senha para acessar (embora o cadastro no Facebook ainda exigisse). Em outubro, a expansão começou a atingir universidades de pequeno porte e instituições de ensino pós-secundário (junior colleges) nos Estados Unidos, Canadá e Reino Unido, além de ter expandido a vinte e uma universidades no Reino Unido, ao Instituto Tecnológico y de Estudios Superiores de Monterrey no México, a Universidade de Porto Rico em Porto Rico e toda a Universidade das Ilhas Virgens nas Ilhas Virgens Americanas. Em 11 de dezembro de 2005, universidades da Austrália e Nova Zelândia aderiram ao Facebook, elevando sua dimensão para mais de 2 mil colégios e mais de 25 mil universidades em todo o Estados Unidos, Canadá, México, Reino Unido, Austrália, Nova Zelândia e Irlanda.

Passaram Açúcar
No início de 2012 o Facebook se tornou a maior rede social no Brasil e no restante da América Latina, ultrapassando o Orkut, Tumblr, Twitter. Durante o mês de dezembro de 2011, segundo dados da comScore divulgados em janeiro. Pesquisa da companhia mostrou que a rede fundada por Mark Zuckerberg atraiu 36,1 milhões de visitantes durante o período, superando os 34,4 milhões registrados pela rede social do Google.
Em 13 de janeiro de 2012, o Facebook lançou a funcionalidade que permite que o usuário escute uma música que o amigo está ouvindo.
Em 29 de fevereiro o Facebook lança a linha do tempo também para Fan Pages.
Pouco depois, o Facebook anunciou que uma nova ferramenta que permite que o usuário escute uma música que seu amigo esteja escutando ao mesmo tempo. Também é possível escutar a mesma música em um grupo, permitindo que seu amigo brinque de DJ.
Quando seu amigo estiver escutando uma música, uma nota musical aparecerá ao lado do seu nome. Para escutar a música, basta apenas você clicar no nome do seu amigo, que aparecerá uma janela com um botão escrito “Listen with” (escute com em português), clique no botão e você ouvirá música com seu amigo, como mostra a figura acima. Além de escutar você poderá comentar sobre a música.
Após lançar ações na bolsa, estima-se que o Facebook atingirá o valor de 100 bilhões de dólares ainda no primeiro semestre de 2012.
No total, a empresa registrou 421,2 milhões em ações vendidas, e devido a grande procura, aumentou o valor de uma ação de 34 dólares para 38 dólares, atingindo o máximo esperado. A oferta inicial informada era de 484,4 milhões, podendo arrecadar até 18,4 bilhões. A empresa será listada na bolsa da Nasdaq sob a sigla FB. A oferta de ações da rede social tornou-se a maior oferta de uma empresa de tecnologia, sendo também a 10ª maior dos últimos 25 anos.
Em 9 de abril de 2012, Mark Zuckerberg anuncia em seu perfil a aquisição do aplicativo Instagram pelo valor de aproximadamente 1 bilhão de dólares.
Após o lançamento na bolsa, o Facebook perdeu cerca de 50% do seu valor. Alguns sites publicaram uma possível saída de Mark Zuckerberg do posto de CEO do Facebook.
Na manhã do dia 4 de outubro, Marc Zuckerberg informou que havia já mais de mil milhões de utilizadores ativos do Facebook.
Em março de 2013 o Facebook anunciou mudanças em sua Linha do Tempo dos usuários. O novo design adiciona livros que o usuário leu ou gosta, filmes e músicas. A área fica ao lado das fotos pessoais e dos amigos. Quem gosta de assistir a filmes pode adicionar as produções favoritas e usar aplicativos como o Netflix para compartilhar o que se está assistindo no momento. A mudança vem acontecendo aos poucos, mas até o segundo semestre de 2013 todos os usuários já estarão com sua Linha do Tempo atualizada. Até o Google quis comprar o Facebook, mas Mark Zuckerberg não quis vender.
No dia 19 de fevereiro de 2014 a empresa anunciou que comprou o aplicativo WhatsApp por 16 bilhões de dólares. O valor é o mais alto já pago por um aplicativo móvel, desde que a própria rede social comprou o Instagram. Também é a maior aquisição do site de Mark Zuckerberg. O acordo também prevê um pagamento adicional de 3 bilhões de dólares aos fundadores e funcionários do WhatsApp que poderão comprar ações restritas do Facebook dentro de quatro anos. Além disso, o presidente-executivo e cofundador do WhatsApp, Jan Koum, tomará lugar no conselho administrativo do Facebook.
O website é gratuito para os usuários e gera receita proveniente de publicidade, incluindo banners, destaques patrocinados no feed de notícias.
Usuários criam perfis que contêm fotos e listas de interesses pessoais, trocando mensagens privadas e públicas entre si e participantes de grupos de amigos. A visualização de dados detalhados dos membros é restrita para membros de uma mesma rede ou amigos confirmados. De acordo com o TechCrunch, 85% dos membros dos colégios suportados têm um perfil cadastrado no website e, dentre eles, 60% fazem login diariamente no sistema, 85% o faz pelo menos uma vez por semana e 93% o faz pelo menos uma vez por mês. De acordo com Chris Hughes, porta-voz do Facebook, as pessoas gastam em média 19 minutos por dia no Facebook.
O Mural é um espaço na página de perfil do usuário que permite aos amigos postar mensagens para os outros verem. Ele é visível para qualquer pessoa com permissão para ver o perfil completo, e posts diferentes no mural aparecem separados no “Feed de Notícias”. Muitos usuários usam os murais de seus amigos para deixar avisos e recados temporários. Mensagens privadas são salvas em “Mensagens”, que são enviadas à caixa de entrada do usuário e são visíveis apenas ao remetente e ao destinatário, bem como num e-mail. Em julho de 2007 o Facebook, que só permitia posts de textos, passou a permitir postagem de anexos no mural.
O botão de “curtir/gostar” é um recurso onde os usuários podem gostar de certos conteúdos, tais como atualizações de status, comentários, fotos, links compartilhados por amigos, e propagandas. É também uma característica da Facebook Plataform, que permite aos sites participantes a exibirem um botão que permitem o compartilhamento de conteúdo do site com os amigos.
O Facebook adicionou um recurso chamado “Cutucar” (Brasil) ou “Toque” (Portugal) (em inglês: Poke) para que os usuários enviem “cutucadas” uns aos outros. Segundo o FAQ do Facebook, uma cutucada é “uma forma de você interagir com seus amigos no Facebook. Quando criamos a cutucada, achamos que seria interessante ter um recurso sem qualquer finalidade específica. As pessoas interpretam a cutucada de muitas maneiras diferentes, e nós encorajamos os usuários a interpretá-la com seu próprio significado”. A princípio, ele se destina a servir como uma forma de chamar a atenção do outro usuário. No entanto, muitos usuários o utilizam como uma forma de dizer “olá”.

Críticas
Facebook tem recebido inúmeras críticas principalmente por denuncias de que teria colaborado com o programa de vigilância eletrônica conhecido como PRISM, da Agência de Segurança Nacional estadunidense conhecida como NSA.
Apesar dos documentos revelados por Edward Snowden comprovarem a participação tanto do Facebook como de outras empresas, nos programas de vigilância, elas negam que hajam colaborado. A Microsoft, por exemplo, afirmou que só cede dados ao governo sob ordem judicial.
Todas as empresas como Google e Facebook negaram que tenham colaborado com a coleta de dados para o Prism, o programa secreto de monitoramento de e-mails, chats e buscas da Agência de Segurança Nacional (NSA) dos Estados Unidos. O jornalista estadunidense Glenn Greenwald, que tem acesso a todos os documentos secretos que revelaram um complexo mecanismo de espionagem dos usuários dos serviços de nove grandes empresas estadunidenses afirmou que não usa Facebook, e sim o Skype somente em casos de extrema necessidade, quando não há alternativa. Segundo Greenwald, apos avaliar os documentos, ele prefere não se arriscar.

13.209 – Inventos – Video Game, um sub produto da Guerra Fria


guerra tecnologica
A historia dos Vídeo Games remonta a Guerra Fria , um período em que havia grande tensão entre EUA e União Soviética. E cientistas nem pensavam em dispositivos para entretenimento porque a ideia de apertar um botão naquela época era muito diferente da nossa. Hoje qualquer pessoa aperta botoes todos os dias, mas na Guerra Fria botoes eram relacionados a guerra nuclear eminente.
Nos EUA enquanto o governo investia mais e mais para se preparar para a guerra, em 1958 ,um cientista chamado William Higinbotham que ajudou a construir a primeira bomba atômica inventou a primeira experiencia de entretenimento virtual, o “tênis para dois”. Ele surgiu porque o grupo de cientistas do governo competiam entre si, para saber quem inventava o aparelho mais legal, todos os finais de semana, e William teve a ideia de transformar um osciloscópio em um jogo de tênis por mais que o equipamento fosse extremamente caro.
Com o avanço da guerra, com a ida de Yuri Gagarin na primeira viagem tripulada na corrida espacial, o assunto dominava as manchetes e a sociedade. E isso influenciou Steve Russell ,um especialista do MIT que criou sua própria guerra espacial, alem de super inteligente, Steve lia muitas historias em quadrinhos de ficção. Então apos ter a ideia , começou a aprender a dominar o computador PDP1, que na época custava 120 mil dólares e era considerado um micro computador, tendo o tamanho de uma geladeira. O “avançado” computador fazia digitação e contas de calculadora. Mas Steve decidiu modifica-lo e transformou em um jogo de duas naves espaciais, em que uma jogava misseis na outra para explodi-la. O jogo foi considerado uma expressão direta da corrida espacial. Foi o jogo de computador mais popular por 2 anos, afinal era o único que existia. O jogo se espalhou quando esteve publicou a combinação de códigos que usou, então qualquer lugar que tivesse um PDP1 podia transforma-lo em um jogo. No começo esses sistemas eram controlados por botoes em uma caixa de controle gigante, mas aeromodelistas mais tarde ,usando pecas de um telefone inventaram o Joystick, do mesmo modelo do Atari.
Na década de 60 ,chamavam a TV de maquina da dor ,porque mostrava imagens da guerra na Coreia e Vietnam . E isso gerava milhares de protestos contra as ofensivas de Kennedy. Na década de 70 a TV era fria, uma fonte de noticias ruins, e todo essas situação com as imagens horríveis de guerra que os noticiários exibiam ,tornaram o vídeo game uma mídia atraente para o publico. E quem mudou o cenário foi um dos maiores inventores de vídeo games, Ralph Baer, que criou o primeiro console caseiro e portátil O Magnavox Odissey. Ralph foi o primeiro a perceber que nos EUA existiam cerca de 42 milhões de TVs que sintonizavam 2 canais e não serviam para nada.
Poucos sabem que ele fugiu da Alemanha e se alistou para lutar com o exercito americano, onde desenvolveu sua paixão por tecnologia, e quando trabalhou na Normandia com a equipe de americana de defesa, transformou a Purpose Box(caixa de defesa para misseis) em um protótipo do Magnavox. Desde o inicio, o vídeo game dependia das forcas armadas, pois o exercito foi o primeiro a investir em tecnologia, e todos os primeiros grandes inventores trabalhavam para o exercito.

Magnavox-Odyssey-Console-Set

13.208 – (In) Segurança Digital – O que é Engenharia Social?


engenharia-social
Se você clicou nessa página para ler esse mais esse artigo do  ☻Mega Arquivo, parabéns, você está um passo à frente

No contexto de segurança da informação, refere-se à manipulação psicológica de pessoas para a execução de ações ou divulgar informações confidenciais. Este é um termo que descreve um tipo psicotécnico de intrusão que depende fortemente de interação humana e envolve enganar outras pessoas para quebrar procedimentos de segurança. Um ataque clássico na engenharia social é quando uma pessoa se passa por um alto nível profissional dentro das organizações e diz que o mesmo possui problemas urgentes de acesso ao sistema, conseguindo assim o acesso a locais restritos.
A engenharia social é aplicada em diversos setores da segurança da informação, e independentemente de sistemas computacionais, software e/ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social. Dentre essas características, pode-se destacar:
A engenharia social não é exclusivamente utilizada em informática. Ela também é uma ferramenta que permite explorar falhas humanas em organizações físicas ou jurídicas as quais operadores do sistema de segurança da informação possuem poder de decisão parcial ou total sobre o sistema, seja ele físico ou virtual. Porém, deve-se considerar que informações tais como pessoais, não documentadas, conhecimentos, saber, não são informações físicas ou virtuais, elas fazem parte de um sistema em que possuem características comportamentais e psicológicas nas quais a engenharia social passa a ser auxiliada por outras técnicas como: leitura fria, linguagem corporal, leitura quente. Esses termos são usados no auxílio da engenharia social para obter informações que não são físicas ou virtuais, mas sim comportamentais e psicológicas.
A maioria das técnicas de engenharia social consiste em obter informações privilegiadas enganando os usuários de um determinado sistema através de identificações falsas, aquisição de carisma e confiança da vítima. Um ataque de engenharia social pode se dar através de qualquer meio de comunicação. Tendo-se destaque para telefonemas, conversas diretas com a vítima, e-mail e WWW. Algumas dessas técnicas são:

Vírus que se espalham por e-mail
Criadores de vírus geralmente usam e-mail para a propagar as suas criações. Na maioria dos casos, é necessário que o usuário ao receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado. O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo. Um dos métodos mais usados é colocar um texto que desperte a curiosidade do usuário. O texto pode tratar de sexo, de amor, de notícias atuais ou até mesmo de um assunto particular do internauta. Um dos exemplos mais clássicos é o vírus I Love You, que chegava ao e-mail das pessoas usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a) admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa. Alguns vírus possuem a característica de se espalhar muito facilmente e por isso recebem o nome de worms (vermes). Aqui, a engenharia social também pode ser aplicada. Imagine, por exemplo, que um worm se espalha por e-mail usando como tema cartões virtuais de amizade. O internauta que acreditar na mensagem vai contaminar seu computador e o worm, para se propagar, envia cópias da mesma mensagem para a lista de contatos da vítima e coloca o endereço de e-mail dela como remetente. Quando alguém da lista receber a mensagem, vai pensar que foi um conhecido que enviou aquele e-mail e como o assunto é amizade, pode acreditar que está mesmo recebendo um cartão virtual de seu amigo. A tática de engenharia social para este caso, explora um assunto cabível a qualquer pessoa: a amizade.

manipulação