Zero Day Weekly: Hacking Team, Lagarto Squad, remendo OpenSSL, diretor OPM fecha

Bem-vindo à Semana do Dia Zero Na Segurança, o nosso roundup de itens notáveis ​​notícias de segurança para a semana que terminou em 10 de julho de 2015. Abrange a empresa, controvérsias, relatórios e muito mais.

– Jeremiah Grossman (@jeremiahg) 09 de julho de 2015

– Shane Harris (@shaneharris) 09 de julho de 2015

– Marasawr (@marasawr) 09 de julho de 2015

– O grugq (@thegrugq) 10 de julho de 2015

Como não se verificar uma violação de dados (e por que alguns realmente quero que você se “pwned”)

Repensar os fundamentos de segurança: Como superar a FUD

? Mercado M2M salta para trás no Brasil

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

Todos os vôos dos EUA na United Airlines foram cancelados por cerca de duas horas mais cedo no dia 8 de julho, devido ao que a companhia chama de “problema de conectividade de rede” que manteve aviões dos céus. A falha foi reportada pela companhia aérea com a FAA, o que levou a uma parada que aterrado jatos da linha principal da companhia; um número estimado de 4.900 vôos foram afetados pelo problema em todo o mundo.

Uma versão maliciosa de BatteryBot Pro App para Android foi encontrado no Google Play esta semana. O aplicativo não autorizado é projetado para realizar a fraude anúncio, enviar mensagens SMS para números de tarifa premium, e descarregue ameaças adicionais. BatteryBot é uma aplicação que monitora a bateria de dispositivos Android, e está instalado em entre 100.000 e 500.000 dispositivos do usuário.

Um membro chave Lagarto Esquadrão foi condenado por 50.700 encargos relacionados com crimes de computador, esta semana, de acordo com o jornal finlandês Kaleva. Julius “zeekill” Kivimaki, 17, recebeu uma pena suspensa de dois anos e devem ser submetidos a monitoramento de suas atividades on-line, de acordo com a mídia finlandesa. Ele não irá para a prisão.

Alguns arquivos PDF mostrados no Google não são as páginas web vistas pelos usuários. Embora o Google toma medidas para evitar chapéu search engine optimization preto (SEO) táticas, pesquisadores com Sophos têm observado uma técnica eficaz envolvendo arquivos PDF que podem ser usados ​​para promover sites potencialmente maliciosos.

Terracom e América YourTel não conseguiu proteger adequadamente as informações pessoais de mais de 300.000 clientes, disse que a FCC. Os prestadores de serviços de telecomunicações móveis e pagarão um combinado de US $ 3,5 milhões depois que a Comissão Federal de Comunicações dos EUA descobriram que eles foram armazenar dados pessoais dos clientes em servidores desprotegidos acessíveis através da Internet.

Outro dia, outro patch OpenSSL: O mais recente falha de segurança OpenSSL (que permite que atacantes para representar qualquer servidor confiável) não é um mau como essas coisas vão. Não é nenhum heartbleed, Freak, ou impasse. Mas é grave o suficiente para que, se você estiver executando sistemas alfa ou beta operacionais, você não deve atrasar a aplicação de patches-lo.

OPM foi atingida por uma segunda violação, levando ao roubo de registros de mais de 21 milhões de indivíduos “. A figura confirmou quinta-feira pela OPM é, além de a violação anterior, eo valor total é agora de quase 26 milhões de pessoas afectadas pelas duas violações. Os dois ataques são separados, mas relacionados. Tem sido relatado que o diretor da OPM não tem tecnologia, segurança cibernética ou de gestão de crises experiência – e declarou esta semana que ela não vai renunciar. Update: Ela saiu esta manhã.

US candidato presidencial Hillary Clinton acusou a China de “tentar cortar em tudo o que não se move na América” ​​e roubar informações do governo, em comentários com palavras fortes que possam irritar Pequim. Clinton, ex-secretário de Estado, não poupou em declarações à partidários democratas em um evento de campanha em New Hampshire.

O diretor do FBI pediu um debate “robusto” em criptografia na segunda-feira. chefe do FBI James Comey (novamente) advertiu que o aumento do uso de criptografia forte irá tornar mais difícil para a aplicação da lei para acessar e-mail ou outras conversas digitais. Curiosamente, ele acrescentou: “Pode ser que, como povo, nós decidimos os benefícios aqui superam os custos e que não há nenhuma maneira sensível, tecnicamente viável para otimizar a privacidade e segurança neste contexto particular, ou que as pessoas de segurança pública será capaz de fazer o seu trabalho bem o suficiente no mundo da criptografia forte universal. Essas são decisões americanos devem fazer …

Os atacantes que tiveram como alvo a Apple, Facebook, Microsoft e Twitter há dois anos em uma série de hacks de alto perfil ainda estão ativos. A quadrilha, que Symantec chama de borboleta, não é estado-patrocinado, em vez motivação financeira. Ele atacou empresas de bilhões de dólares nos sectores da internet, software de TI, farmacêutica e de commodities. Twitter, Facebook, Apple e Microsoft estão entre as empresas que têm ataques reconhecidos publicamente. O grupo de hackers, motivado pelo ganho financeiro, é pensado para orientar as empresas a pedido, e “deve ser levado a sério pelas corporações”, disse a pesquisa.

A New York Stock Exchange abruptamente interrompido negociação de todos os títulos logo após 08:30 PT / 11: 30 ET na quarta-feira, provocando especulações de linha que tinha sido cortado. O impasse foi parte de dois defeitos na NYSE incorridos naquele dia. Tal acontecimento não tem precedentes. Por exemplo, quase dois verões atrás Nasdaq suspendeu negociação abruptamente devido a dificuldades técnicas.

No fim de semana, a empresa spyware Hacking equipe foi vítima de um ataque cibernético, e segunda-feira foi publicamente desmantelado on-line por hackers em todo o mundo. diretor de marketing da Hacking equipe falou com a imprensa terça-feira, dizendo que era um “ataque sofisticado” e que “Não há nenhuma evidência nesses arquivos estamos fazendo nada ilegal, e eu diria, ‘antiético’.” O que foi encontrado nos arquivos de lista de clientes da empresa, na sua maioria composta de países com violações graves dos direitos humanos é exatamente o oposto.

Segurança; Como não verificar uma violação de dados (e por que alguns realmente quero que você se “pwned”); segurança; fundamentos de segurança Re-pensamento: Como superar a FUD; Inovação; mercado M2M salta para trás no Brasil; segurança;? prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA