Vírus para IOS distribuídos através do Safari ganham força

Um hacker descobriu uma maneira de quebrar o núcleo IOS a partir  do Safari e está usando o exploit para distribuir um vírus com ele. Os links que hospedam o vírus agora são anunciados como sites que poderiam desbloquear o dispositivo. O programa o falso usa o nome "UNLOCK AGORA LIVRE"  como um disfarce. No entanto vai o link só apaga todos os dados em seu dispositivo IOS e seu cartão SIM. Após pressionar o link, dez a quinze segundos mais tarde você vai ver "DOWNLOAD NOW FREE UNLOCK 2"antes tudo é apagado.

É claro que isso poderia ser potencialmente devastador, mas o lado bom é que as suas informações pessoais não é roubada. Era só uma questão de tempo antes dos vírus IOS começaram a aparecer. Felizmente não têm sido muitas e nenhuma delas conseguiu atingir o potencial que um vírus em um smartphone é capaz de fazer.

Todos os dispositivos rodando IOS 4 são capazes de adquirir o vírus. Apple pode (não é confirmado) ter bloqueado o acesso do vírus com o IOS 4.3.2, mas uma quantidade significativa de pessoas não atualizaram estão em risco.

fonte: http://www.iphonealley.com/news/ios-virus-acquirable-through-safari-gaining-momentum


Leandro Santos

Avast encontra exploit em PDF invisível para os programas antivírus

O truque envolve esconder um exploit do Adobe Reader comum num arquivo PDF comum que aparece ao software antivírus como uma imagem inofensiva

Os criminosos começaram a usar uma imagem obscura para tornar todos os arquivos PDF maliciosos, mas invisível para muitos programas de antivírus, Avast (empresa de segurança de software), disse.
O truque envolve esconder um exploit do Adobe Reader comum um arquivo comum PDF (Portable Document Format) por codificação com o filtro JBIG2Decode, normalmente utilizada para minimizar o tamanho dos arquivos ao incorporar monocromática TIFF (Tagged Image File Format) imagens dentro de PDFs.
[Saiba como bloquear o vírus, worms e outros malwares que ameaçam seu negócio, com as mãos sobre o conselho de contribuintes InfoWorld especialista em "Malware Deep Dive" InfoWorld guia em PDF. ]
Como o conteúdo aparece para o software antivírus como uma imagem TIFF inofensivo bidimensional, o exploit passa despercebido.
"Quem teria pensado que um algoritmo puro de imagem poderia ser usado como um filtro padrão em qualquer fluxo de objeto que você quer?", Disse o analista de vírus Avast, Jiri Sejtko, em um blog. "E essa é a razão pela qual o scanner não foi bem sucedido na decodificação do conteúdo original. O qual não esperava tal comportamento"
Parte do problema foi o espaço oferecido pela especificação PDF para usar filtros, como JBIG2Decode de forma inusitada, e até mesmo para usar vários deles ao mesmo tempo em camadas, disse ele.
A vulnerabilidade TIFF sendo alvo é CVE-2010-0188 de fevereiro de 2010, o que afeta as versões do Adobe Reader 9.3 ou anteriores em execução no Windows, Mac e Unix. As versões atuais, Reader X 10.x, não são afetados, embora muitos usuários continuam usando versões mais antigas.
Além disso, os pesquisadores acreditam que a técnica Avast de filtro JBIG2Decode, está sendo usado para esconder outros malwares, inclusive, um exploit de fonte TrueType  de setembro de 2010 afetando Reader 9.3.4 sendo executado em todas as plataformas.
Traduzido de http://mcaf.ee/68rjs

Desculpem qualquer erro de tradução


Leandro Santos

OWASP Hackademic Challenges Project

O OWASP Hackademic Challenges Project é um projeto open source que ajuda você testar seus conhecimentos sobre segurança de aplicações web. Você pode usá-lo para realmente atacar aplicações web em um ambiente realista, mas também controlável e segura.

A competição começa em 21 de abril e terá a duração de quatro semanas até 15 de maio.

Cada semana uma série de desafios vão ser liberados de acordo com o cronograma abaixo:

     * Semana 1 (21 de abril)
     * Semana 2 (28 de abril)
     * Semana 3 (05 de maio)
     * Semana 4 (12 de maio)



Uma vez que a competição terminou, o vencedor (primeiro lugar no Top 10) receberão um bilhete grátis para OWASP AppSec Europa 2011





 Acesse o desafio no seguinte endereço:
http://www.hackademic.eu/index.php


Leandro Santos

Segurança na Web: Uma Janela de Oportunidades

O OWASP Brasil, em março de 2011, publicou um documento que é uma mensagem ao governo brasileiro, com intuito de que o Brasil fosse mais competitivo no mercado de segurança de softwares, e porque não dizer um pioneiro.

O OWASP (Open Web Application Security Project) é uma comunidade mundial e aberta, focada em melhorar a segurança dos sistemas de software e conta com diversos capítulos em cidades brasileiras. Este documento apresenta a visão da comunidade brasileira do OWASP sobre como o governo brasileiro pode atuar para melhorar a segurança na Internet.

Neste documento, são apresentadas sugestões e recomendações a respeito de políticas públicas, legislação e outras atividades que poderia contribuir para a melhoria do ambiente de segurança na internet brasileira.

As recomendações são divididas conforme o foco de cada órgão:

1. legisladores
2. defesa do consumidor
3. controle
4. ensino e pesquisa
5. todos os órgãos públicos

As recomendações não tem dependências entre si, mas acreditamos que a máxima eficácia ocorre com a implementação de todas as recomendações. A melhoria da segurança na Internet brasileira poderia trazer diversas vantagens competitivas para o país, como a atração de investimentos, capacitação de mão-de-obras e o desenvolvimento de uma indústria capaz de exportar produtos e serviços de alto valor agregado.

Os especialistas brasileiros participantes do OWASP estão dispostos a contribuir para que o país avance na direção certa e podem servir de corpo consultivo ou de ligação com especialistas estrangeiros, caso seja necessário. O OWASP não tem fins lucrativos e os especialistas envolvidos trabalham como voluntários.

Acesse o documento completo:

https://www.owasp.org/images/1/16/Seguranca_na_web_-_uma_janela_de_oportunidades.pdf

Criando um layout moderno

Este esquema é muito popular em aplicações modernas em que a GUI é composta de múltiplos painéis aninhados com barras de divisão e regiões recolhíveis. Aqui está um exemplo que pode ser usado como um layout para as suas aplicações como visto abaixo:

Como fazer isso:

1. Crie os panéis da aplicação:

northPanel={
	title: 'North Panel',
	region: 'north',
	height: 150,
	minSize: 75,
	maxSize: 250,
	cmargins: '0 0 5 0'
}
southPanel={
	title: 'South Panel',
	region: 'south',
	height: 150,
	minSize: 75,
	maxSize: 250,
	cmargins: '5 0 0 0'
}
westPanel={
	title: 'West Panel',
	region: 'west',
	margins: '0 0 0 0',
	cmargins: '0 5 0 0',
	width: 175,
	minSize: 100,
	maxSize: 250
}
eastPanel={
	title: 'East Panel',
	region: 'east',
	margins: '0 0 0 0',
	cmargins: '0 0 0 5',
	width: 175,
	minSize: 100,
	maxSize: 250
}
centerPanel={
	title: 'Center Panel',
	collapsible: false,
	region: 'center',
	margins: '0 0 0 0'
}

2. Agora crie o container e insira os painéis nele:

var container=new Ext.Viewport({
	layout: 'border',
	defaults: {
		collapsible: true,
		split: true,
		bodyStyle: 'padding:15px'
	},
	items: [northPanel, southPanel,
		westPanel, eastPanel, centerPanel
		]
});

Leandro Santos

Workshop de Segurança

Olá a todos

Estou divulgando meu primeiro Workshop de segurança.

Informações no seguinte endereço: http://www.cjr.org.br/workshop/

Leandro Santos

Exemplo de Uso do Accordion Layout em ExtJS

Empilhando itens com accordion layout

Muitas aplicações precisam mostrar numa mesma tela vários paineis que só precisam aparecer um por vez, uma boa solução é usar o accordion layout, como no exemplo abaixo:

Como fazer isso:

1. Crie o panel principal:

panel1=new Ext.Panel({
 title: 'Mail',
 items: [{
  xtype: 'treepanel',
  id: 'inbox-tree',
  autoScroll: true,
  animate: true,
  enableDD: true,
  containerScroll: true,
  border: false,
  dataUrl: 'mail-folders.php',
  root: {
   nodeType: 'async',
   text: 'MailBox',
   draggable: false,
   id: 'mailbox'
  }
 }]
});

Arquivo mail-folders.php

<?php 
$node = "";
if (isset($_REQUEST["node"])) {
 $node = $_REQUEST["node"];
}
if ($node == 'mailbox') {
  echo "[{id: 0,text: 'Drafts'},{id: 1,text: 'Inbox'},{id: 2,text: 'Junk E-mail'},{id: 3,text: 'Sent Items'}]";
}

?>

2. Crie o panel do Calendário:

panel2=new Ext.Panel({
 title: 'Calendar',
 bodyStyle: 'padding:10px',
 items: [{ 
  xtype: 'datepicker',
  style: 'border:0'
 }]
});

3. Crie o panel de Contatos:

panel3=new Ext.Panel({
 title: 'Contacts',
 bodyStyle: 'padding:10px',
 items: [{ xtype: 'fieldset',
  title: 'Current View',
  autoHeight: true,
  bodyStyle: 'padding:3px',
  items: [
   { xtype: 'radio', boxLabel: 'Address Cards',
   hideLabel: true, name: 'contacts-view', checked: true },
   { xtype: 'radio', boxLabel: 'Phone List',hideLabel: true, name:'contacts-view' },
   { xtype: 'radio', boxLabel: 'By Category',hideLabel: true, name: 'contacts-view' },
   { xtype: 'radio', boxLabel: 'By Location',hideLabel: true, name: 'contacts-view'}]
  }]
});

4. Agora posicione os panels num container e expanda os nós da raiz da árvore:

var container=new Ext.Panel({
 title: 'Accordion Layout',
 width: 200,
 height: 350,
 applyTo: 'accordion-panel',
// Displays one item at a time in a stacked layout.
 layout: 'accordion',
 items: [panel1, panel2, panel3]
});
// Expand the root node of the tree.
Ext.getCmp('inbox-tree').getRootNode().expand();

O truque para os painéis empilhados reside na especificação de um AccordionLayout como opção de layout para o panel (container) que contém os outros.


Leandro Santos