Apotekaren writes “The Finnish Ministry of Justice has started preparing changes to a current law that criminalizes using unsecured wireless hot spots (Google translation; Finnish original). The reasoning includes the impossibility of tracking unlawful use, the ease of securing networks, and the lack of real damage done by this activity. It is also hard for a user to know if an unsecured network is intended for public use or not. The increased ubiquity of legal, open networks in parks, airports, and other public places has also influenced this move by the Ministry of Justice.”
Read more of this story at Slashdot.
Link to the original site
Recently, the Linux version of UnrealIRCd was discovered to have had a Trojan worm its way into the source code. Even more embarrassing for the developers of Unreal is that the Trojan’s been holding open the backdoor in the source code since November of 2009– not very recently. And, of course, bloggers and press in general are taking the opportunity of another breach in Linux security to point out doomsday devices that don’t really exist.
Link to the original site
Encontrei uma solução interessante, da VASCO, que permite usar as One-Time Passwords geradas nos seus hardware tokens para autenticar contas num Domínio. Num Domínio Microsoft, bem entendido.
Chamam-lhe DIGIPASS Authentication for Windows Logon, e suporta o logon nas estações de trabalho com a colecção de gadgets da VASCO, incluindo aqueles que trabalham no modo EMV-CAP da VISA e Mastercard.
As características funcionais podem ser lidas no leaflet da solução, e no datasheet da plataforma IDENTIKEY, ambos disponíveis em formato PDF, online no site da VASCO.
(Nota: Não tenho acções da empresa nem ganho nada pela publicidade ao produto. Genericamente, gosto da solução — só isso. E vou ficar muito satisfeito se algum de vocês me mandar um email com mais uma(s) solução(ões) equivalentes de outros fabricantes)
Link to the original site
theodp writes “A Google engineer Thursday published attack code that exploits a zero-day vulnerability in Windows XP, giving hackers a new way to hijack and infect systems with malware. But other security experts objected to the way the Google engineer disclosed the bug — just five days after it was reported to Microsoft — and said the move is more evidence of the ongoing, and increasingly public, war between the two giants.”
Read more of this story at Slashdot.
Link to the original site
Trailrunner7 writes “There’s a large-scale attack underway that is targeting Web servers running Microsoft’s IIS software, injecting the sites with a specific malicious script. The attack has compromised tens of thousands of sites already, experts say, and there’s no clear indication of who’s behind the campaign right now. The attack, which researchers first noticed earlier this week, already has affected a few high-profile sites, including those belonging to The Wall Street Journal and The Jerusalem Post. Some analyses of the IIS attack suggest that it is directed at a third-party ad management script found on these sites.”
Read more of this story at Slashdot.
Link to the original site
l_bratch writes “A malicious backdoor was added to the UnrealIRCd source archive some time around November 2009. It was not noticed for several months, so many IRC servers are likely to be compromised. A Metasploit exploit already exists.”
Read more of this story at Slashdot.
Link to the original site
Para divulgar a fundação, ou relembrar quem lá não vai há algum tempo:
Desde a Internet até ao iPod, as tecnologias estão a transformar a nossa sociedade, dando-nos o poder enquanto oradores, cidadãos, criadores, e consumidores. Quando as nossas liberdades no mundo interligado ficam debaixo de ataque, a Electronic Frontier Foundation (EFF) é a primeira linha de defesa. A EFF desbravou novos terrenos quando foi fundada em 1990 – muito antes de a Internet estar no radar da maioria das pessoas – e continua a enfrentar, hoje, novos desafios na defesa da liberdade de expressão, privacidade, inovação e direitos dos consumidores. Desde o início, a EFF patrocinou o interesse público em todas as batalhas críticas que afectaram os direitos digitais.
Juntando a expertise de advogados, analistas de política, activistas, e técnicos, a EFF atinge vitórias significativas em nome dos consumidores e do público em geral. A EFF bate-se pela liberdade nos tribunais, trazendo e defendendo casos mesmo quando isso significa enfrentar o governo Norte-Americano ou grandes empresas. Mobilizando mais de 61.000 cidadãos através do nosso Action Center, a EFF combate a má legislação. Para além de aconselhar os políticos, a EFF educa os media e o público.
Sendo uma organização Norte-Americana podemos até pensar, numa análise superficial, que não nos influencia em (quase) nada. No entanto, considerando que uma parte significativa da tecnologia e dos trends sobre privacidade são conduzidos pelos sobrinhos do Uncle Sam, é fácil compreendermos que também tem importância para nós.
Vale uma passagem no site, em particular nas secções que descrevem o trabalho realizado, e os artigos que são publicados no blog.
O endereço? Por aqui: www.eff.org.
Sugestão para o fim-de-semana prolongado, para quem não tiver oportunidade de ir laurear a pevide, e não tiver mesmo mais nada para fazer : ) … Alguns vídeos sobre auditoria e testes de segurança da SANS, os que estão disponíveis online, e que são mantidos no YouTube num canal do David Hoelzer. Tem por título SANS IT Audit & Security Demos
, e recomendo o primeiro no topo da lista, sobre testes a redes sem fios protegidas por WPA. É especialmente interessante para demonstrar a necessidade de passwords complexas na protecção dos acessos.
Take a peak.
Link to the original site
… , na generalidade, são bem piores que os mecanismos que as protegem. Perguntar O nome de solteira da sua mãezinha?
, para recuperar uma password, é… sei lá… estúpido?
Dois códigos OTP, um por email, outro por SMS, prestavam um melhor serviço. Ou, vá lá, se o serviço for um serviço mesmo-mesmo pobre e com pouco valor, que mande apenas um código por correio electrónico; Um código com validade no tempo, para desbloquear a conta num formulário no site.
Será assim tão difícil? Ainda não perceberam que o controlo secundário é o melhor ponto para a entrada?
Link to the original site
