Tecnoblog

Dois pesquisadores de uma empresa de segurança chamada TippingPoint Digital conseguiram criar aquela que é considerada a primeira botnet feita unicamente a partir de smartphones. Usando um inocente programa de previsão do tempo com um código malicioso escondido entre suas linhas, os pesquisadores Daniel Tijerina e Derek Brown conseguiram obter dados de cerca de 8 mil proprietários de iPhones e de aparelhos que rodam o sistema operacional Android.

Apesar da dupla afirmar que “ninguém foi prejudicado” com o experimento, entre os dados coletados estavam os números dos aparelhos e a localização geográfica dos smartphones, obtida via GPS, o que mostra o potencial de estrago que uma simples brecha de segurança num dispositivo móvel pode provocar.

A app maliciosa, conhecida como WheaterFirst, não foi distribuída nas lojas oficiais de aplicativos do da Apple e Google, mas sim em sites alternativos feitos para donos de aparelhos que passaram por jailbreak, como Cydia, SlideMe ou Modmyi. [Sophos]

Malvinas: longe e no meio do nada.

Entre os dias 2 de abril e 14 de junho de 1982 a Argentina e a Inglaterra entraram em guerra por causa da posse das pacatas ilhas Falkland (ou Malvinas), um pedaço de terra localizado no Atlântico Sul, cercado de gelo e água por todos os lados. No fim das contas, a história não teve um final muito feliz para nossos hermanos, que tiveram que amargar uma derrota retumbante no quintal de casa.

Agora, quase 28 anos depois dos conflitos, um grupo de hackers argentinos resolveu dar vida nova às velhas rusgas e invadiu o site penguin-news.com, especializado em noticiar a vidinha dos habitantes da ilha e colocou um manifesto em sua página inicial que afirmava basicamente que a Argentina deveria ter herdado a área depois de su independência da Espanha, além de serem o pais mais próximo da região.

Entre imbróglios políticos e brigas entre os dois países, a única vítima deste novo conflito foi o pobre site de notícias, que saiu do ar por conta do excesso de visitantes que recebeu desde que a invasão foi descoberta. [Register]

Em face a toda a polêmica gerada pelo site PleaseRobMe em relação ao risco de publicar na internet sua localização através de redes sociais, a Foursquare, principal alvo das críticas, responde: “Nós levamos sua privacidade muito a sério”.

A rede social baseada em registrar online sua localização no mundo tangível para ganhar pontos respondeu às criticas através de seu blog. Lá ela se defendeu dizendo que sempre que um usuário espontânea e ativamente se registra em um local o site pergunta se ele quer compartilhar sua localização com os “amigos”, se quer publicá-la no Twitter e se quer publicá-la no Facebook. Em outras palavras, quem decide publicar sua localização para o mundo ver é o usuário.

A empresa reconhece que muitos usuários compartilham sua localização no Twitter e/ou Facebook, afinal, quanto mais pessoas souberem onde você está, mais chances se tem de encontrar alguém. “Mas é interessante ver as pessoas falando sobre as potenciais desvantagens”, diz a empresa no blog.

Além disso, a Foursquare ressalta que eles não apenas não são culpados pela indiscrição das pessoas quanto a sua localização como também são apenas um dos meios utilizados para publicar tal informação. “Simplesmente tente procurar pelas palavras ‘indo para’ no Twitter e você começará a ver uma parte de todas as informações de localização que muitos de nós colocamos na internet, talvez até mesmo sem pensar a respeito”.

A empresa termina dizendo entende que a localização é uma informação sensível e que faz tudo que pode para se assegurar de que seus usuários saibam com quais pessoas e redes sociais estão compartilhando essa localização.

Um website chamado PleaseRobMe (“por favor me roube” em inglês) ficou conhecido hoje por ressaltar a falta de preocupação de muitas pessoas ao compartilhar informações em redes sociais que podem indicar os endereços de suas casas e mais: mostrar quando a pessoa não está em casa e onde ela está, em tempo real.

Co-desenvolvido pelo holandês Boy Van Amstel, o site baseia-se na integração entre o Twitter e o Foursquare, jogo social onde as pessoas, através de seus smartphones, registram as suas localizações em diversos lugares para ganhar pontos e títulos. Juntando estas informações o site apontava quando as pessoas estavam criando “oportunidades de roubo” ao compartilhar endereços e localizações.

A intenção do site, segundo Van Amstel, não é servir como uma ferramenta para assaltos, mas sim alertar quanto aos perigos que podem estar associados ao compartilhamento indiscriminado de informações online.

“As pessoas estavam registrando suas localizações em casa, ou na casa da namorada ou na casa de amigos, e compartilhando os endereços — não acho que elas estavam cientes do quando estavam compartilhando,” disse Van Amstel à BBC.

Apesar da intenção nobre explicada pelos seus fundadores, a conta do site no Twitter — através da qual usuários eram alertados das “oportunidades” que estavam dando aos criminosos — foi “suspensa devido a atividade suspeita”. Segundo o AppScout o PleaseRobMe.com ainda funciona, mas até o fechamento deste post não consegui acessar o site (mas não é possível afirmar categoricamente que o site de fato saiu do ar, pelo menos não enquanto não forem resolvidos os problemas na internet que estivemos discutindo recentemente através do Twitter do Tecnoblog).

[Atualização em 19/02 às 18h10] Pelo visto o problema não tinha sido o PleaseRobMe.com — que continua no ar — mas sim da falha de backbone que ocasionou os problemas no Virtua ontem.

[Atualização em 19/02 às 18h25] As novidades sobre o assunto são:

• A Foursquare respondeu às críticas (leia a réplica neste post);
• O PleaseRobMe colocou em sua página inicial um anúncio dizendo que tem interesse em oferecer o site a uma fundação profissional, agência ou companhia que tenha por objetivo ajudar as pessoas a entenderem melhor as questões relacionadas a privacidade online.

Quatro dias depois de estrear o Buzz – revolucionário sistema de comunicação que deixa todo mundo com a sensação de ter visto coisa parecida em outro lugar – o Google anunciou nessa sexta-feira mudanças em seu novo serviço, de olho sobretudo nas reclamações feitas pelos usuários por conta de sua falta de confidencialidade.

Agora é possível enviar mensagens públicas ou fechadas, direcionadas a determinados amigos, e a mais do que bem-vinda possibilidade de se bloquear seguidores indesejados, funcionalidade que o Google afirma que estava disponível na versão apresentada na ultima terça-feira e que agora está “mais acessível”.  Vale lembrar que inicialmente os contatos do Buzz eram adicionados automaticamente entre os endereços que o usuário mantinha maior contato, supondo que de fato eles eram amigos.

O Google afirma que as alterações foram feitas de acordo com o feedback colhido nos últimos dias. A gigante da web também afirma que até o momento “mais de 9 milhões” de mensagens já foram trocadas através do Buzz.

Pelo visto a Microsoft está com sua equipe de segurança fazendo hora-extra. Além da falha crítica do Internet Explorer recentemente corrigida, a empresa confirmou a existência de uma falha de segurança que há quase 17 anos deixa todas as versões de 32 bits do Windows vulneráveis (incluindo o Windows 7) e permitiria que seu PC fosse “sequestrado” por um hacker (ou cracker, se preferir) que se aproveitasse da brecha.

A vulnerabilidade encontra-se no subsistema Windows Virtual DOS Machine (VDM) e foi denunciada na terça-feira (19) por um engenheiro do Google, Tavis Ormandy, em uma lista de e-mails sobre segurança.

Falha de segurança está lá há 17 anos.

A brecha de segurança foi adicionada ao núcleo do Windows em julho de 1993, com o lançamento do Windows NT, e desde então continua lá. A VDM permite que o Windows de 32 bits execute software de DOS ou de Windows 16 bits. No alerta de segurança emitido, a Microsoft afirma que não está ciente de nenhum ataque que explore essa vulnerabilidade e sugere que, como um paliativo enquanto a falha não é corrigida, a VDM seja desabitada, o que impede a execução de aplicativos em 16 bits. Veja abaixo como fazer isso:

Desabilite o subsistema NTVDM
1. Clique em Iniciar, Executar, digite gpedit.msc na caixa Abrir e clique em OK.
Isso abre o console de Diretiva de Grupo.
1. Expanda a pasta Modelos Administrativos e clique em Componentes do Windows.
2. Clique na pasta Compatibilidade de aplicativos.
3. No painel de detalhes, clique duas vezes na configuração de diretiva Impedir acesso a aplicativos de 16 bits. Por padrão, ela é definida como Não Configurado.
4. Mude a configuração de diretiva para Ativado e, em seguida, clique em OK.
Impacto da solução alternativa: Os usuários não poderão executar aplicativos de 16 bits.

A falha de segurança é classificada pela Microsoft como “importante”, que é o segundo maior risco, depois da classificação “crítico”. “Para se explorar esta vulnerabilidade, um invasor […] precisaria já ter uma conta na máquina a ser invadida”, explicou Jerry Bryant, gerente de programas do Microsoft Security Response Center (MSRC).

Nesta quinta-feira a Microsoft publicou uma atualização de segurança do Internet Explorer para proteger seus usuários de oito vulnerabilidades, incluindo a que possibilitou ataques às operações do Google na China semana passada.

Leia mais:

• Microsoft Brasil fala a respeito de falhas no IE
• “Não usem o Internet Explorer”, diz governo alemão

O perigo dessa vulnerabilidade específica consiste no fato de que bastaria visitar um site mal-intencionado se aproveitando dela para que ele pudesse tomar o controle do PC vulnerável, não seria necessário nem mesmo baixar ou executar qualquer tipo de programa.

A atualização fecha essas brechas de segurança e deve ser baixada automaticamente para a maioria dos usuários do Internet Explorer. Para atualização manual, deve-se visitar esse site. A empresa disse que as outras sete vulnerabilidades corrigidas não eram publicamente conhecidas anteriormente.

“A Microsoft recomenda, ainda, aos clientes que utilizam as versões antigas do browser, que façam a migração para o Internet Explorer 8, considerado o pelo NSS Labs o browser mais seguro do mercado hoje. Além disso, o Internet Explorer é o único navegador com autenticação de segurança automática do ICP-Brasil, que beneficia usuários no acesso a recursos e sites seguros da Internet,” escreveu em comunicado à imprensa Marinês Gomes, Gerente de segurança da Microsoft.

A atualização é recomendada a todas as versões do navegador, desde o Internet Explorer 6, qualquer que seja a edição do sistema operacional da Microsoft em que ele esteja rodando.

O Gmail agora pode usar um slogan digno das melhores (?) campanhas de absorvente…

Desde 2008 o Gmail já apresentava uma opção de sempre usar HTTPS — em outras palavras, criptografar tudo que trafega entre seu computador e os servidores do Google ao usar o Gmail. Desde essa quarta-feira (13) porém, isso deixa de ser apenas uma opção a ser ativada e passa a ser padrão para todos os usuários do e-mail do Google.

Inicialmente, o uso contínuo de HTTPS era apenas uma opção porque dados criptografados trafegam mais lentamente do que os dados sem criptografia alguma. Porém o Diretor de Engenharia do Gmail escreve no blog oficial do serviço que ao longo dos últimos meses a equipe analisou os prós e contras do HTTPS e decidiu que deixá-lo permanentemente ativado por padrão era a coisa certa a fazer.

Mas para aqueles que realmente confiam na segurança de sua rede e acham que a criptografia em tempo integral seria um atraso desnecessário, haverá um opção nas configurações do Gmail para desabilitar o novo padrão e voltar ao antigo, onde apenas a página de login é criptografada via HTTPS, para a proteção da senha do usuário.

O Twitter rejeita algumas senhas consideradas fracas quando um novo usuário se cadastra no serviço. Recentemente foi descoberto que a lista negra está vísivel no próprio código-fonte da página, e assim foram descobertos resultados curiosos.

Os termos banidos incluem as senhas “genéricas” mais comuns, como “123456” e “password” (senha, em inglês), bem como nomes de carros (“porsche”, “ferrari”, “jaguar”) e times de futebol (como “chelsea” e “arsenal”).

Como o serviço de micro-blogging é especialmente popular entre nós, fãs de tecnologia, alguns termos que se tornaram famosos pela ficção científica figuram na lista também.

“THX1138”, o título do primeiro filme dirigido por George Lucas, está banido, assim como “NCC1701” — o número de registro da nave estelar USS Enterprise, da série “Jornada nas Estrelas”, “Star Trek” — e “trustno1”, que era a senha de Fox Mulder na série “Arquivo X”.

Pesquisas realizadas na Grã-Bretanha mostram que as pessoas são bastante previsíveis ao escolher suas senhas. Quase metade dos bretões utilizam a mesma senha para fazer login no site do banco, nos sites de compras e nas redes sociais. A pesquisa também indica que uma em cada cinco pessoas usa o nome de seus bichinhos de estimação como senha, uma em cada oito usa datas importantes (como aniversários) e uma em cada dez usa o nome dos filhos.

Nunca é demais lembrar que o mais recomendável é nunca utilizar esse tipo de senha previsível, e sim senhas compostas de letras, números e até mesmo caracteres de pontuação. As senhas devem ser trocadas regularmente e não se deve usar a mesma senha para todos os seus serviços online. [Telegraph]

Leia o post completo para ver toda a lista negra de senhas do Twitter.

Leia mais»

Karsten Nohl: criptografia GSM quebrada.

Um engenheiro de computação alemão anunciou nessa segunda que teria quebrado e publicado o algoritmo de criptografia utilizado nas redes celulares GSM para transmitir suas chamadas com total confidencialidade. Em outras palavras, ele afirma ter descoberto e publicado o código secreto que impede que as ligações entre a maioria dos aparelhos celulares do mundo seja ouvida por qualquer bisbilhoteiro.

O engenheiro em questão é o especialista em criptografia Karsten Nohl, que diz que sua ação tem por objetivo questionar a efetividade do algoritmo de 21 anos de idade que protege as ligações por redes GSM e forçar as operadoras a adotar medidas de segurança mais eficientes para proteger suas ligações. O código em questão foi criado em 1988 e ainda é usado para proteger 80% das ligações celulares no mundo todo. Esse algoritmo é denominado A5/1, e é um código de 64 bits. Desde 2007 está disponível um outro algoritmo, denominado A5/3, com criptografia de 128 bits, o dobro de “zeros e uns” no caminho entre sua ligação e um possível “ouvinte indesejado”. Apesar disso, a maioria das operadoras ainda não investiu na mudança para o padrão mais seguro.

Sobre o caso, a porta-voz da GSM Association — o grupo baseado em Londres que desenvolveu o algoritmo recém-quebrado e que representa as operadoras celulares — disse que quebrar a segurança das ligações “é teoricamente possível, mas na prática improvável.”

Outros analistas, porém, mostram-se mais preocupados. Apesar de uma tarefa complexa, teoricamente criminosos bem-organizados poderiam se aproveitar da nova descoberta para grampear ligações e vender informação, o que seria algo valiosíssimo no mundo corporativo moderno.

Simon Bransfield-Garth, diretor executivo da empresa londrina Cellcrypt, disse que “isso reduzirá o tempo necessário para grampear uma ligação GSM de semanas a horas. Esperamos que, à medida que isso se desenvolva, o tempo seja reduzido a minutos.” [The New York Times]