– root@injetionsec:~#

Falha grave é encontrada na recuperação de contas do Gmail

11.12.2013 (11:26 am) – Filed under: Noticias ::

Um especialista em segurança divulgou nesta semana o que é descrito pelo Google como uma falha grave de segurança no Gmail. A brecha aparecia no sistema de recuperação de contas do e-mail, e se aproveitava de um cookie e de cross-site scripting (XSS) para roubar a senha de um usuário.

Oren Hafif, o hacker que descobriu o problema, logo avisou ao Google, que corrigiu a falha em questão de dez dias. Todo o longo processo de roubo de senha foi relatado pelo especialista em seu blog. Como é apenas um teste, a mensagem não é tão convincente, e vem de um remetente um tanto estranho. Mas um invasor mais inteligente poderia trocar o nome de usuário para um de teor mais “oficial”. O texto é uma versão levemente modificada do padrão usado pelo Google, e avisa à pessoa que está na hora de trocar a senha, a mesma há muito tempo.

Um clique no link levava a uma página em HTTPS aparentemente do próprio Google. No entanto, uma olhada mais atenta mostrava que a “URL dentro da URL” era, na verdade, falsa e pertencia ao ladrão. Isso sem contar que o processo de recuperação de contas da empresa é muito mais longo do que o simulado pelo suposto invasor.

Com a ajuda de um código JavaScript, a informação digitada na página maliciosa poderia ser enviada direto para o ladrão. E graças a um cookie utilizado no sistema do Google, era possível ainda fazer com que outros usuários desatentos ou inexperientes pensassem que de fato estavam no sistema de recuperação do Gmail.

A falha foi confirmada por Sebastian Roschke, do Google, e foi devidamente consertada. Hafif receberá uma recompensa em dinheiro por ter encontrado e relatado o problema, além de ganhar um lugar no Hall da Fama da empresa.

Fonte : info

Como Biometria de Voz Frustra 2 milhões de usuarios

11.12.2013 (11:01 am) – Filed under: Noticias ::

Hackers roubaram e postaram mais de 2 milhões de usuários e senhas para sites como Facebook, Google, Twitter e Yahoo na semana passada. Este é apenas o último de uma série de violações de dados de alto perfil que está comprometendo a segurança de milhões de usuários ao redor do mundo.

Substituir as senhas com a biometria como uma solução autônoma ou abordagem em camadas melhora a segurança de autenticação e limita as ameaças de tais violações.
O que aconteceu

Empresa de segurança cibernética Trustwave informou que as credenciais de login foram comprometidas por mais de 93.000 sites na semana passada. Software Keylogging foi maliciosamente instalado em computadores e estava enviando nomes de usuários e senhas colhidos em um servidor operado por hackers. Um ponto fraco é que com palavras-passe uma vez roubado, eles podem ser usados ​​para quebrar a segurança. O fato de que tantos usuários reutilizar suas senhas compromete ainda mais as contas.

Riscos de segurança de várias abordagens de autenticação

Biometria, como voz, íris, impressão digital, ou rosto oferecem a forma mais forte de segurança de identidade e são superiores às abordagens de autenticação baseada em conhecimento, como senhas.

A tabela a seguir apresenta uma comparação de vulnerabilidades de segurança contra a fraude para a autenticação de voz, tokens físicos, e os fatores de conhecimento, como questões de segurança. As classificações abaixo correspondem à freqüência vulnerabilidades em cada método de autenticação veja:

Alta: mais do que 25% do tempo 
Médio: Entre 5% -25% 
Baixa: Menos de 5%

A biometria de voz prevê claramente que a autenticação mais forte do que PINs, senhas e perguntas de segurança, conforme ilustrado na tabela acima.Ele se integra como um fator adicional de segurança que pode ser usado para minimizar o risco.

 

Fonte : voicetrust