Arquivo para a tag: segurança

Hackearam o servidor de Donald Trump enquanto ele mentia sobre a Suécia

by

 

Alguém chamado Pro_Mast3r conseguiu hackear um servidor “seguro” de Donald Trump enquanto o “caso sueco” viralizava na internet, depois da menção do presidente norte-americano ao país nórdico em defesa de sua lei anti-imigração.

O servidor hackeado era associado com a arrecadação de fundos para doações da campanha de Trump, e estava protegido pela plataforma Cloudflare. O hacker mudou a página secure2.donaldjtrump.com, afirmando que “nada era impossível”, além de pedir paz para o Iraque.

 

 

O código fonte contém um link de javascript previamente associado com o hack de pelo menos três outros sites. Durante a campanha eleitoral de 2016, foi informado sobre a insegurança dos servidores de e-mail operados pela organização Trump.

 

 

O que aconteceu na Suécia?

 

Trump voltou a mentir na última sexta-feira (17), quando falou sobre um grave incidente ocorrido na Suécia para defender sua tese sobre a imigração. Ele deu a entender que um atentado jihadista aconteceu quando o país nórdico sequer soube disso.

Já o governo sueco pediu explicações formais pelas declarações de Trump, e o tema viralizou na internet, com hashtags do tipo #LastNightInSweden ou #JeSuisIkea, questionando Trump pelo “sucesso” do ataque ocorrido na Suécia.

A ministra de Assuntos Exteriores, Margot Wallström, foi mais sutil, mas igualmente dura, publicando uma imagem do Dicionário Oxford, que indicou que o termo “pós verdade” foi a palavra internacional do ano para 2017, em referência a outra mentira de Trump.

Vale lembrar que os assessores de Trump chegaram a utilizar o termo “verdade alternativa” para justificar o público reduzido na sua posse em Washington.

 

Via ArsTechnica, Mashable

Yahoo! começa a ser processada pelo pior roubo de dados da história

by

yahoo-sad

Os primeiros processos contra o Yahoo! começaram a aparecer apenas um dia depois da confirmação do roubo de dados de 500 milhões de contas de usuário.

Em 2014, 500 milhões de contas do Yahoo! foram comprometidas, incluindo nomes de usuário, endereços de e-mails, datas de nascimento, números de telefones, senhas e até perguntas de segurança cifradas ou não em alguns casos.

O pior de tudo é que o Yahoo! não informou sobre o problema na hora, e só confirmou que 200 milhões de registros apareceram à venda na Deep Web. E, mesmo assim, só revelou isso depois da empresa ser vendida para a Verizon.

 

Processos chegando mais rápido que você possa dizer “Yahoooooo…”

Como esperado, os primeiros processos chegaram a vários tribunais norte-americanos no dia seguinte da violação se tornar pública, alegando negligência e irresponsabilidade por não garantirem a segurança dos dados e não informar os usuários.

Um dos processos busca o status de ação coletiva, e exige reparação de danos não específicos, mas supostamente um ressarcimento econômico para os usuários potencialmente afetados, o que pode ser um grande problema para a empresa gerenciada por Marissa Mayer na recuperação de sua posição na internet, podendo até comprometer a venda dos ativos para a Verizon, avaliados em US$ 4.8 bilhões.

O tempo vai dizer o tamanho do prejuízo. A empresa alega que o ataque foi produzido por um “agente patrocinado por um Estado” (agências de inteligência da Rússia ou da China), e garantem que ainda estão investigando o incidente.

Mas… eles não tiveram tempo de investigar isso desde 2014?

Via Slashdot

Carro autônomo do Google sofre novo acidente (mas não foi culpa dele)

by

carro-autonomo-google-acidente

Não é a primeira vez que um carro autônomo do Google sofre um acidente, mas dessa vez ele não teve culpa. A imprudência foi de um motorista humano.

O acidente aconteceu quando o carro autônomo ia atravessar um cruzamento, e um motorista decidiu que era uma boa ideia passar no sinal vermelho. Isso resultou em uma colisão contra a lateral do carro da Google. Felizmente, só houve danos materiais no acidente.

O relatório policial é bem claro sobre a culpabilidade do incidente, indicando que o carro da Google não entrou no cruzamento até que não se passassem seis segundos depois do sinal ter mudado para verde, detalhe que evidencia a culpa do motorista que passou o sinal vermelho.

 

Como reagir ao imprevisível?

O acidente levanta uma questão importante: é possível que se prepare um carro autônomo para evitar as imprudências e negligências humanas?

Os desenvolvedores de carros autônomos atuais preparam os veículos para circular em condições normais, ou seja, supondo que todos respeitam as normas de trânsito.

Mas quando as imprudências acontecem, a inteligência artificial do veículo nem sempre pode responder de forma adequada e evitar os acidentes. Isso pode atrasar a adoção geral desses carros no uso prático, e nem podemos colocar a culpa nos desenvolvedores sobre esse aspecto.

Via 9to5GoogleTechCrunchKRON, CBS

A NSA foi a responsável pelo hack à NSA

by

nsa-logo-teaser

A Reuters garante que conversou com cinco pessoas relacionadas com a investigação deita pela NSA para encontrar a origem do vazamento dos seus dados em agosto, que afirmam que foi a própria NSA a responsável pelo incidente, por conta de um erro de um dos seus funcionários.

No dia 15 de agosto, um grupo de hackers denominado Shadow Brokers afirmou ter obtido uma grande quantidade de arquivos que pertenciam à divisão de espionagem da Agência de Segurança Nacional dos Estados Unidos (NSA). Algo que levantou suspeitas por conta dos métodos pouco usuais, mas confirmado por várias fontes, incluindo a Cisco e Edward Snowden.

 

O “erro” teria acontecido há três anos

 

seguranca

 

 

Vale destacar que, desde o dia que o ataque se tornou público, a NSA não se pronunciou sobre o assunto. A investigação começou com duas teorias:

1. por um lado, se pensava que era apenas mais um vazamento de Snowden;
2. por outro lado, apontava para uma possível responsabilidade da Rússia.

Agora, as duas teorias foram completamente descartadas. Um funcionário que não mais trabalha na agência teria deixado suas credenciais habilitadas em um computador remoto durante uma missão há três anos. As credenciais foram encontradas por hackers russos, que entraram nos servidores da NSA para extrair os arquivos e programas de espionagem.

E um plot twist digno de um bom filme de espionagem. O responsável pelo descuido reconheceu seu erro, e não é o único envolvido, pois outras pessoas na mesma missão fizeram o mesmo, mas ocultaram. Agora, sabemos que isso é algo comum na agência, pois não é a primeira vez que acontece.

Uma estratégia de ocultar a bobagem que fracassou

A NSA informa que afinou seus sensores para detectar o uso de suas ferramentas fora dos Estados Unidos, o que também serviria para rastrear adversários russos e chineses que desejam realizar ataques cibernéticos com maior frequência.

Mas até agora não detectaram nenhum tipo de atividade, e por isso não informou os fabricantes norte-americanos que poderiam ser afetados pelo uso dessas ferramentas.

A investigação não encontrou provas contundentes que o grupo Shadow Brokers está relacionado com o governo russo,  o que levou analistas e críticos a suspeitarem de que tudo isso é apenas uma estratégia muito mal desenhada da própria NSA e do governo Barack Obama em ocultar seus erros.

Faz sentido. Um grupo de hackers com essas ferramentas já teria vendido secretamente esses dados, e isso não aconteceu. As ferramentas foram publicadas para chamar a atenção de todo mundo, em busca de um suposto comprador.

Algo que nunca aconteceu.

Via Reuters

Pesquisador quebra a segurança do iPhone gastando apenas US$ 100

by

iPhone-5c

Sergei Skorobogatov, pesquisador da Universidade de Cambridge, conseguiu superar a segurança do iPhone 5c gastando apenas US$ 100. Vale lembrar que o FBI gastou US$ 1.3 milhão para superar a proteção do mesmo dispositivo do atirador de San Bernardino.

A ideia de Sergei para burlar a segurança do dispositivo foi bem simples: realizar cópias da memória flash do iPhone para obter tentativas ilimitadas e poder lançar ataques de força bruta sem correr o risco de remover os dados do mesmo.

O iPhone 5c utilizado na demonstração era um modelo padrão, com o iOS 9.3.3, sem qualquer tipo de trapaça ou recurso adicional.

Essa façanha do pesquisador nos leva a pensar que o FBI exagerou no tema para obter um backdoor total que oferecesse acesso livre ao iOS, ou na contratação de especialistas no tema.

A seguir, um vídeo demonstrativo da invasão.

 

 

Via WCCFTech

Diretor do FBI recomenda que você tampe a sua webcam. Como fazer isso?

by

tampe-a-webcam

James Comey, diretor máximo do FBI, recomendou durante uma conferência no Centro de Estudos Estratégicos e Internacionais que as pessoas tampem a webcam de seus computadores quando as mesmas não estiverem em uso.

James considera essa uma das “ações prudentes que qualquer usuário deveria tomar” para evitar a espionagem remota através da webcam, algo que existe há tempos e que motiva muitos usuários a tomarem essa precaução.

O controle governamental revelado por Edward Snowden e mantido pela NSA (além da sua homóloga britânica GCHQ), onde milhões de imagens foram interceptadas pela webcam através da ferramenta Gumfish é uma dos casos clássicos dos riscos que sofremos com essa prática.

A prática também foi usada para instalar malwares nos equipamentos, como forma de extorquir famosos e roubar dados de usuários, além de interferir no setor educacional ou simplesmente violar a privacidade do próximo.

As vulnerabilidades informáticas afetaram todas as grandes empresas do setor, como por exemplo o problema do Flash Player no Google Chrome, e até os equipamentos da Apple foram alvos dessas ameaças.

Como tampar a webcam?

 

webcam-02

 

Paranoia? Ou realidade?

Independente da escolha, se você não utiliza frequentemente a webcam, não tem motivos para deixar um recurso potencialmente inseguro que pode acessar a sua casa ou sua família ativo.

Existem alguns métodos efetivos e reversíveis para isso, que vão além do típico adesivo para tampar a webcam que vemos em muitos notebooks e que não é suficiente, já que o microfone integrado do portátil fica ativo.

 

1. Desconecte a webcam

 

taparwebcam_2

 

Muito simples. 99% dos usuários de PCs utilizam uma webcam externa, geralmente acima do monitor. Desconecte o conector USB e pronto. É infalível, e funciona independente do hardware ou do sistema operacional. Como é um dispositivo plug-and-play, reconectar a webcam é algo muito rápido e simples.

2. Desative no sistema operacional

Desative o recurso no sistema operacional com poucos passos.

No Windows, vá em Painel de Controle, abra o Administrador de Dispositivos > Dispositivos de Imagem e clique em Desabilitar ou Eliminar. É uma solução cômoda mas não definitiva, pois se alguém obter acesso administrativo do equipamento pode instalar tudo de novo, inclusive os controladores de dispositivos.

 

3. Tampe a lente

 

webcam

 

 

Se você vê um adesivo na borda superior de um notebook, já sabe o que isso significa. É um método simples, porém muito eficiente. Pode arruinar a estética do seu notebook, mas pelo menos é barato e não invade sua privacidade.

 

4. Desativar a webcam na BIOS

Uma opção para notebooks ou AIOs com webcam integradas, que contam com essa opção na BIOS. Basta desativar a entrada que é descrita como “webcam” ou “câmera integrada” ou “CMOS da câmera”. Leve em consideração que a maioria usa o mesmo módulo na placa em que o microfone está, e que este também pode ser desativado, oferecendo uma privacidade completa. Leva mais tempo para ser reativado, pois precisa reiniciar o equipamento.

A segurança do Ashley Madison era simplesmente ridícula

by

ashley madison

O caso Ashley Madison foi um dos maiores escândalos de segurança cibernética de 2015, O grupo Impact Team roubou dados de 37 milhões de usuários do site, além de informações sobre sua instrutura interna e outros dados corporativos.

Foi um escândalo maiúsculo, e enquanto a Avid Life Meda (ALM) tenta recuperar o site, o caso segue sob investigação por vários órgãos diante do compromisso de privacidade com milhões de usuários que tiveram vazados dados pessoais, financeiros, e-mails e dados empresariais.

Agora, uma investigação conjunta realizada na Austrália e no Canadá mostra os aspectos negativos sobre a segurança do site.

 

Pega na mentira

Para começar, o Ashley Madison mentiu descaradamente sobre os milhões de homens e mulheres disponíveis para os adúlteros: eram apenas 12 mil mulheres reais para 37 milhões de usuários.

Além disso, a retenção dos dado pessoais depois que um usuário apagava sua conta chamou a atenção: a política em cobrar pela “completa eliminação de dados” que não era real, pois a empresa guardava os dados por um ano.

A falta de confirmação de endereços de e-mails e a falta de transparência sobre a forma que a empresa manipulava os dados foram outros destaques negativos da investigação.

 

Uma segurança de TI desastrosa

Sobre as práticas de segurança, eram simplesmente lamentáveis.

A Ashley Madison armazenava as senhas de VPN no Google Drive, tornando simples a missão do atacante, que podia ter esses dados invadindo a máquina de qualquer funcionário.

O sistema não contava com autenticação de múltiplos fatores nas suas redes privadas virtuais.

Uma vez o atacante dentro dela, ele encontraria algumas senhas armazenadas com texto sem formato, disponível em e-mails simples entre os funcionários e arquivos de texto dentro dos seus servidores.

As chaves de codificação também eram armazenadas como texto sem formato, como ALM. Até foi encontrada uma chave SSH desprotegida de senha, permitindo a um atacante se conectar com outros servidores.

O relatório está pendente de aprovação da FCC dos Estados Unidos, mas já é considerado uma aula sobre como uma empresa de internet não deve agir em termos éticos, legais e de segurança.

A ALM agora se chama Ruby Corp, e prometeu solucionar o desastre do Ashley Madison. O problema é recuperar a confiança dos usuários, algo que será muito complicado. Por mais que sexo na internet seja considerado algo muito valioso.

Para ler o relatório na íntegra, clique aqui.

Seu monitor também pode ser hackeado

by

monitor

Um grupo de pesquisadores descobriram um método para hackear um monitor à distância, não apenas reproduzindo os pixels exibidos, e assim espiando nosso conteúdo sem acessar o PC, mas também manipulando esses pixels para exibir imagens diferentes.

 

Um malware dormente

Para acessar o monitor, é preciso que o usuário visite um determinado site malicioso ou um link de phishing. Por essas duas vias, um atacante pode inserir uma peça de código no firmware do monitor, controlando seus parâmetros.

O ataque em si reside nesse código inserido no PC, já que pode ser programado para esperar comandos enviados por determinados pixels intermitentes. Esses pixels podem ser camuflados em vídeos ou sites.

Em outras palavras, uma vez infectado, nosso PC vai esperar para explorar a falha, quando o usuário baixar a guarda acessando um link malicioso. Logo, algo tão inocente como um vídeo no YouTube pode ativar o malware, que abre as portas do monitor.

A falha foi apresentada na conferência Def Con de Las Vegas, mostrando como um monitor infectado pode ser utilizado para espiar o que estamos vendo, ou mostrar imagens que simulam mensagens de emergência, obrigando o usuário a tomar decisões induzidas. É um perigo a se ter em conta quando a ameaça é aplicada no mundo empresarial.

Porém, no ambiente doméstico, o ataque seria menos efetivo, já que as imagens demoram bastante para serem carregadas no monitor. No ambiente empresarial, isso é perigoso já que alguns monitores de controle contam com telas estáticas.

Em todo caso fica claro que não podemos baixar a guarda nem diante de elementos tão aparentemente inofensivos como o monitor.

Via Motherboard

Apple vai pagar pela primeira vez para quem descobrir falhas de segurança

by

apple seguranca

Como parte de uma apresentação para a conferência Black Hat, a Apple anunciou um programa de recompensas que pode pagar até US$ 200 mil para investigadores que descobrirem vulnerabilidades em seus produtos ou serviços.

É a primeira vez que a Apple implementa este tipo de programa, que foi muito útil para outras gigantes tecnológicas como Google, Microsoft e Facebook. Por enquanto, as recompensas são oferecidas para uma pequena leva de produtos e serviços, par hackers e pesquisadores convidados, mas ambos devem se expandir no futuro.

 

As recompensas

– Componentes do firmware de inicialização segura: até US$ 200 mil
– Remoção de material confidencial protegido por link seguro: até US$ 100 mil
– Execução de código arbitrário com privilégios de kernel: até US$ 50 mil
– Acesso a dados do usuário protegidos por sandbox: até US$ 25 mil
– Acesso não autorizado a dados de contas iCloud nos serviços da Apple: até US$ 50 mil

Os pesquisadores que querem as recompensas terão que apresentar um informe para a Apple com uma prova de conceito que explore a falha na última versão estável do iOS. Se as falhas forem de hardware, a prova de conceito deve acontecer nas últimas versões do iPhone ou iPad.

Também é solicitado que as falhas não sejam reveladas antes que a Apple as solucione, e os erros serão corrigidos no menor tempo possível, mas sem um compromisso de tempo. Uma vez publicada a revisão, os pesquisadores que quiserem serão creditados nas notas de versão de atualização de segurança correspondente.

A quantidade de dinheiro para cada vulnerabilidade será avaliada pelos engenheiros da Apple. Se o pesquisador decidir doar o valor para obras de caridade, a Apple vai dobrar o prêmio e entregar a mesma quantia.

Até agora, a Apple envolvida todos os seus aspectos de segurança sob um código de silêncio, mas o tempo mostrou que isso não foi suficiente para evitar casos como o trojan Flashback, que derrubou o mito da suposta invulnerabilidade do Mac. A empresa não podia manter o mito às custas da segurança dos seus usuários.

Qualquer plataforma é vulnerável. Fato.

Via ArsTechnica

WhatsApp guarda um registro de todas as conversas, até aquelas que foram apagadas

by

whatsapp logo teaser

Mais lenha na fogueira sobre a questão da privacidade de dados do usuário, e principalmente se o WhatsApp pode ou não fornecer esses dados em caso de investigação judicial.

O especialista em iOS Jonathan Zdziarski encontrou provas de que o WhatsApp armazena um registro de todos os chats no dispositivo, onde nelas aparecem também as conversas apagadas. Logo, os dados seguem sendo acessíveis, mesmo que em formato físico, a partir do dispositivo.

 

Você apaga, mas os dados continuam lá

registro mensagens salvas whatsapps

Zdziarski foi surpreendido ao analisar várias imagens de disco da última versão do WhatsApp para iOS. Ele descobriu que o aplicativo armazena um registro de todas as conversas, inclusive as apagadas, que mostram uma marca com a tag “deleted”.

Com a encriptação de ponta a ponta, as mensagens são protegidas enquanto elas estão trafegando entre os usuários, de modo que nenhuma operadora ou agência governamental possa ler essas mensagens. Mas isso não se aplica aos dados armazenados no dispositivo. Desse modo, as conversas podem ser lidas por qualquer pessoa com o conhecimento necessário, sempre e quando ele tiver o acesso físico ao dispositivo.

Temos aqui uma grave ameaça à privacidade do usuário, uma vez que o WhatsApp não sobrescreve os dados de forma padrão. Ou seja, tudo fica em logs armazenados no dispositivo e nas cópias de segurança. As cópias via iTunes ainda podem ser encriptadas, mas os dados armazenados no iCloud não.

Logo, os mais preocupados devem desativar essa opção para ficarem mais protegidos.

A pergunta que fica é: o WhatsApp realmente não pode fornecer dados que eles não conhecem? Estranho… pelo o que entendi, qualquer um pode obter esses dados com essa “pequena falha”.

Via Jonathan Zdziarski

Edward Snowden desenvolve case anti-vigilância para o iPhone

by

case anti espionagem edward snowden

O Media Lab do Instituto Tecnológico de Massachussets foi o local escolhido para que Edward Snowden e o hacker Ander Huang “Bunnie” apresentassem um case para iPhone que detecta todos os sinais que saem do dispositivo, alertando se há algum comportamento suspeito.

Mais que um case, o dispositivo lembra uma bateria externa, cobrindo toda a superfície traseira do dispositivo. Também possui uma tela monocromática na parte traseira, que monitoriza o status do dispositivo, avisando se há alguma conexão anormal.

O acessório é pensado para evitar que um software malicioso acesse as câmeras e o microfone sem o conhecimento do usuário. Atua como um oscilômetro, que monitora todos os sinais que saem do dispositivo, detectando quando ligam o GPS de forma autônoma, soando um alerta para que o usuário tome as medidas pertinentes.

case anti espionagem edward snowden 02

Seus criadores afirmam que o acessório é muito mais confiável que o atual modo avião dos smartphones, e até que uma bolsa de Farday. Além disso, é mais cômodo, pois dispensa o uso de conexões para o seu funcionamento.

O case se conecta ao iPhone através do slot SIM para detectar os sinais em funcionamento, o que obriga o deslocamento do chip no dispositivo. Por enquanto, este é um conceito que sequer tem protótipo, mas eles esperam desenvolvê-lo ao longo de 2017, para iniciar a produção em um momento posterior.

Via Wired

O Compartilhamento de Conteúdo Impróprio na Web e Suas Punições

by

seguranca de conteudo

Este artigo foi criado pela equipe Bitdefender Antivírus para uso exclusivo do site Target HD

Com a expansão das redes sociais, aplicativos de troca de mensagens e dispositivos com tecnologia para produção de conteúdo digital – como fotos e vídeos – houve um crescimento inimaginável no número de compartilhamento de materiais ofensivos na internet. A facilidade de acesso, aliada à falsa sensação de anonimato parece dar origem ao cenário perfeito para que alguns usuários assumam um comportamento criminoso em ambiente virtual. ­

O que muitos se esquecem, no entanto, é que tais atitudes não estão a salvo de responder por seus efeitos, podendo ser alvo de investigações e, consequentemente, assumir as responsabilidades legais pela divulgação de determinados materiais.

 

Crimes On-line x Punição Real

A propagação do chamado discurso de ódio é comumente disfarçada sob a bandeira da liberdade de expressão. Com esse pretexto, inúmeros ataques – seja na forma de afirmações discriminatórias ou divulgação de imagens e vídeos indevidos – são direcionados não apenas a pessoas específicas, como também a grupos e instituições.

Como uma tentativa de barrar a evolução desse tipo de conteúdo, a legislação brasileira passou a contar com diretrizes capazes de garantir os direitos e deveres dos internautas, assegurando também as punições para casos de crimes virtuais.

Exemplo disso foi a “Lei Carolina Dieckmann”, conhecida como a Lei de Crimes da Internet. Sancionada em 2012, a lei garante prisão para quem comete crimes virtuais, servindo como base jurídica também para punições destinadas à divulgação sem consentimento de informações pessoais – mesmo que a produção do material tenha sido permitida.

É válido lembrar ainda que essa punição pode ser agravada, caso o conteúdo envolva menores de 18 anos, podendo contar com pena de 3 a 6 anos de prisão e multa. Além disso, o simples armazenamento do conteúdo já é incriminatório, incluindo, até mesmo, arquivos deletados – já que o material pode ser recuperado por peritos, servindo como provas em investigações.

 

Como Denunciar Crimes Virtuais

ameaça virtual

Mesmo não sendo o alvo de ataques, qualquer pessoa pode denunciar manifestações de ódio e solicitar a remoção do conteúdo da internet. A Delegacia de Repressão aos Crimes Informáticos (DRCI), por sua vez, oferece uma espécie de guia para ajudar a identificar tais ofensas:

  • A denúncia deve ser feita sempre que forem compartilhados fatos que ofendam a reputação da vítima em seu meio social (independente se verdadeiros ou falsos);
  • Quando a vítima for acusada de algum crime (ao saber que a vítima é inocente)
  • Ao expor qualificações negativas ou defeitos da vítima.

Não se pode esquecer ainda que, mesmo sendo divulgados diretamente na web, certas ofensas são amparadas pelo Código Penal Brasileiro, recebendo as respectivas punições por ameaça (art. 147); calúnia (art. 138); difamação (art. 139); injúria (art. 140) e; falsa Identidade (art.307).

É necessário salientar ainda que, além da disseminação do discurso de ódio e de conteúdos pornográficos, outros atos entram na lista de crimes virtuais. Entre eles, o roubo de dados bancários e a invasão de computadores.

Não é à toa, portanto, que especialistas do setor, como a Bitdefender, seguem salientando a importância de se contar com programas de segurança on-line potentes e atualizados, entre eles, um bom antivírus na versão 2016. A preocupação ainda vai além, buscando implementar não apenas ferramentas de segurança, como também toda uma política de conscientização.

Esse trabalho, por sua vez, não se limita ao lançamento de softwares, contando ainda com guias, informativos, aplicativos e opções gratuitas – disponibilizadas on-line para usuários com diferentes necessidades.

O desafio aqui é ampliar a segurança encontrada no ambiente virtual, criando uma rede de proteção na qual a indústria de tecnologia trabalhe a favor do internauta, visando muito mais que o lucro financeiro.

Imagens: techplus.ng / cyperpolice.ir

A autenticação em dois passos não é tão segura, e a culpa é do SMS

by

autenticação em dois passos

As senhas são amplamente difundidas em todo o planeta para o acesso a todos os tipos de serviços, e suas limitações pareciam estar aliviadas com os sistemas de autenticação de dois passos. Essa capa adicional de segurança tem uma vulnerabilidade bem séria, através do SMS utilizado para enviar o código de segurança para acesso.

 

A Google oferece uma alternativa

Um dos problemas das mensagens SMS é que a engenharia social pode funcionar. Um ativista político que usava esse sistema de autenticação em dois passos se deu conta que na sua conta do Twitter apareciam mensagens a favor de Donald Trump, e se deu conta que sua conta na rede social foi hackeada.

O hacker obteve sua conta de usuário e senha se passando pelo ativista na sua operadora de telefonia móvel, conseguindo redirecionar suas chamadas e mensagens para outro número de celular.

seguranca o que você sabe

A autenticação de dois passos se baseia em um princípio bem simples: combinar “algo que só você sabe” (sua senha) com “algo que só você tem” (seu celular, sua digital, sua íris). O problema é que o segundo item da equação não é 100% pessoal, já que as mensagens SMS podem ser interceptadas ou redirecionadas.

A Google – que já tinha o Authenticator para esta capacidade – solucionou parte do problema na semana passada, ao lançar o Google Prompt, um sistema que faz com que essa verificação não seja enviada através de mensagens SMS, mas sim a partir de servidores da Google, algo que torna mais complexa a interceptação.

Há outros sistemas – como os geradores de tokens usados por alguns bancos -, mas a proposta da Google é especialmente interessante a longo prazo. Pode ser que outros serviços acabem aproveitando a mesma ideia e adotando o sistema.

Via Wired

Mark Zuckerberg é um que tampa a webcam de seu notebook com fita adesiva

by

zuckerberg-fita-adesiva

Para comemorar que o Instagram alcançou a marca de 500 milhões de usuários, o CEO do Facebook, Mark Zuckerberg, publicou a imagem acima para agradecer de forma original a todos aqueles que tornaram isso possível. Porém, a imagem acabou revelando algo muito interessante.

Quando vemos a mesma imagem ampliada, podemos identificar sobre a mesa de trabalho de Mark Zuckerberg um MacBook Pro. Até aí, tudo bem. O detalhe que chama a atenção é para o fato da webcam e o conector para fones de ouvido estarem tampados com fita adesiva.

 

Grade preocupação com a privacidade

zuckerberg-fita-adesiva-02

Não só esse detalhe que ressalta muito sobre a preocupação com a privacidade que Mark Zuckerberg deixa evidente. Também chama a atenção para o detalhe da tela do notebook exibir que o CEO do Facebook utiliza como cliente de e-mail o Thunderbird da Mozilla, um software claramente destacado na segurança mais reforçada com os dados pessoais.

Levando em conta que o Facebook compila uma grande quantidade de informação de seus usuários, a notícia beira a ironia. Mas é importante lembrar que Zuckerberg não é a primeira personalidade importante do mundo da tecnologia que apela para esses métodos “pouco sofisticados” (mas plenamente funcionais), já que o próprio diretor do FBI reconheceu que tampou a webcam do seu notebook com fita adesiva ao ver que “alguém mais preparado” fez a mesma coisa.

Mas… este é realmente o notebook de uso pessoal de Mark Zuckerberg, ou é sua mesa de trabalho?

A resposta é SIM, já que coincide com o que já vimos em apresentações e eventos anteriores.

E você? Utiliza fita adesiva na webcam do seu notebook

Via The Verge

UnaPhone Zenith: um smartphone seguro, mas você não pode instalar aplicativos nele

by

UnaPhone Zenith

O UnaPhone Zenith é a última proposta para aqueles que valorizam a privacidade acima de tudo, inclusive em relação ao direito de instalar aplicativos.

O smartphone conta com uma versão modificada do Android, que não conta com os serviços da Google, incluindo a Google Play Store. Seu sistema UnaOS conta com 40 apps pré-instalados de série, e nada mais. Não é possível remover ou adicionar nada. Tudo em favor da privacidade total.

 

A segurança tem um preço

A oferta de smartphones seguros ainda é muito limitada, mas alguns modelos do mercado prometem manter os dados e atividade dos usuários protegidos. Porém, o preço a ser cobrado por isso é bem elevado. A proposta do UnaPhone Zenith custa apenas 430 euros. Em troca, nada de instalar aplicativos. Só pode usar o que vem incluído no smartphone.

Os criadores do UnaPhone Zenith entendem que os aplicativos são uma grande dor de cabeça no quesito privacidade. Garantem que os apps espiões que mais monitoram são os que a Google instala de série no Android, e deles não há rastros no seu dispositivo.

O UnaOS é baseado no Android 6.0 Marshmallow, mas além de não contar com os serviços da Google, os aplicativos instalados estão codificados, assim como o restante do sistema.

Sobre suas especificações, o UnaPhone Zenith possui uma tela de 5.5 polegadas (Full HD), processador octa-core de 2 GHz (64 bits), 4 GB de RAM e 32 GB de armazenamento (expansíveis via microSD) e tudo encriptado com senha ou leitor de digitais.

O smartphone estará disponível em setembro.

 

 

Via El PaísIndiegogo