Arquivo mensal: agosto 2015

Especial: as táticas mais usadas pelos hackers para invadir empresas

PC World / EUA

Cibercriminosos se valem de ferramentas para testes de penetração em seus ataques. Listamos seis formas comuns de invasão.

As mesmas ferramentas usadas em testes de penetração são empregadas pelos hackers para explorarem sistemas, encontrarem brechas e invadir a infraestrutura de uma organização. Nós separamos as seis táticas mais comuns:

XSSploit/Cross-Site Scripting

Vulnerabilidades de cross-site scripting (XSS) em aplicações web permitem aos agressores injetarem scripts para obter acesso às informações pessoalmente identificáveis. Cibercriminosos usam o escâner de XXSploit para localizar e tirar vantagem dessas fraquezas. Fabricado pela fornecedora de segurança SCRT, o XXSploit pode ser tanto uma ameaça quanto uma ferramenta de teste, de acordo com quem o emprega.

sqlmap/SQL Injection

Falhas de código levam os agressores a controlarem bases de dados e recuperarem seus conteúdos. A ferramenta sqlmap (escrita em Python) automatiza esses abusos, extraindo informações, e controlando o sistema de arquivos sob o banco de dados. Desenvolvedores como a Miroslav Stampar mantêm ferramenta de testes e exploração.

Metasploit/Inúmeras fraquezas

A Metasploit da Rapid7 localiza um número virtualmente ilimitado de vulnerabilidades em software como Windows, Mac e Linux, fornecendo centenas de táticas de exploração para tirar vantagem dessas aberturas. A ferramenta foi criada pela desenvolvedora HD Moore em 2003, hoje uma das mais populares ferramentas de teste/exploração.

w3af/Múltiplas vulnerabilidades

O ataque w3af e o framework de auditoria buscam identificar e explorar todos os buracos de segurança das aplicações web. Escrita em Python, a ferramenta descobre vulnerabilidades como SQL Injection e XXS, permitindo que seus usuários lancem uma vasta gama de ataques. Ela foi criada por Andres Riancho em 2007 e hoje é aliada à Rapid7.

Buraco de segurança WordPress Stored XSS (WordPress v. 4.2 e outros)

O WordPress registra vulnerabilidades XSS recorrentes, habilitando usuários desautorizados a injetarem JavaScript malicioso na sessão de comentários dos blogs. Os agressores usam essas fraquezas para usurparem o controle administrativo dos servidores web.

ManageEngine SupportCenter Plus v. 7.9/Vulnerabilidades múltiplas

Fraquezas no SupportCenter Plus permitem aos hackers recuperarem senhas, ganharem privilégios administrativos e executarem códigos remotamente. Ao agressor, basta abrir uma conta de usuário com algum privilégio no SupportCenter Plus, navegar usando fórmulas de links e o controle do software lhe é passado

Fonte: http://idgnow.com.br/ti-corporativa/2015/07/02/especial-as-taticas-mais-usadas-pelos-hackers-para-invadir-empresas/

avatar_wordpress_clean61251_thumb313214_thumb.png

Anúncios

Microsoft poderá bloquear hardware e software piratas

A Microsoft incluiu uma cláusula nos termos de utilização do Windows que indicam que a empresa pode impedir que os usuários utilizem softwares piratas e hardwares. Os termos se aplicam a serviços que precisam de uma conta cadastrada como o Xbox Live, o Office 365, Skype, Outlook.com, onedrive, Bing e MSN.

Os termos cobrem qualquer software conectado a uma conta da Microsoft, o que significa que a maior parte dos usuários do Windows 10 será afetada pela alteração. Não é possível instalar o sistema sem se registrar com uma conta Microsoft.
Nas regras ainda fica uma cláusula que explica que a empresa se reserva no direito de bloquear o acesso a determinados programas e solicitar a atualização de algumas ferramentas. “Podemos verificar automaticamente a sua versão do software e solicitar o download de atualizações ou alterações de configuração, incluindo aqueles que impedem você de acessar serviços, jogos falsificados, ou dispositivos de hardware não autorizado. Você também pode ser obrigado a atualizar o software para continuar a usar os serviços”.

A Microsoft afirmou ainda que poderá mudar os termos a qualquer momento, mas se compromete a notificar os usuários quando houver alterações.

Via TechTimes

avatar_wordpress_clean61251_thumb313214_thumb.png

%d blogueiros gostam disto: