Número 0072 - Ano II - 6 de Agosto de 2004
Nesta Edição
Banco Itaú é vítima de Cross Site Scripting
Hackers podem usar formato de imagem PNG para dominar micros
Ministério Público denuncia quadrilha de crackers
Cibercrimes: perdas estão 30% menores
Código-fonte roubado por e-mail do Yahoo
Batori Security Day discute melhores práticas em Segurança da Informação
BATORI SECURITY
www.batori.com.br
Notícias, artigos e dicas sobre
Segurança da Informação
denny@batori.com.br
ricardo@batori.com.br
FONE: (11) 3105.5638
Assinar o boletim Segurança Digital
Cancelar sua assinatura
Banco Itaú é vítima de Cross Site Scripting TOPO   

Uma técnica de ataque conhecida por "cross-site scripting" está sendo utilizada no site do Banco Itaú.

 

O "cross-site scripting" ocorre quando uma página WEB não checa adequadamente o conteúdo de uma URL específica. Eventualmente, esta URL pode conter códigos maliciosos incluídos por um Cracker e o mesmo ser executado.

A conseqüência deste ataque pode resultar na exploração da ingenuidade humana. Ou seja, o Cracker poderá clonar o site do Banco Itaú e enviar por e-mail uma mensagem informando aos correntistas acessarem o link http://ww13.itau.com.br/novori/port/index.htm?http://www.iitau.com.br. Podemos analisar que o site http://www.iitau.com.br não existe, mas poderia ser explorado por um Cracker.

A utilização desta técnica requer condições específicas. Por exemplo, que o atacante conheça de antemão quais sites são considerados confiáveis pelo usuário ou que os cookies do site contenham informações sigilosas que possam ser lidas e exploradas, o que se vê fortemente dificultado se o usuário seguir as práticas de segurança recomendadas.

Para testar a técnica, acesse: http://ww13.itau.com.br/novori/port/index.htm?http://www.cert.org/advisories/CA-2000-02.html


Neste exemplo, estamos acessando o site verdadeiro do Banco Itaú  e redirecionando para o site que descreve como explorar a vulnerabilidade. A técnica pode ser feita em qualquer outro site, basta remover o link do Cert e colocar (caminho absoluto) o link de outro site.

 

Através desta técnica é possível seqüestrar a sessão da vítima através de JavaScript, injetar códigos HTML maliciosos com o objetivo de um ataque de negação de serviços (DoS) ou até mesmo apagar as informações que estão no banco de dados do site.

Autor: Denny Roger

TOPO
Hackers podem usar formato de imagem PNG para dominar micros TOPO   

Seis vulnerabilidades foram encontradas no formato de imagem digital PNG, de código aberto. As falhas permitem que invasores comprometam os micros que usam o Linux, sistema operacional de código aberto, além de atacar PCs equipados com Windows e máquinas da linha Macintosh que usam o sistema OS X.

Matéria completa: http://www.batori.com.br/noticcon.asp?arquivo=seg04080601.htm

TOPO
Ministério Público denuncia quadrilha de crackers TOPO   

O Ministério Público Federal de Marabá, no Pará, denunciou nesta quarta-feira (04) à Justiça Federal 63 pessoas acusadas de participar e se beneficiar de golpes dados via web em clientes do Banco do Brasil e da Caixa Econômica Federal.

Matéria completa: http://www.batori.com.br/noticcon.asp?arquivo=seg04080603.htm

TOPO
Cibercrimes: perdas estão 30% menores TOPO   

Os prejuízos com os crimes virtuais caíram quase 30%, de acordo com nona edição da pesquisa"Computer Crime and Security" realizada pelo Computer Security Institute (CSI) com a participação do Esquadrão de Investigações sobre Invasões a Computadores do FBI (Federal Bureau of Investigation) de São Francisco (Califórnia/EUA).

Matéria completa: http://www.batori.com.br/noticcon.asp?arquivo=seg04080604.htm

TOPO
Código-fonte roubado por e-mail do Yahoo TOPO   

Na quarta-feira (04/08), a Jolly Technologies, divisão da fornecedora norte-americana de sistemas para a criação de rótulos e cartões para a indústria gráfica, Jolly Inc., informou que partes do código-fonte e de documentos de desenvolvimento relacionados a um de seus principais produtos foram roubados no centro de pesquisa e desenvolvimento da empresa em Mumbai, na Índia. Como conseqüência, a empresa suspendeu todas as atividades de desenvolvimento no centro, que havia entrado em operação há três meses.

Matéria completa: http://www.batori.com.br/noticcon.asp?arquivo=seg04080602.htm

TOPO
Batori Security Day discute melhores práticas em Segurança da Informação TOPO   

Durante o evento, os principais especialistas nas diversas áreas de Combate a Fraudes, Direito Eletrônico, Perícia Forense, Política de Segurança da Informação, Sistemas de Segurança, Desenvolvimento de Software, estarão reunidos, palestrando, apresentando casos práticos e tendências aos participantes.

A primeira edição do evento será gratuita e aberta a consultores, especialistas em Segurança da Informação, executivos do segmento financeiro, Security Officer, Analistas de Segurança, profissionais de Direito, estudantes universitários e Auditores, entre outros.

Confira a agenda do evento e faça sua inscrição, acesse http://www.batori.com.br/securityday/.

Data: 18 de agosto de 2004
Local: Teatro Paulo Autran – Av João Dias, 2046, Santo Amaro – SP
Horário: das 8h30 às 18h30 horas
Inscrições: (11) 3105-1619

TOPO