O hacker praticou algo conhecido como deface. Ele encontrou uma falha nos servidores da empresa que permitia que arquivos fossem inseridos numa pasta sem permissão para escrita. Assim, vários sites tiveram suas páginas iniciais substituídas pelas criadas pelo hacker. Segundo outro cliente, o ataque aconteceu duas vezes: uma de manhã e outra vez por volta das 16h.

A solução para reverter o deface é simples: basta logar no FTP do servidor, deletar os arquivos index.htm, index.html, index.php e default.php e fazer upload novamente da versão anterior que, espera-se, foi salva localmente e não na web.

A assessoria de imprensa da Locaweb confirmou que o ataque aconteceu, mas não sabe informar ainda a extensão dos danos. Até o momento da publicação desse post, vários sites ainda apresentavam a imagem deixada pelo hacker enquanto que outros já haviam sido consertados pelos próprios administradores. A empresa não tem previsão de quando a situação será normalizada.

Com informações: Info. Obrigado aos leitores Quintino Gomes e Leonardo Prado!

O pesquisador também demonstrou um problema em caixas da Triton Systems. Ele conseguiu acessar as partes internas do equipamento usando uma chave padrão que pode ser facilmente comprada. Com isso, foi possível conectar um dispositivo USB e instalar um software malicioso no caixa eletrônico, capaz de roubar dados de cartões, senhas, e, claro, roubar o dinheiro.

A Federação Brasileira de Bancos (Febraban) informou ao G1 que desconhece a existência de caixas eletrônicas dessas marcas no mercado brasileiro.

‘Dillinger’
Apesar de nenhum detalhe técnico ter sido publicado, a demonstração de Jack foi cancelada na conferência Black Hat do ano passado porque as brechas ainda não haviam sido corrigidas. Para realizar os ataques, o especialista criou um programa chamado Dillinger – nomeado em homenagem ao famoso ladrão de bancos dos Estados Unidos da década de 30.

Pelo computador, hacker faz caixa eletrônico 'soltar' dinheiro. (Foto: AP)

Jack também colocou adesivos sobre as marcas dos caixas eletrônicos com o intuito de não revelar os fabricantes. Mas a audiência conseguiu facilmente identificar a marca da Tranax piscando na tela. A Triton revelou que era a fabricante do outro equipamento.

Segundo o especialista, um criminoso pode ser capaz de discar números de telefone aleatoriamente – uma prática conhecida como “war dialing” – para encontrar caixas eletrônicos, bem como varrer os IPs da internet. Ele disse que os caixas eletrônicos “atendem” as chamadas e as solicitações da rede de uma maneira específica, permitindo que hackers identifiquem um equipamento vulnerável. Embora apenas duas fabricantes tenham sido envolvidas na demonstração, Jack informou que não é difícil encontrar outras falhas semelhantes.

“O simples fato é que as empresas que fabricam esses equipamentos não são a Microsoft. Elas não têm 10 anos de ataques contínuos contra elas”, disse o pesquisador de segurança para a audiência de sua apresentação.

No início do ano passado, um vírus foi encontrado em caixas eletrônicos da Diebold, que é líder no mercado nacional. A praga tentava interferir com transferências bancárias americanas, ucranianas e russas. Não há registro desses ataques no Brasil; aqui, criminosos usam um dispositivo chamado Robocop para transmitir dados roubados via rede sem fio.

via G1

Uma alternativa para se proteger de ataques deste tipo é configurar o celular para utilizar apenas redes 3G, que tem uma segurança superior, mas a cobertura dessa rede costuma ser menor que a rede tradicional (2G).

Fonte: Hacker Spoofs Cell Phone Tower to Intercept Calls | Threat Level | Wired.com / BlogSegInfo

Barnaby Jack conseguiu um jackpot na Black Hat (conferência de segurança digital) na última quarta-feira (28/07). Duas vezes. Ao explorar falhas em duas máquinas ATM (caixas eletrônicos) diferentes, o pesquisador da IOActive foi capaz de extorquir dinheiro dos aparelhos e obter dados dos cartões de créditos de clientes que a utilizaram.

O hacker demonstrou sua habilidade em dois dispositivos adquiridos por conta própria – daqueles usualmente encontrados em bares e lojas de conveniência. Criminosos já vêm utilizando tal tática há anos, contratando profissionais para descobrir senhas de cartões ou, às vezes, simplesmente roubando as máquinas a fim de levá-las a um local mais seguro onde a mesma ação será colocada em prática.

Segundo Jack, no entanto, existe uma maneira ainda mais fácil para explorar o sistema: delinquentes podem se conectar ás máquinas simplesmente contatando-as com um telefone. Ele acredita que grande número delas pode ser controlada remotamente a partir de um simples telefonema.

Depois de experimentar com seus próprios aparelhos, Jack desenvolveu um método para derrubar o sistema de autenticação remota e instalar uma praga virtual também feita por ele. Batizada de Scrooge, ela torna possível a substituição do firmware do dispositivo. Mas, Jack não parou por aí: ele construiu um software de gerenciamento online, que lhe permitia manter contato com as máquinas infectadas, de modo a continuar a coletar os dados das pessoas que as utilizavam.

Criminosos poderiam encontrar caixas eletrônicos vulneráveis a partir do software open-source desenvolvido, fazendo com que ele ligasse para inúmeros aparelhos e apenas esperando a reposta daqueles que já estariam infectados. É uma tática parecida com aquela já utilizada para entrar, a partir da internet, no sistema de computadores responsáveis por transações comerciais.

Causa nobre

De acordo com Jack, sua demonstração foi só uma forma de provar o quão vulneráveis são os caixas eletrônicos. “O objetivo de meus atos é iniciar uma discussão sobre as melhores formas para corrigir o problema”, afirma. “Chegou a hora desses dispositivos serem atualizados. As companhias que os fabricaram não são a Microsoft; elas não sofreram dez anos de ataques contínuos”.

As máquinas as quais Jack infectou, no entanto, são baseadas em um sistema operacional da gigante dos softwares, o Windows CE.

Em uma convincente performance durante sua palestra na Black Hat, o hacker se conectou a um caixa eletrônico e executou o programa denominado Jackpot. O que se viu a seguir foi uma quantidade significativa de notas saindo do aparelho ao mesmo tempo que a palavra “Jackpot” era exibida em sua tela.

Na segunda parte, Jack caminhou até o dispositivo, invadiu seu sistema com uma senha obtida na internet e instalou seu firmware. Ele diz que uma simples chave pode abrir diversos caixas eletrônicos, ou seja, mais um problema de segurança dos mais preocupantes.

O curioso é que Jack havia planejado a palestra para a conferência do ano passado, mas, foi convencido por vendedores de caixas eletrônicos a adiar suas revelações. Eles pensavam que, com mais tempo, poderiam corrigir as falhas descobertas pelo hacker.

Ao usar um cibercafé, Mitnick conta que se surpreendeu com a falta de segurança nas informações. “Fiquei intrigado quando pediram meu documento para usar um computador com internet gratuita”, conta. “Disseram-me que o procedimento era para evitar ataques de hackers”.

Entretanto, ao usar o computador, ele teve outra surpresa que classificou como engraçada. “Quando usei a máquina, vi que o acesso às configurações dela era irrestrito, e eu poderia conseguir informações sigilosas de pessoas que a usaram anteriormente”, disse. “Fiquei com medo de acessar meus e-mails. Quando cheguei ao hotel, tive que mudar de senha”.

O ex-hacker, que comemora 10 anos que saiu da prisão neste mês, afirmou que todo o sistema tem falhas e é impossível fugir delas. “Tudo tem bugs, principalmente os sistemas mais complexos”, disse. “É apenas uma questão de tempo até alguém descobri-la e usá-la”. Para ele, as falhas nos programas que os usuários utilizam para navegar na internet são a porta de entrada dos ataques. “Não utilizo o Internet Explorer, uso o Firefox que é mais seguro. Ainda assim, uso uma máquina virtual para garantir maior proteção”.

Outro ponto abordado por Mitnick é que a engenharia social, quando uma pessoa é coagida a passar seus dados confidenciais para um hacker, é um grande perigo para as empresas e para as pessoas. “As informações publicadas em redes sociais podem ser usadas contra pessoas. Um hacker pode conseguir dados bancários e o endereço do indivíduo por meio do Facebook e do Twitter”, afirmou. “Mesmo quando o usuário classifica a informação como restrita nas redes sociais, o mundo pode ver. Até um amigo seu pode passar informações para um criminoso sem saber”.

Mitnik realiza palestra para os participantes da Campus Party. (Foto: Gustavo Petró/G1)

Ele também disse que os hackers mudaram de filosofia nos últimos anos. “Na minha época, os hackers queriam apenas invadir sistemas para provar que conseguiam. Hoje, tudo envolve dinheiro, tudo é pela grana”.

(por g1)

O hacker afirma ter ultrapassado todas as proteções relacionadas ao hardware do aparelho e diz que a tarefa agora é fazer engenharia reversa em seu software. Por meio de um post em seu blog, Hotz afirmou ter conseguido executar o seu próprio software na plataforma após um esforço de cinco semanas. “Eu tenho acesso à leitura e à gravação para a memória do sistema como um todo e também para o processador”, escreveu ele. Mas os fãs do PlayStation terão que esperar por algum tempo antes de utilizarem o código de Hotz.

Em seu blog, o hacker afirmou que o “truque” ainda é um começo e que se sente preocupado em relação à possibilidade de a Sony encontrar uma maneira de desativar sua técnica. Hotz afirma que a brecha de segurança, em teoria, não é contornável com uma atualização de software, mas pode deixar as coisas mais complicadas. Se confirmada, a falha de segurança pode deixar o PlayStation 3 aberto para programas caseiros e também a jogos copiados ilegalmente.

A nova técnica pode permitir aos usuários do PS3 executar um novo software, não autorizado em seu sistema. Essa ferramenta pode incluir o sistema operacional Linux ou mais jogos de PlayStation 2, que não funcionam na nova plataforma.