Hackers to Hackers Conference: Chamadas para Trabalho

A Conferência Hackers to Hackers (H2HC), que será realizada em São Paulo entre os dias 29 e 30 de outubro de 2011, já iniciou a sua chamada para trabalhos. Esta oitava edição do evento contará com a participação de palestrantes nacionais e internacionais. O idioma das apresentações será em Português ou Inglês, com tradução simultânea para cada um. Lembrando que o comitê do H2HC dará preferência para apresentações com demonstrações práticas. A organização tenta oferecer todos os equipamentos necessários para realizar a apresentação, caso o autor ou palestrante não tenha essa condição. Sem limitações, estão incluídos os seguintes e importantes tópicos:

Testes de Penetração, Seguranças em Aplicações Web, Técnicas de Desenvolvimento de Exploits, Engenharia Reversa, Fuzzing  e Testes de Segurança de Aplicações, Rootkits, Criptografia, Análises de worms, vírus, trojans, malware e afins, Segurança em Telecomunicações e Phone Phreaking, entre outros pontos importantes ligados à área da segurança da informação.

Para os que tiverem interesse em enviar propostas de trabalho, o prazo vai até o dia 25 de setembro. Informações adicionais podem ser encontradas na página do H2HC. 

Mais informações em:

http://www.h2hc.com.br

Créditos: Under Linux

Vulnerabilidade na Ferramenta Samba SWAT

Uma vulnerabilidade Cross Site Request Forgery (CSRF) e uma vulnerabilidade de Cross-Site Scripting (XSS)  relacionadas na ferramenta de administração SWAT do Samba SMB / CIFS e software de interoperabilidade do Windows, provocou o lançamento das atualizações para versões 3.3, 3.4 e 3.5 do programa.

Com um problema de falsificação de solicitação, um atacante pode enganar um usuário autenticado a clicar em um URL manipulado em uma diferente página Web e ganhar o controle da SWAT. Se esse usuário for autenticado como usuário root no sistema, é possível, por exemplo, iniciar ou parar o serviços, adicionar ou remover partes, impressoras ou contas de usuários. A ferramenta SWAT precisa ser instalada e ativada como um servidor autônomo ou como um plug-in CGI do Apache para se tornar vulnerável. Os desenvolvedores do Samba tem a versão atualizada do código-fonte do Samba 3.5.10(notas de lançamento), 3.4.14(notas de lançamento) e 3.3.16(notas de lançamento) para abordar a questão da SWAT.

 

 

Mais informações em:

Samba 3.5.10 http://samba.org/samba/history/samba-3.5.10.html
Samba 3.4.14 http://samba.org/samba/history/samba-3.4.14.html
Samba 3.3.16 http://samba.org/samba/history/samba-3.3.16.html

 

Créditos: Under Linux

Lenovo anuncia primeiro tablet corporativo no Brasil

A Lenovo anunciou no Brasil o primeiro tablet para uso empresarial, o ThinkPad Tablet. O modelo combina características da tradicional linha ThinkPad da Lenovo, como confiabilidade, segurança e resistência, à experiência proporcionada pelo sistema operacional Android 3.1 e o processador NVIDIA Tegra 2, com dois núcleos. A tela de 10.1” com Multitouch Capacitivo possui a tecnologia IPS, que oferece um ângulo de visão de 178 graus, além de um revestimento Gorilla Glass, um vidro ultra resistente a riscos.

O tablet possui 2 GB de armazenamento disponível em uma nuvem livre, além de um disco SSD de 16 GB, 32 GB ou 64 GB, vem equipado com uma bateria capaz de durar de até 8 horas com WiFi e conexões USB 2.0, Micro USB, entrada 3 em 1 para cartões SD e Mini HDMI, para conexão a projetores externos e monitores. Os recursos de hardware colocam o tablet em pé de igualdade com o badalado Motorola Xoom. O ThinkPad Tablet já vem com também com uma seleção interessante de aplicativos pré-instalados, tanto para fins de entretenimento como para o ambiente empresarial. Aplicativos como o “ooVoo” permitem realizar uma videoconferência sem ruídos. Os usuários podem usar o dispositivo para manter contato com amigos e contatos de negócios usando o exclusivo aplicativo SocialTouch da Lenovo, que também os conecta às redes sociais, email, calendário e avisos de forma a sintetizar todos estes canais de comunicação em uma interface de fácil utilização. Também é possível visualizar e editar documentos do Microsoft Office usando a versão completa do aplicativo Dataviz “Documents to Go”. O tablet também permite conexão  a uma variedade de dispositivos e redes. Os usuários podem utilizar seu dispositivo para acesso à rede corporativa e conectar-se ao e-mail profissional, com o aplicativo certificado “Good for Enterprise”, além de proteger dados confidenciais com recursos de segurança robustos, incluindo criptografia completa do cartão SD.

O novo ThinkPad Tablet vem ainda com segurança de dados em camadas, graças a um conjunto de soluções associadas de negócios que incluem: software anti-roubo e capacidade de desativar o tablet se o dispositivo for perdido ou roubado. As funcionalidades de segurança adicionais incluem suporte a aplicativos virtuais com Citrix, implantação zero-touch com LANDesk simplificada e suporte de segurança para e-mail disponível com o Good Technology. De acordo com a Lenovo, os clientes que utilizarem o ThinkPad Tablet terão acesso ao portfólio completo de serviços de nível empresarial do fabricante, como suporte técnico diferenciado e atendimento “onsite” para as localidades que dispõe deste serviço. Além disso, os Serviços de Imagem da Lenovo garantem que, mesmo com imagens flash, a garantia seja protegida e o tablet esteja pronto para ser usado assim que sair da caixa. A Lenovo ainda oferece às empresas o serviço de personalização das imagens pré-instaladas no tablet, através de seu Centro de Tecnologia de Imagem Lenovo.

Créditos: Linux Magazine

Oracle: Preview de Novas Funcionalidades do MySQL 5.6

A Oracle anunciou uma versão de acesso antecipado ao MySQL 5.6 durante a Convenção O'Reilly Open Source. Esta versão de acesso antecipado, incide sobre o seu desempenho, escalabilidade e flexibilidade. O mecanismo de armazenamento InnoDB foi atualizado para suportar pesquisa de texto completo, com a capacidade de criar índices de texto e pesquisa para conteúdo que for armazenado em tabelas do próprio InnoDB.

Um processo de inicialização mais rápido é prometido pela adição de "Buffer Pool Pre-loading Options", o que permite opções automatizadas ou de forma manual para pré-carregar os buffers no InnoDB. Além disso, arquivos Arquivos Redo Log foram aumentados de 4 GB à 2 TB, o que irá permitir um melhor desempenho ao escrever aplicações intensivas, não necessitando que fazer pausas, tantas vezes para gerenciar os arquivos de log.

A visualização do MySQL 5.6 está disponível em labs.mysql.com, identificado como "Impróprio para produção". Os vários novos recursos são incorporados separadamente em diferentes versões; as características do produto estão atualmente em desenvolvimento e a Oracle está buscando feedback sobre elas.

Créditos: Under Linux

Trend Micro Expande SecureCloud

Trend Micro SecureCloud, o serviço de criptografia baseado em políticas de gerenciamento de chave, foi ampliado com uma nova oferta projetado para provedores de serviços em nuvem, bem como suporte a criptografia para ambientes VMware vSphere. Essa versão mais recente, possibilita que os prestadores de serviços implementem um serviço de criptografia eficiente e fácil de usar, ajudando a manter dados sensíveis particulares e as empresas a atender seus requisitos de compliance.

Esse serviço permite também que os prestadores de serviços ampliem o acesso dos clientes a um conjunto de segurança, sem adicionais de gestão ou de manutenção, além de oferecer um excelente sistema de criptografia e serviços de gerenciamento de chaves, que agregam um nível avançado de controle sobre as informações na nuvem.

Créditos: Under Linux

Fedora 16 Virá com Grub2, GNOME 3.2 e KDE 4.7

A gama de recursos do Fedora 16, que está programado para ser lançado no final de outubro, está se tornando mais clara agora que o prazo para apresentação de novos recursos passou. A apresentação tardia somente é aceita em raras ocasiões, mas o "feature freeze" está previsto para a próxima terça-feira - até então, todos os grandes avanços na distribuição do Linux estão planejados para serem, em grande parte, concluídos e pronto para testes. A versão alpha é o primeiro e único a ser lançado, três semanas depois, em 16 de agosto.

A lista de recursos contém 40 itens, incluindo GNOME 3.2 e KDE Plasma Workspaces 4.7. Os desenvolvedores estão planejando passar a usar Grub2 para o carregador de boot. Além disso, o Fedora vai oferecer tudo o que for preciso para a virtualização  Xen, como a versão 3.0 do kernel do Linux, que agora é esperado para ser lançado na sexta-feira, e vai incluir todos os componentes necessários.

Mais informações em:

http://fedoraproject.org/wiki/Releases/16/FeatureList

Créditos: Under Linux

Android 3.2 para Tablets

O líder tech  do Android SDK, Xavier Ducrohet, anunciou que a plataforma do SO Android 3.2 foi liberado. Os desenvolvedores fizeram o SDK correspondente (Software Development Kit), incluindo um emulador, disponível para download. Tal como os seus antecessores da série 3, o sistema operacional que é principalmente desenvolvido pelo Google, foi otimizado para PCs tablet.

Entre as melhorias listadas por Ducrohet, tanto para desenvolvedores e usuários, há um modo de compatibilidade new screen para aplicações de redimensionamento, que foi programado para resoluções de tela pequena, o que se destina a melhorar a aparência das aplicações do smartphone, que anteriormente poderiam ser ampliadas somente com sucesso limitado em tablet PCs.

Créditos: Under Linux

Android: Ataques de Variante de Trojan Bancário ZeuS

Vários fornecedores de AV, relataram que, após a segmentação Symbian, BlackBerry e dispositivos Windows Mobile, uma variante do trojan bancário ZeuS agora também infecta smartphones  Android e vai carregar qualquer TANs que chegam via mensagem de texto a um servidor. Se eles tem o controle de vítimas que usam PCs, bem como seus smartphones, os criminosos são capazes de contornar o sistema móvel TAN e fazer transações fraudulentas das contas de suas vítimas.

De acordo com a Kaspersky, a variante chamada Zeus-in-the Mobile (ZitMo) é mais simples do que a versão para Symbian, que apareceu em setembro de 2010, seguido da variante do Windows. ZitMo para Android não exige o certificado digital e é injetado através de download manual que vem de uma extensão de segurança de uma suposta empresa chamada Trusteer. Uma vez instalado, o trojan se disfarça como um aplicativo online banking em atividade.

Mais Informações em:
ttp://www.trusteer.com/blog/mobile-...wo-steps-ahead

Créditos: Under Linux

Barrelfish, o sistema operacional livre da Microsoft

A Microsoft Research e a System Groups at ETH Zurich lançaram a última versão do seu sistema operacional de pesquisa, Barrelfish, sob uma licença MIT e o colocaram em um repositório Mercurial para acesso público. Barrelfish é um sistema operacional experimental que foi desenvolvido para ser executado em sistemas com CPUs heterogêneas, como computadores que operam com uma mescla de processadores x86 e ARM, ou um chip com uma diversidade de núcleos especializados. Atualmente o sistema opera em um hardware com processadores múltiplos x86-64 e ARM, o microprocessador de pesquisa de 48 núcleos da Intel (o Single-chip Cloud Computer) e BeeHive, um computador de múltiplos núcleos construído com FPGAs.

O Barrelfish foi desenvolvido para operar independentemente do hardware. Cada processador executa sua própria instância do sistema operacional e mantêm sua própria cópia do estado geral do sistema (sistemas tradicionais compartilham as informações de seu estado em memória compartilhada, o que leva a alguns problemas como caching e locking). Cada instância do sistema operacional comunica suas mudanças de estado para as outras usando mensagens que atualizam as outras instâncias e mantêm o sistema em sincronia.

Um artigo de 2009, "O Multikernel: Uma nova arquitetura de sistemas operacionais para sistemas de múltiplos núcleos escalonáveis" ("The Multikernel: A new OS architecture for scalable multicore systems"), discute com mais detalhes as motivações e princípios por trás do Barrelfish. De acordo com esclarecimentos dos pesquisadores, o Barrelfish "ainda carece da maioria dos recursos de um sistema operacional para torná-lo usável por qualquer um além de pesquisadores de sistemas medindo seu desempenho," apesar disso, o site Barrelfish.org afirma que está operando em um servidor com Barrelfish.

O código-fonte do Barrelfish está disponível em seu próprio repositório Mercurial sob uma licença MIT.

Créditos: Linux Magazine

PuTTY com Suporte à Autenticação SSH-2

PuTTY e o seu desenvolvedor Simon Tatham, anunciou o lançamento da versão 0.61 do seu cliente Telnet e SSH multi-plataforma e open source. A mais recente versão vem mais de quatro anos após PuTTY 0.60. Tatham diz que o projeto tem recebido "bastante emails" com perguntas sobre o PuTTY", se ele ainda estava em desenvolvimento, e, ocasionalmente, perguntando se os desenvolvedores estavam bem e ainda em absoluta atividade. Em face disso, ele pede desculpas pela longa espera até o lançamento desta mais nova versão.

PuTTY 0.61 vem com suporte para autenticação SSH-2 usando GSSAP, OpenSSH AES criptografia privada de arquivos chave na PuTTYgen e o método de compressão zlib@openssh.com SSH-2 . Outras mudanças incluem criptografia e otimizações de controle de fluxo. A mais nova versão de PuTTY 0.61 está disponível para download para Windows e plataforma Unix a partir do site do projeto.

Créditos: Under Linux

Oracle Corrige 78 Vulnerabilidades

A Oracle  anunciou que planeja fechar um total de 78 vulnerabilidades de segurança como parte de seu dia próximo patch day. A empresa diz que seu próximo Critical Patch Update, planejado para terça-feira 19 de Julho, vai afetar "centenas de produtos da Oracle".

A companhia traz as vulnerabilidades no Secure Backup, Fusion Middleware e Sun Products Suite que no sistema Common Vulnerability Scoring (CVSS) alcançaram a pontuação 10.0, sendo o mais elevado nível de gravidade dessa escala.

No seu anúncio de pré-lançamento, a empresa diz que os usuários são aconselhados a instalar os patches assim que eles estiverem disponíveis por causa de ameaça através de um ataque bem-sucedido". "Executive Summaries" (Resumos Executivos) das vulnerabilidades podem ser encontradas nos alertas de segurança.

Mais informações em:
http://www.h-online.com/security/new...s-1279960.html

Créditos: Under Linux

Internet aberta no Afeganistão é feita com lixo

        A cidade afegã de Jalalabad possui uma rede de Internet de alta velocidade cujos principais componentes foram construídos de entulho e lixo locais. O dinheiro da comunidade local, aliado à um empréstimo da National Science Foundation, está ajudando a criar o projeto piloto FabFi.

        A tecnologia usada para criar esse rede parece ter saído de um episódio de MacGuyver. Roteadores de larga escala são montados com refletores caseiros de radiofrequência cobertos com um tela metálica. Outro roteador-refletor é montado à alguma distância do primeiro e os dois dispositivos criam então uma rede ad-hoc entre si, que pode prover acesso à Internet para toda uma rede de refletores dentro do seu alcance. Como o número de refletores que podem ser integrados à rede é virtualmente ilimitado, a FabFi já atende toda a cidade de Jalalabad.

      Os refletores para acesso à rede sem fio podem ser feitos com madeira, metal, plástico, pedra, barro, ou qualquer outro produto disponível que possa ser preso à tela metálica. O FabFi também projetou seus dispositivos para funcionar com a força de uma bateria de automóvel, o que significa que a rede pode operar fora da rede elétrica, se necessário. Uma vez estabelecidos os pontos de acesso, as pessoas podem se conectar à Internet a uma velocidade de 11,5 Mbps. A rede consegue operar com eficiência sob condições meteorológicas difíceis e obstáculos entre os refletores.

      Os residentes podem construir um nó FabFi com o equivalente a 100 reais em materiais de uso comum, como tábuas, fios, tubulação plástica e latas que vão servir a uma comunidade inteira. Talvez parece ficção científica, mas o sucesso da implantação desse projeto pode efetivamente marcar o início da conexão de regiões do mundo que ainda não possuem Internet. Em Jalalabad, essa Internet está servindo para auxiliar os negócios locais e melhorar a infraestrutura de serviços de educação e saúde para a comunidade.

      O FabFi é um projeto em código aberto desenvolvido pelo FabLab do MIT, seus protocolos e drivers foram desenvolvidos para serem usados sobre o sistema operacional Linux.

Créditos: Linux Magazine