Grave falha de segurança no Firefox exige que usuários atualizem o navegador
10 de Agosto de 2015, 21:47
A Mozilla anunciou que o seu navegador Firefox possui uma grave falha de segurança explorada através de um anúncio publicitário em um site de notícias russo. O anúncio comprometeu arquivos locais dos usuários do Firefox e, por isso, a Mozilla pede para que todos os usuários do browser façam a atualização para a sua versão mais recente.
Daniel Veditz, chefe de segurança da Mozilla, declarou no blog da companhia que a vulnerabilidade vem da interação do sistema responsável pela separação do contexto JavaScript e o leitor de PDF do Firefox.
O efeito do ataque dá ao hacker a capacidade de burlar a segurança do Firefox e injeta um script malicioso que procura por arquivos onde estão armazenadas senhas de contas utilizadas no próprio navegador e em vários programas de FTP. Além disso, em todos os acessos que carregaram a página no qual o anúncio malicioso estava presente, o exploit não deixou vestígios, segundo a Mozilla.
Apesar do problema ter sido descoberto apenas com a capacidade de afetar usuários Windows e Linux, o cibercriminoso poderia facilmente adaptar o ataque para usuários Mac. Assim, a Mozilla também incentiva para que os usuários do sistema da Apple estejam com a versão mais recente do Firefox.
Mesmo os usuários que não visitaram o site de notícias russo que contava com o anúncio devem atualizar seus navegadores, visto que não se sabe se o anúncio foi implantado em outros sites da internet.
A Mozilla deixou claro também que o Firefox para Android e outros produtos da Mozilla que não possuem um leitor de PDF integrado não contam com a falha de segurança e não podem ser afetadas por este ataque.
A companhia já está enviando a atualização para todos os navegadores, mas os usuários que ainda não receberam a notificação de atualização para a versão 39.0.3 podem fazê-la manualmente acessando o site da Mozilla e baixando novamente o Firefox.
Com informações de Mozilla e Canaltech.
Autoridades suecas acusam Equador de dificultar acesso a Assange
10 de Agosto de 2015, 21:46
Julian Assange voltou a estar envolvido em polêmica e, agora, está no epicentro de mais um desconforto internacional. As autoridades de Estocolmo, na Suécia, criticaram publicamente a posição do Equador em defender o fundador do WikiLeaks, dificultando o acesso de investigadores a ele. Para a polícia, a embaixada do país trabalha com o tempo, para que uma das acusações de abuso sexual que pesam sobre o delator prescreva.
Na realidade, os promotores da Suécia não têm esperança de que o caso seja resolvido a tempo de manter o processo em vigor. Assange é acusado de estuprar duas mulheres em 2010, em um processo que, para muitos, é uma armação do governo americano para trazer o delator de volta ao país, de onde ele poderia ser extraditado para os EUA para responder sobre o vazamento de centenas de milhares de documentos por meio do WikiLeaks. Por causa disso, também, ele permanece na embaixada do Equador, onde recebeu asilo.
Para que o processo ande, a polícia sueca precisa colher o depoimento de Assange e, na sequência, compor o caso. É justamente a primeira etapa que está sendo dificultada pelo governo sul-americano. Para Claes Borgstrom, advogado de uma das vítimas do caso, Quito não está tomando nenhuma atitude para facilitar o acesso das autoridades ao delator e não existe expectativa que tudo mude ainda neste mês, quando ocorre a prescrição das acusações de abuso sexual.
Apesar disso, afirmou o representante, toda a ação deve continuar, já que o crime de estupro tem um prazo muito maior para prescrição. Como o processo foi iniciado em 2010, as leis suecas permitem que o inquérito siga adiante em uma acusação formal por um prazo de até dez anos.
Em resposta, os advogados de Assange negaram que o governo equatoriano esteja dificultando o acesso das autoridades. Pelo contrário, ele afirma que o pedido para interrogatório está sendo processado de acordo com as vias normais da embaixada, mas que a ordem chegou tarde demais para que pudesse ser atendida a tempo. Na declaração, até mesmo o presidente Rafael Correa foi citado como um dos que “mais querem que o interrogatório aconteça” e que a justiça siga seu curso.
Oficialmente, Assange nega as acusações de que estuprou ou abusou das duas mulheres e disse, anteriormente, que todos os encontros sexuais que teve com elas foram totalmente consensuais. Segundo os advogados, o fundador do WikiLeaks não tem dúvida alguma de sua inocência e deseja, ele próprio, ser interrogado e se ver livre de qualquer processo.
O ministro das relações exteriores do Equador, Ricardo Patino, também entrou na dança, afirmando que as autoridades da Suécia não podem esperar que o país abra as portas de sua embaixada “a seu bel prazer”. Ele defendeu a posição do país ao abrigar Assange e disse que passaram-se anos até que a polícia tomasse alguma atitude, portanto, agora, não podem exigir que os processos internos do país se movimentem mais rapidamente que o normal. Ele refutou as acusações de que os envolvidos estariam dificultando o acesso de forma a garantir a prescrição do caso.
Recluso
Julian Assange recebeu asilo político na embaixada do Equador em Londres no mês de junho de 2012, como forma de escapar de uma possível extradição para os Estados Unidos. Ele mora em um antigo escritório que acabou convertido em apartamento, de onde não pode sair, caso contrário, estaria deixando o solo soberano do país latino-americano.
O caso tem sido alvo de muita polêmica tanto entre os defensores de Assange quanto junto aos opositores. A defesa do delator causou tensão entre as embaixadas do Equador e os ministérios das relações exteriores do Reino Unido e dos Estados Unidos. Do outro lado, estão as críticas em relação à presença de policiais ao redor da embaixada, com supostas ordens de prender Assange caso ele saia de lá, e as teorias da conspiração de que o caso de assédio sexual, por exemplo, seria uma artimanha para capturá-lo.
Em 2014, Assange afirmou que sua saúde estava debilitada e que deixaria o asilo em breve. Recentemente, surgiram relatos de que ele havia pedido proteção do governo francês, uma solicitação que não foi aceita pelo presidente François Hollande e que, mais tarde, foi negada publicamente pelo delator.
Com informações de Business Insider e Canaltech.
Cyanogen afirma ter mais usuários que Windows Phone e BlackBerry juntos
10 de Agosto de 2015, 21:44
Enquanto Apple, Samsung, Xiaomi e outros nomes brigam pelo domínio do mercado de smartphones, um outro player parece estar correndo por fora. Neste final de semana, durante uma conferência para desenvolvedores de software em Seattle, nos Estados Unidos, a Cyanogen anunciou que mais de 50 milhões de pessoas estão utilizando seus sistemas operacionais em todo o mundo.
O número, afirmou Adnan Begovic, CEO da produtora, é mais do que a soma total dos usuários globais de Windows Phone e BlackBerry. Para ele, também é uma prova de que o foco na segurança e no desempenho está agradando aos usuários avançados, que permanecem confiando em uma arquitetura de código aberto como a melhor alternativa para seus dispositivos móveis.
Os números apresentados pela Cyanogen a colocam com uma fatia de cerca de 3% do mercado de celulares. De acordo com os dados mais recentes da IDC, por exemplo, a Microsoft teria uma parcela de 2,7%, que cresce vagarosamente, enquanto a BlackBerry permanece na faixa dos 0,3% e caindo. Com o crescimento da versão, é possível que tais dados sejam multiplicados ainda mais nos próximos trimestres.
Os totais apresentados por Begovic se relacionam tanto ao Cyanogen Mod, que deve ser baixado e instalado manualmente pelos usuários, quanto ao Cyanogen OS, que, como o nome já diz, é o sistema operacional que vem embarcado em alguns aparelhos. É nesse segundo aspecto que, inclusive, está um dos grandes focos da desenvolvedora de software, que deseja atingir também os pouco inteirados de tecnologia e colocar sua plataforma na mão do máximo de pessoas possível, com maior comodidade.
O melhor caminho para a Cyanogen, no momento, vem sendo os pequenos fabricantes chineses, capazes de criar aparelhos poderosos e mais baratos. Tudo o que uma empresa que já traz seu renome no mundo tecnológico, mas que pode ser completamente desconhecida do usuário comum, precisa para prosperar.
Especialistas, porém, já começaram a refutar as afirmações de Begovic afirmando que o total de 50 milhões de usuários do Cyanogen, por si só, não é suficiente para ultrapassar o market share do Windows Phone, que nos últimos dois anos já vendeu mais de 70 milhões de aparelhos. Na combinação com o BlackBerry, então, a soma ficaria ainda maior e mostraria que o mod ainda tem um caminho a seguir se quiser deixar a Microsoft para trás.
Com informações de Digital Trends, WM Power User, Android Authority e Canaltech.
Hackers invadem armas inteligentes e controlam rifles remotamente
10 de Agosto de 2015, 21:05
Se ver um hacker invadindo o sistema de um carro e controlando o veículo remotamente já é assustador, o quão aterrorizante é imaginar ver esse pessoal atacando e fazendo a mesma coisa com armas de fogo? Pois alguém decidiu criar uma maneira de integrar um rifle a um computador e isso serviu como um convite para que hackers mostrassem que são capazes também de assumir o comando desse tipo de equipamento.
O lado bom é que, pelo menos por enquanto, isso não é motivo para desespero. A dupla Runa Dandvik e Michael Auger é especialista em segurança digital e conseguiu invadir os sistemas dessas armas inteligentes exatamente para expor suas vulnerabilidades de modo a impedir que gente realmente mal intencionada faça esse tipo de coisa na futuro. O ponto é que, mesmo isso tudo tendo sido feito dentro de um ambiente controlado, o resultado não é menos surpreendente.
Como eles devem apresentar durante uma conferência na Black Hat, evento de hackers que acontece nas próximas semanas, o sistema de mira automática da TrackingPoint tem falhas bem sérias. Cada um dos dois rifles utilizados pelo casal custa cerca de US$ 13 mil — o equivalente a R$ 45 mil na cotação atual —, mas nem mesmo isso foi o suficiente para impedi-los de assumir o controle da arma e alterar seu comportamento remotamente.
Para isso, eles desenvolveram algumas técnicas que comprometiam a segurança da arma a partir de uma simples conexão Wi-Fi e, com isso, passaram a ter acesso ao software de controle. E é aí que está a parte realmente assustadora. Após invadirem o equipamento, Runa e Michael conseguiram alterar seu funcionamento de diferentes maneiras, seja modificando os cálculos de mira para fazer com que o tiro nunca acerte o seu alvo, desativando a mira remota ou fazendo com que a arma fique completamente inoperante.
Mais do que isso, eles conseguiram controlar o rifle a seu bel prazer. Assim, por mais que a ordem original fosse acertar um alvo específico, o casal conseguiu fazer com que a arma atirasse em outro objeto. Agora pense como seria isso em situações reais e temos um belo cenário para temermos no futuro.
Segundo Runa Sankdiv — que já possui uma vasta experiência com desenvolvimento de sistemas anônimos, como na criação do Tor —, o maior perigo em um eventual ataque hacker a essas armas inteligentes não está na perda do controle, mas no simples fato de que isso simplesmente inutiliza equipamentos que custam entre seis e sete mil dólares.
Como o site Wired aponta, desde 2011, a TrackingPoint já vendeu milhares de armas como essas. Equipadas com um sistema baseado em Linux, elas são capazes de ajustar a mira automaticamente ao levar em consideração a direção e a velocidade do vento, temperatura e o próprio peso da bala. Assim, ao apertar o gatilho, o equipamento faz todos os cálculos necessários para determinar o melhor momento do disparo para alcançar o alvo determinado.
Basicamente, é como se você jogasse um FPS em seu video game com todas as assistências ligadas para nunca errar um tiro — e o que o casal descobriu foi uma maneira de desativar isso.
Por mais que as armas da empresa venham com o Wi-Fi desativado por padrão, eles conseguiram ligá-lo e quebrar a senha de bloqueio, o que garantiu o acesso à funções básicas do rifle. A partir dali, bastou tratar a arma como um servidor e acessar os APIs para alterar as chaves de funcionamento.
Como a demonstração feita pela dupla ao site revelou, o atirador é praticamente incapaz de identificar que há algo de errado com a arma. No rifle modelo TP750 usado, por exemplo, há apenas uma mudança rápida do que é visto na mira, mas que isso é praticamente imperceptível na prática, principalmente quando falamos de usuários novatos.
O lado bom disso tudo é que, por mais assustador que seja alguém invadindo uma arma desse jeito, eles não foram capazes de fazer o equipamento disparar sozinho. Como a Wired aponta, os produtos da TrackingPoint são feitos para ajudar as pessoas a melhorarem sua pontaria, mas ainda exigem uma operação manual para funcionarem. Em outras palavras, sem dedo no gatilho, nada feito.
Segundo a empresa, uma atualização feita para corrigir essas falhas será liberada em breve para que os consumidores possam atualizar o sistema por meio de um simples pendrive. No entanto, ela ressalta que essa vulnerabilidade não significa um problema grave de segurança, uma vez que o atirador ainda precisa apertar o gatilho e é responsabilidade sua apontar na direção correta — e isso não vai mudar não importa o que o hacker faça.
Além disso, a TrackingPoint destacou ainda o fato de que é bem pouco provável que haja uma conexão com a internet nos locais em que os seus rifles são utilizados. Modelos como a TP750 são usados para caça, então dificilmente teremos Wi-Fi no meio da savana ou nas montanhas dos Estados Unidos e muito menos que haja alguém nas proximidades com um laptop para alterar as diretrizes básicas.
Por outro lado, os responsáveis pela descoberta na falha de segurança afirmam que a invasão não precisa ser feita no momento do disparo, pois o hack pode durar por bem mais tempo. Isso significa que o rifle pode ser alterado antes de uma viagem, quando ainda havia uma conexão Wi-Fi para isso.
Ainda assim, por mais que o comprometimento nos modelos TP750 não seja nada que tire o nosso sono, isso é uma pequena amostra de algo que pode se transformar em um real problema no futuro caso a indústria armamentista realmente decida abraçar sistemas inteligentes em suas pistolas e rifles. Quando isso acontecer, é bom que haja mais especialistas preparados para corrigir essas falhas antes que algo de muito errado aconteça.
Com informações de Wired e Canaltech.
Organização apresenta proposta para controle global da internet
10 de Agosto de 2015, 21:01
Como uma criação do exército dos Estados Unidos, a internet esteve, até o ano passado, sob controle do país no que toca seu funcionamento técnico e supervisão de funcionamento. Mas, desde 2014, a ideia dos EUA é permitir que a “rede mundial de computadores” seja, efetivamente, mundial, uma proposta que, agora, está aberta a consulta pública para internautas de todo o planeta.
Em meados do ano passado, os norte-americanos passaram a supervisão da internet para a ICANN, a Corporação da Internet para Atribuição de Nomes e Números, na sigla em inglês. Apesar de filiada ao governo dos EUA, trata-se de uma organização isenta e sem fins lucrativos que trabalha, entre outras atribuições, com a alocação de endereços de rede, novos domínios e tecnologias de acesso. E a ideia da associação, agora, é expandir ainda mais esse controle.
Segundo a proposta apresentada nesta segunda-feira (03), e que estará disponível para votação e comentários do público até 8 de setembro, a internet passaria a ser controlada por entidades contratadas, atuando sob um consórcio de países, empresas e órgãos competentes. Desse grupo, por exemplo, fazem parte desde agências governamentais como a NASA até grandes empresas de tecnologia, membros da academia e também da indústria em geral. A ideia é, basicamente, constituir uma gama de interessados que possam zelar mutuamente pela neutralidade e bem-estar da rede em todo o mundo.
Enquanto isso, os aspectos técnicos passariam a ser gerenciados por organizações especializadas, sejam elas contratadas pelo consórcio ou criadas especialmente para esse fim. Caso uma delas não esteja apresentando funcionamento ou comportamento adequado, a própria organização será capaz de analisar as questões e votar sobre uma possível troca, alterações de organização e outras modificações estruturais.
É, basicamente, a mesma coisa que acontece hoje em dia, com a diferença de que, agora, o comitê passa a incluir mais interesses internacionais. Membros da União Europeia, por exemplo, elogiaram a proposta por ela promover a privacidade e a neutralidade na rede, um assunto bastante frequente naquele lado do mundo, enquanto congressistas norte-americanos afirmaram que a ideia protege os interesses internacionais e impede que países autoritários pratiquem a censura na rede ao mesmo tempo em que permite que todas as nações participantes contribuam para a evolução da internet.
Além disso, para outros membros não-americanos, a ideia de transição é interessante por transferir o poder, que até agora era exercido praticamente apenas pelos Estados Unidos, para um grupo plural. Por mais que tudo esteja funcionando de maneira positiva, a nova abordagem evita que interesses individuais se sobreponham ao de todo o globo, além de garantir que a internet não seja guiada por um único fio condutor.
Por outro lado, propostas apresentadas pela China e Rússia, por exemplo, não foram aceitas. Os países concordam na afirmação de que um comitê específico para gerenciamento de internet seria desnecessário quando já existe uma instituição voltada justamente para o balanço de poder entre países – a Organização das Nações Unidas. Além disso, questionam a ideia de pluralidade apresentada, uma vez que ela parte de um ponto de vista norte-americano e, sendo assim, pode acabar protegendo mais os EUA do que as outras nações participantes.
Tais termos também podem ser comentados e votados na consulta pública e a ICANN promete encarar a participação dos internautas com o mesmo peso das contribuições dos países. Após setembro, a proposta final de separação entre Estados Unidos e o gerenciamento de internet será votada pelo Congresso norte-americano e, se aprovada, passa a vigorar em julho do ano que vem.
Com informações de ICANN, Reuters, Engadget e Canaltech.
