Nego quer tudo. Todo o controle...

Google Play Store and Malware: A Recent History

Recently, Google Play Store has been in the spotlight quite often for hosting malware-laced apps.Some of these apps have millions of downloads, posing a massive threat to a considerable chunk of Android users.

Context

Although Google lets in an app on the Play Store only after it satisfies a list of requirements, certain malicious apps seem to have discovered cracks to slip through. Sometimes, such apps record millions of downloads before they’re discovered containing malware.
Google has been regularly weeding out malware-infected apps from the Play Store, but the openness of the platform is a roadblock in this battle.

Prominent Incidents

Android users are told only to download apps from the official Play Store. Let’s take a look at the recent instances of Google-approved apps sneaking in malware.

🌍@RubyOfSec

Fonte : https://cyware.com/news/google-play-store-and-malware-a-recent-history-0e7546a9

CISA Introduces Four New Insights Products

The Cybersecurity and Infrastructure Security Agency (CISA) has released four new insights products.
    These products reflect insights from U.S. cyber intelligence and real-world incidents.

The four products — Mitigate DNS Infrastructure Tampering, Remediate Vulnerabilities for Internet-Accessible Systems, Secure High Value Assets, and Enhance Email and Web Security — provide threat denoscriptions, lessons learned, recommendations, and relevant resources.

Mitigate DNS Infrastructure Tampering

A DNS attack begins by the hacker compromising an account that can change DNS records.

    Altering DNS records implies not just traffic redirection, but also decryption of the redirected traffic.
    CISA recommends reviewing DNS records, changing DNS passwords, adding multi-factor authentication to DNS accounts, and monitoring certificate transparency logs.

Remediate Vulnerabilities for Internet-Accessible Systems

Vulnerabilities in internet-accessible systems are being exploited by threat actors more than ever now. This insights product focuses on the vulnerabilities in systems that are accessible over the public internet.

    Basic prevention methods include having at least a weekly vulnerability scan that covers all internet-accessible systems.
    It is recommended that critical vulnerabilities must be patched within 15 days, and high vulnerabilities within 30 days. If it is not possible to roll out a patch within these timelines, an organization-wide plan for action and coordination must be in place.

Secure High Value Assets

According to CISA, “A High Value Asset (HVA) is information or an information system that is so critical to an organization that the loss or corruption of this information or loss of access to the system would have serious impact to the organization’s ability to perform its mission or conduct business.”

    Recommended actions include identifying and prioritizing HVA, establishing an organization-wide HVA governance program, and developing an assessment approach based on HVA prioritization among others.
    Identified risks or vulnerabilities must be patched within 30 days. If not, a remediation plan must be developed.

Enhance Email and Web Security

“Phishing emails and the use of unencrypted Hypertext Transfer Protocol (HTTP) remain persistent channels through which malicious actors can exploit vulnerabilities in an organization’s cybersecurity posture,” says CISA.

    Phishing email attacks can be prevented by setting a DMARC policy of ‘reject’ or implementing SPF/DKIM rules.
    It is recommended that organizations consider the deployment of HTTPS and HSTS to improve web security.

🌍@RubyOfSec

Fonte : https://cyware.com/news/cisa-introduces-four-new-insights-products-edb66f4b

Weidsom Nascimento, Competencias: Administração, Gestão de programa e manutenção. Querendo difamar a Black Hat e Defcon, inapresentavel. Só com este nome ele já perdeu todo o respeito, e com o currículo ele perdeu toda a moral para chamar qualquer um de idiota.

Weidsom Nascimento: https://www.linkedin.com/in/weidsom-nascimento-b2297b101/?originalSubdomain=br

Marketing ae

Carro da Tesla fica sem bateria durante perseguição policial nos EUA

Durante uma perseguição de alta velocidade, um policial alertou seus colegas de que seu carro estava com menos de 9 quilômetros de bateria disponível.

Um policial de Fremont, na Califórnia, foi obrigado a abandonar uma perseguição a um suspeito depois que o seu carro Tesla Model S ficou praticamente sem bateria.

Tanto o suspeito quanto o policial estavam acelerando a mais de 190 km/h quando, de repente, o policial teve de avisar seus colegas pelo rádio que teria de abandonar a perseguição.
A perseguição acabou sendo cancelada devido a preocupações com a segurança pública, já que o suspeito estava dirigindo em alta velocidade pelo acostamento. Com isso, Hartman foi liberado para encontrar uma estação de carregamento para conseguir voltar à cidade.

De acordo com Geneva Bosques, porta-voz do departamento de polícia de Fremont, o Tesla não havia sido carregado após o turno anterior ao de Hartman; ou seja, o nível de bateria estava mais baixo do que o normal.

Ao final de cada turno, o Tesla usado pela polícia local possui entre 40% e 50% de bateria restante. O capitão da polícia de Fremont, Sean Washington, observou em uma entrevista no começo do ano que: "Podemos facilmente enfrentar um turno de 11 horas com a energia da bateria disponível."

Mesmo com a bateria acabando, a situação não teve influência no resultado da perseguição – o veículo do criminoso foi encontrado em San Jose, não muito longe de onde a perseguição foi abandonada. No entanto, a história serve como um lembrete importante de que qualquer veículo pode ficar sem alimentação nos momentos mais inoportunos.

🌍@RubyOfSec

Fonte : https://www.gamevicio.com/noticias/2019/09/carro-da-tesla-fica-sem-bateria-durante-perseguicao-policial-nos-eua/

FEMA promove XXX Semana de Informática

Evento, que acontece de 23 a 27 de setembro de 2019, trás como tema principal a evolução da informática nos últimos 30 anos

A Fundação Educacional do Município de Assis (FEMA) e a coordenadoria dos cursos de Ciência da Computação e Análises e Desenvolvimento de Sistemas realizam, dos dias 23 a 27 de setembro de 2019, a XXX Semana de Informática, como tema “30 anos de evolução na informática”.  

A palestra de abertura será às 19h30, no anfiteatro da FEMA, ministrada pelo co-founder da empresa de segurança da informação EarlySec e especialista em Segurança da Informação e Privacidade, Wagner Monteverde, com o tema “Segurança da informação em tempos de legislações de proteção de dados pessoais – LGPD”. No dia seguinte, a partir das 19h20, haverá uma mostra de software no Laboratório de Eletrônica e, às 20h, no anfiteatro, a palestra sobre “Como desenvolver uma carreira digital global de sucesso”, com Iglá Generoso, fundador e CEO da Digital Innovation One. 

No dia 26 de setembro, às 19h30, a empresa TATA Consultancy Services, de Londrina (PR), dará uma palestra sobre “Novas tecnologias e mercado de trabalho”. A comemoração aos 30 anos de Informática da FEMA acontece no dia 27 de setembro, que contará também com uma mesa-redonda com profissionais e professores, às 19h30 no anfiteatro.

🌍@RubyOfSec

Fonte : http://www.fema.edu.br/index.php/noticias-pagina/1513-fema-promove-xxx-semana-de-informatica

Curso de Segurança em PHP

https://github.com/CSPF-Founder/PHPSecurityCourse

Idioma: Inglês

@hatsecurity

Projeto de lei prevê processo contra quem divulgar fake news no Brasil

A Comissão de Ciência e Tecnologia (CCT) analisa na quarta-feira (2) o relatório da senadora Mara Gabrilli (PSDB-SP) ao projeto de lei (PLS) 246/2018, que prevê a apresentação de ação civil pública contra a divulgação de notícias falsas (conhecidas como fake news) na internet que atinjam interesses coletivos. De autoria da Comissão de Direitos Humanos e Legislação` Participativa (CDH), a matéria foi apresentada como uma sugestão (SUG 62/2017) encaminhada pelo Programa Jovem Senador.

No relatório, Mara diferencia as "fake news individuais" (que atingem a honra de um indivíduo específico) das "coletivas" (que ferem os interesses sociais difusos). Para as "fake news individuais", o Marco Civil da Internet (lei 12.965, de 2014) já prevê que somente a vítima tem legitimidade para propor a ação judicial. No caso das "coletivas", "há espaço para aprimorar a legislação", defende a senadora.
Pelo substitutivo da senadora, o Ministério Público, a Defensoria Pública e associações consolidadas poderão propor a ação civil pública para combater notícias falsas que atinjam interesses coletivos ou transindividuais.

Críticas às fake news

A senadora aproveita o relatório para fazer uma análise sobre a força que o fenômeno das fake news atingiu na sociedade brasileira. Ela entende que inúmeros cidadãos podem sofrer prejuízos em suas decisões pessoais envolvendo negócios, política ou família por conta de notícias falsas.

Ela também considera lamentável que, em poucos segundos, a imagem de pessoas possa ser irreversivelmente destruída por meio de um conteúdo ofensivo e mentiroso que "viralize".

🌍@RubyOfSec

Fonte: https://www.gamevicio.com/noticias/2019/10/projeto-de-lei-preve-processo-contra-quem-divulgar-fake-news-no-brasil/

Usuários dizem que atualização do Windows 10 quebrou o Menu Iniciar


Pacote cumulativo do Windows 10 deveria corrigir problemas com a impressora, mas acabou causando outros transtornos

A Microsoft liberou na quinta-feira (4), um pacote de atualizações cumulativa aparentemente inocente, que visava resolver um problema com impressoras. A parte positiva é que o bug da impressora foi corrigido; a parte ruim é que a atualização quebrou uma parte ainda mais importante do sistema: o menu Iniciar.

🌎@RubyOfSec

Fonte: OlharDigital

[EXCLUSIVO] Site do Detran-RN expõe dados de todos os brasileiros com CNH

Aproximadamente 70 milhões de brasileiros tiveram os dados pessoais expostos no site do Detran; era possível encontrar dados sensíveis, inclusive do presidente Jair Bolsonaro e sua família

Com exclusividade, o Olhar Digital recebeu uma denúncia anônima sobre uma grave falha de segurança no sistema do Detran do estado do Rio Grande do Norte. A brecha expôs dados pessoais de aproximadamente 70 milhões de pessoas. Era possível obter, apenas com o número de CPF, outros dados pessoais como endereço residencial completo, telefone, operadora, dados da CNH (categoria, validade, emissão, restrição, registro), foto, RG, CPF, data de nascimento, sexo e idade.

A denúncia partiu de um pesquisador de segurança da informação, que explorou a falha por aproximadamente três meses e descobriu, por meio de testes com variados números de CPFs gerados aleatoriamente, a falha que dava acesso ao banco de dados completo dos Detrans de todo o Brasil – que têm seus sistemas integrados e unificados. Por se tratar de um banco de dados de base nacional, era possível obter dados de qualquer pessoa, inclusive de figuras públicas como o presidente Jair Bolsonaro e seus filhos, Wesley Safadão, Xuxa, Neymar, Eike Batista, entre outros. 

O pesquisador, que contatou duas vezes o Departamento Nacional de Trânsito para notificar a falha, afirmou não ter obtido nenhum retorno do órgão. Na semana passada, ao tentar acessar o site novamente, descobriu que a página que retornava com os dados não mostrava mais informações da ficha cadastral, mas continuava ativa e, assim, passível de ser acessada e explorada por algum invasor.

Aparentemente, o Detran corrigiu a brecha do sistema, visto que as tentativas não retornam mais páginas com dados dos cadastrados. O Olhar Digital tentou, por diversas vezes, entrar em contato com o Detran-RN, mas até o momento da publicação desta matéria, não obteve resposta. 

Fonte : https://olhardigital.com.br/noticia/-exclusivo-site-do-detran-rn-expoe-dados-de-todos-os-brasileiros-com-cnh/91308

Curso completo de Marketing no YouTube

Por: @ghsleaks

#Curso #Ghs #Udemy #Leak #Free #Download

Hacking victim who paid Bitcoin ransom goes on to hack the hackers

A ransomware victim that paid Bitcoin $BTC▲4.23% to unlock his files has enacted sweet vengeance on his attackers, by hacking them right back.

As part of his retaliation, German programmer Tobias Frömel (aka “battleck”) released almost 3,000 decryption keys to assist others hit by the Muhstik ransomware, alongside free decryption software, BleepingComputer reports.

The thing is, this revenge-hack wasn’t exactly legal. Frömel highlighted this in his original announcement on the BleepingComputer forum yesterday morning, but urged readers to understand that he’s “not the bad guy here.”

The Muhstik ransomware hackers have plagued QNAP’s Network Attached Storage (NAS) devices since the end of September.

They’ve found success by brute-forcing their way into devices with weak passwords, encrypting files and demanding 0.09 BTC ($700) of their victims to unlock them.(...)

Fonte : https://thenextweb.com/hardfork/2019/10/08/ransomware-bitcoin-hacker-cryptocurrency-muhstik-rekt/

Ethical Hacker Certification course
(Udemy)

Link https://www.udemy.com/course/ethical-hacker-certification-course/?couponCode=1_LAKH

Maratona hacker busca soluções tecnológicas para o combate à corrupção

Começa hoje (10) no Rio de Janeiro a Hackfest 2019 – Um Rio de Dados, promovida pelo Ministério Público do Rio de Janeiro (MPRJ), em parceria com o Ministério Público da Paraíba (MPPB). O objetivo da maratona de programação, que está em sua quinta edição, é buscar soluções tecnológicas que contribuam para o combate à corrupção. 

Serão quatro dias de imersão para debater o tema e desenvolver aplicativos com soluções para promover o controle social do Estado e na busca por uma sociedade mais justa e participativa. Participam estudantes e profissionais de tecnologia da informação, direito, design, contabilidade e gestão pública.
A abertura será na noite de hoje, seguida de palestra para nivelamento do tema entre os participantes, já previamente inscritos, debate de ideias e formação das equipes que trabalharão na produção das soluções tecnológicas. As equipes terão dois dias para programar e desenvolver os aplicativos, que serão apresentados no domingo (13). 

Os três melhores projetos serão selecionados como finalistas para participar da segunda etapa da competição, que ocorrerá em dezembro, quando os softwares deverão ser entregues prontos para usufruto gratuito da sociedade. O prêmio será de R$ 9 mil para a equipe que fizer o melhor projeto, de R$ 6 mil para o segundo lugar e de R$ 4 mil para o terceiro colocado. 

No ano passado, foram premiados com medalha de ouro projetos de aplicativos com os temas: Cadê meu Remédio, Lupa na Toga, Não nasci para ser a outra, Brasirama, Focaqui, Câmara das Deputadas e Me diz quem tu és.

Fonte : http://agenciabrasil.ebc.com.br/geral/noticia/2019-10/maratona-hacker-busca-solucoes-tecnologicas-para-o-combate-corrupcao

TSE estuda validação de biometria de eleitores através de app

O Tribunal Superior Eleitoral (TSE) estuda permitir que os próprios eleitores validem remotamente suas digitais através do smartphone. Essa seria uma nova funcionalidade dentro do aplicativo e-Título (Android, iOS). A ideia é transformar o app em uma plataforma de serviços eleitorais, explica o juiz-auxiliar da presidência do TSE, Ricardo Fioreze, em entrevista para Mobile Time.

O e-Título funciona atualmente como uma versão digital do título de eleitor, com as informações disponibilizadas em um QR code, além de oferecer serviços como verificação do local de votação e emissão de certidões de quitação eleitoral e de “nada consta” em crimes eleitorais. O app acumula 11,5 milhões de downloads.

Fioreze ressalva, contudo, que não está nos planos do TSE permitir que o eleitor vote através do app. “Não será possível votar pelo app, por conta do sigilo do voto. Não se pode eliminar o procedimento atual, em que o cidadão comparece presencialmente. Os mesários asseguram que ninguém está exercendo nenhum tipo de pressão sobre o eleitor”, explica.

Biometria

A validação das digitais através do smartphone ajudará o TSE a cumprir a meta de ter todos os 148 milhões de eleitores brasileiros com dados biométricos cadastrados até as eleições 2022. Hoje o tribunal tem a biometria de 103 milhões de eleitores.
O processo de cadastramento biométrico começou como um piloto cerca de 12 anos atrás. Desde então, a captura da biometria vem sendo feita gradualmente ao longo dos anos, aproveitando as vezes em que o eleitor comparece aos Tribunais Regionais Eleitorais (TREs) para algum serviço. Em 2015, para acelerar o processo, o TSE firmou parceria com órgãos estaduais de identificação de quatro estados (Rio de Janeiro, Santa Catarina, Paraná e Rio Grande do Sul), que compartilharam seus bancos de dados biométricos. Nas eleições de 2018, foi feito um processo de validação das digitais com os eleitores que compareceram à votação. De 6 milhões de pessoas cujos dados biométricos haviam sido fornecidos pelos quatro estados ao TSE, 4,3 milhões compareceram às seções eleitorais e validaram suas digitais.
O TSE armazena as digitais de todos os dedos das mãos. Nas eleições, contudo, podem ser usados apenas o indicador ou o polegar de qualquer uma das mãos. São permitidas até quatro tentativas. Se não houver confirmação, o mesário identifica o eleitor conferindo um documento com foto e o autoriza a votar.
O TSE também armazena fotos dos rostos de eleitores, que podem ser eventualmente usados para identificação por reconhecimento facial no futuro, mas não há planos nesse sentido por enquanto. “Todo o nosso esforço está sendo em priorizar as impressões digitais”, afirma Fioreze.

Mobi-ID

O secretário de tecnologia da informação do TSE, Giuseppe Janino, fará uma apresentação sobre o uso da biometria nas eleições brasileiras durante o seminário Mobi-ID, que acontecerá no dia 25 de novembro, no WTC, em São Paulo, com organização de Mobile Time. Também serão apresentados cases da Vivo, de reconhecimento de assinantes por voz; da prefeitura de São Paulo, de emissão de certificados digitais; e da polícia militar do Rio de Janeiro, de reconhecimento facial na segurança pública. A agenda atualizada do evento e mais informações estão disponíveis em www.mobi-id.com.br, ou pelo telefone 11-3138-4619, ou pelo email eventos@mobiletime.com.br.

Fonte : https://www.mobiletime.com.br/noticias/10/10/2019/tse-vai-permitir-captura-de-biometria-de-eleitores-atraves-de-app/

Vídeo novo: https://youtu.be/Zbr9uxLvHR8