INTEGO SECURITY ALERT - January 26, 2009

 

INTEGO SECURITY ALERT - January 26, 2009

New Variant of Mac Trojan Horse iServices
Found in Pirated Adobe Photoshop CS4

 

Exploit: OSX.Trojan.iServices.B Trojan Horse

Discovered: January 25, 2009

Risk: Serious

Description: Intego has discovered a new variant of the iServices Trojan horse that the company discovered on January 22, 2009. This new Trojan horse, OSX.Trojan.iServices.B, like the previous version, is found in pirated software distributed via BitTorrent trackers and other sites containing links to pirated software. OSX.Trojan.iServices.B Trojan horse is found bundled with copies of Adobe Photoshop CS4 for Mac. The actual Photoshop installer is clean, but the Trojan horse is found in a crack application that serializes the program.

After downloading this version of Photoshop, users will run the crack application to be able to use it. The crack application extracts an executable from its data, than installs a backdoor in /var/tmp/, a directory which is not deleted when the computer is restarted. (If the user runs the crack application again, the Trojan horse creates a new executable with a different name; these random names make it harder to ensure safe removal of the malware.)

The crack application then requests an administrator password, launching the backdoor with root privileges. This copies the executable to /usr/bin/DivX, then creates a startup item in /System/Library/StartupItems/DivX. The program checks to see if it has been launched with root privileges, then saves the root hash password in the file /var/root/.DivX. It listens on a random TCP port, and answers requests such as GET / HTTP/1.0 by sending a 209-byte packet, and makes repeated connections to two IP addresses.

Next, the crack application opens a disk image which is hidden in its resource folder, in a folder named .data, and proceeds to crack the Photoshop program, allowing it to be used.

Since the malicious software connects to a remote server over the Internet, the creator of this malware will be alerted that this Trojan horse is installed on different Macs, and will have the ability to connect to them and perform various actions remotely. The Trojan horse may also download additional components to an infected Mac.

Intego is issuing this alert to warn Mac users not to download Photoshop CS4 installers from sites offering pirated software. (As of 6 am EST, nearly 5,000 people have downloaded this installer, according to a major BitTorrent tracker site.) Since the Trojan horse, in this case, is found merely in the crack application that is bundled with Photoshop CS4, users should avoid downloading any cracking software from sites that distribute pirated software. The risk of infection is serious, due to the number of infected users, and these users may face extremely serious consequences if their Macs are accessible to malicious users. The first version of this Trojan horse was seen downloading new code to infected computers, which were then used in a DDoS (distributed denial of service) attack on certain web sites. Since this new variant uses the same technology, and contacts the same remote servers, it is likely that it will attempt to download new code and perform such actions.

Intego VirusBarrier X4 and X5 with virus definitions dated January 25, 2009 or later protect against this Trojan horse. Intego recommends that users never download and install software from untrusted sources or questionable web sites. In spite of Intego’s security alert regarding the first version of this Trojan horse, and in spite of comments on torrent trackers, people continue to download these infected torrents. The iWork 09 torrent that we warned about on January 22 has been downloaded by at least 1,000 more people since our warning. This is why we consider this Trojan horse to be a serious risk.

About Intego
Intego develops and sells desktop Internet security and privacy software for Macintosh.

Intego provides the widest range of software to protect users and their Macs from the dangers of the Internet. Intego's multilingual software and support repeatedly receives awards from Mac magazines, and protects more than one million users in over 60 countries. Intego has headquarters in the USA, France and Japan.

We protect your world.

 

 

Fwd: Troyano se apodera de 5 mil Mac vía Photoshop CS4 pirata

Excelentes noticias para los desarrolladores de programas de Antivirus para OS X: Ha re-nacido un nuevo mercado. Malas noticias para los que pensaban que el ambiente de OS X estaba a salvo de infecciones.

Los virus en el mundo Apple han dejado de ser una broma. La semana pasada, ya te informamos que más de 20 mil computadoras Macintosh estaban contagiadas con el troyano OSX.Trojan.iServices.A.

Hoy, más de 5 mil computadoras ya están infectadas con una variación de este mismo troyano, gracias a la pereza de algunos usuarios de pagar USD$700 por una copia legal del Photoshop CS4.

Todas las versiones pirata de la aplicación de fotografía de Adobe, están infectadas con este virus.

Si por esas cosas raras de la vida estás infectado, la única manera por el momento de eliminarlo de tu sistema es mediante el software VirusBarrier X5. Te aconsejamos comprarlo (pagar dinero para adquirirlo legalmente) … porsiacaso.

Link: New Variant of Mac Trojan Horse iServices Found in Pirated Adobe Photoshop CS4 (Intego) (vía)

O que os funcionários adoram fazer que prejudica a segurança?

http://www.computerworld.com.br

O que os funcionários adoram fazer que prejudica a segurança?

(http://computerworld.uol.com.br/seguranca/2009/01/19/o-que-os-funcionarios-adoram-fazer-que-prejudica-a-seguranca)

Por Vinicius Cherobino, do COMPUTERWORLD

Publicada em 19 de janeiro de 2009 - 07h00

Atualizada em 20 de janeiro de 2009 - 16h08

Conheça histórias de gestores de segurança e educadores sobre as atitudes preferidas dos funcionários e saiba o que eles fizeram para controlá-las ou minimizar as suas consequências.

Insatisfeito com as restrições de segurança da faculdade, um aluno desenvolveu um software. Chamado U2, o programa permitia o acesso a qualquer porta do computador ao simular a passagem do tráfego pela port 80, de tráfego HTTP.

Em outras palavras, este aluno fazia tudo o que queria – navegava sem restrições, instalava programas e, até, chegou a criar uma rede P2P que funcionava 24 horas por dia.

A história é contada por Nilson Ramalho, instrutor do curso de redes na Impacta e também gerente de suporte técnico da faculdade. Segundo ele, o caso – acontecido 5 meses atrás – foi descoberto por conta do consumo na banda e gerou mudanças na estratégia de defesa. "Depois disso, adotamos gestão de identidade e acesso (IAM) para evitar problemas", conta.

Vários outros incidentes deste tipo acontecem a todo o momento em universidades e empresas. Acostumados a navegar e usar o computador livremente em suas casas, os funcionários muitas vezes colocam as informações da empresa e a própria corporação em risco por conta dos seus hábitos.

Confiram, em reportagem do IDG Now!, quais são os 8 erros mais comuns de segurança.

Sites maliciosos, pornografia, programas desconhecidos, correntes de e-mail com ppts, pastas no servidor com mp3 e vídeos, portas abertas no computador, etc, etc... A lista de comportamento hostil para segurança poderia seguir indefinidamente.

Estratégia de defesa
O que o gestor de segurança ou o profissional de TI responsável pela proteção pode fazer para contornar esses comportamentos?

Álvaro Teófilo, superintendente do Centro de Operações de Segurança da Produban, empresa de Tecnologia do Grupo Santander Brasil, conta a iniciativa do grupo para o controle do vazamento de informações. A estratégia do banco pode ser encarada como uma maneira de estabelecer toda a política de segurança da informação.

"Minimizar o risco de vazamento de informação tem três dimensões: a definição das regras de manipulação de informações (por meio de políticas organizacionais), a divulgação destas regras (que chamamos de 'planos de conscientização') e a implantação de controles que permitam minimizar incidentes e orientar as pessoas", conta Teófilo, em entrevista por e-mail.

Ramalho compartilha a idéia. Para ele, o maior desafio está em deixar claro para os funcionários quais são as regras e que tipo de comportamento é exigido. Depois, aconselha, é preciso apresentar as regras de maneira clara e criar maneiras de garantir que ela está sendo cumprida. "Se a regra de segurança não for auditada, ela cai em descrédito e não funciona. Só ter a ferramenta não resolve", defende.

Para Sergio Alexandre, coordenador do MBA de segurança da informação na FIAP, a educação é o ponto principal para garantir a eficiência da política de defesa. "Só assim os usuários não vão tomar decisões que podem conflitar com a política de segurança. O papel do CSO é de facilitador, para garantir que tudo aconteça da maneira correta, mas também opressor", afirma.

Eterno conflito
Mesmo com a educação e as normas claras, o que nenhum profissional de segurança pode esperar é plena aceitação.

Curiosidade é o motor do usuário, afirma Ramalho, ele quer descobrir o porquê ele não pode acessar ou ter determinados comportamentos. "O papel da pessoa de segurança é orientar o indivíduo e explicar as escolhas", acredita.

Outro problema comum é a vontade dos usuários de querer ajudar os colegas de trabalho – driblando as políticas de segurança para isso. Conta Teófilo: "O compartilhamento de logins, por exemplo, é um velho problema. Ao tentar agilizar um processo, um funcionário cede o seu login para um colega. Se este colega realizar um mau uso do sistema, o funcionário que cedeu o login será responsabilizado".

No final, a relação entre funcionários ou alunos e profissionais de segurança será sempre tensa. "O funcionário ou aluno passa por várias fases para aceitar as restrições, de negação a fúria. O desafio do profissional de segurança é ter o apoio dos funcionários", completa Ramalho.

---

Copyright 2009 Now!Digital Business Ltda. Todos os direitos reservados.

Visões de Projeto!

New Mac OS X Security Guide

Apple has released a new version of its Leopard Security Configuration Guide, one for Leopard client, and another for Leopard Server.

Take it here: http://www.apple.com/support/security/guides/

QuickTime 7.6

Apple has released an update for QuickTime, amongst the changes are security fixes. Please run Apple Software Update to get it! This update addresses heap overflows, buffer overflows, memory corruption issues and others - all of which may lead to arbitrary code execution. Official information: http://support.apple.com/kb/HT3403

NIST Released 2 Draft Publications

NIST Announces the release of 2 Draft documents: (1) DRAFT Special Publication 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) and (2) DRAFT NIST IR 7497 Draft Security Architecture Design Process for Health Information Exchanges (HIEs)

(1)  NIST announces that draft Special Publication (SP) 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII), is now available for public comment. SP 800-122 is intended to assist Federal organizations in identifying PII and determining what level of protection each instance of PII requires, based on the potential impact of a breach of the PII's confidentiality. The publication also suggests safeguards that may offer appropriate protection for PII and makes recommendations regarding PII data breach handling.

NIST requests comments on draft SP 800-122 by March 13, 2009. Please submit comments to 800-122comments@nist.gov with "Comments SP 800-122" in the subject line.

URL to Draft SP 800-122 on Drafts page:
http://csrc.nist.gov/publications/PubsDrafts.html#800-122

(2)  NIST Interagency Report (IR) 7497, Draft Security Architecture Design Process for Health Information Exchanges (HIEs), is intended to provide a systematic approach to designing a technical security architecture for the exchange of health information that leverages common government and commercial practices and that applies them specifically to the HIE domain. This publication assists organizations in ensuring that data protection is adequately addressed throughout the system development life cycle, and that these data protection mechanisms are applied when the organization develops technologies that enable the exchange of health information.

Please submit your comments to draft-nistir7497-comments@nist.gov. The comment period for draft NIST IR 7497 closes on Friday March 13, 2009.

URL to Draft NIST IR 7497:
http://csrc.nist.gov/publications/PubsDrafts.html#nistir-7497

Pat O'Reilly
List Administrator
Computer Security Division
NIST

Agora também CGEIT!

Recebi hoje a confirmação de ter sido aprovado na certificação CGEIT (Certified in the Governance of Enterprise IT).

Gostaria de agradecer a todos os que me auxiliaram, desde que comecei a trabalhar em TI, nesse longo caminho.

Agora, vamos às próximas!

Fake Fingerprints in Japan

This is an interesting article, that I recomend reading:

http://news.yahoo.com/s/afp/20090101/wl_asia_afp/japantechnologyimmigrationcrimesecurity

Segurança no Mac em 2008

Segue artigo publicado no blog da Intego (www.intego.com) sobre as ameaças para o Mac OS X.

Como sempre, podem ser tendenciosas, mas vale à pena dar uma olhada: http://blog.intego.com/2009/01/05/the-year-in-mac-security-2008/

Feliz 2009!

Licença Gratuita do Parallels

O Parallels para Windows e Linux de graça! 

Basta se registrar em: http://www.parallels.com/getkey/lunarp/

Sem burocracia nem pegadinhas. Pena que ainda não estão liberando para Mac!