Brasil vai propor Marco Civil mundial
12 de Abril de 2014, 14:49 - sem comentários ainda
Depois da aprovação do Marco Civil da Internet na Câmara Federal, os defensores da democratização e da maior segurança na rede já falam em um projeto ‘global’. Ontem, durante um encontro em São Paulo, o Comitê Gestor da Internet (CGI.br) concluiu o texto que será apresentado no evento NETmundial, marcado para os dias 23 e 24 de abril na capital paulista.
Segundo o conselheiro do CGI, Demi Getschko, o conteúdo do projeto é inspirado no Decálogo do CGI.br, documento que descreve os princípios “para a governança e uso da internet no Brasil” e que serviu de base para a construção do Marco Civil da Internet brasileiro. “A chance de criarmos uma legislação única para a internet é pequena”, diz Getschko. “Por isso, estamos propondo uma versão mais simples do Decálogo.”
Conselheiro e veterano da implementação da internet no Brasil, Getschko se encontrou, ontem, com o deputado federal e relator do projeto brasileiro Alessandro Molon (PT-RJ) durante um evento promovido pelo Centro Brasileiro de Relações Internacionais e pela Prospectiva, em São Paulo, para debater os impactos econômicos da regulação na internet.
Molon comemorou mais uma vez a aprovação do projeto na Câmara, e se diz confiante quanto à validação do texto no Senado. “Pedi para votarem antes da NETmundial. Fiz o apelo e encontrei boa acolhida”, diz o deputado. Depois de três anos tramitando na Câmara, a expectativa é de que o projeto fique apenas 20 dias no Senado. “Mesmo que eles possam contribuir, o Marco Civil teria de voltar para a Câmara e aí seria impossível tê-lo em lei antes do evento.”
Segundo Molon, Aloysio Nunes (SP), líder do PSDB e da terceira maior bancada no Senado, “que é um defensor da neutralidade, aliás”, garantiu que não pretende impedir a votação do projeto.
O relator do Marco Civil da Internet disse que visitou esta semana o Senado para garantir a aprovação do projeto, que considera passível de ser aprimorado, mas não agora. “Lei perfeita não existe, eu acredito em trabalho progressivo. O processo legislativo permite isso durante o seu trâmite, mas também a partir do primeiro dia da sua aprovação podem surgir novos projetos para alterar o texto e corrigir problemas que não tenham sido vistos antes.”
Neutralidade
Demi Getschko considerou “feliz” a mudança no texto do Marco Civil que diz que para casos de exceção ao princípio da neutralidade a Anatel e o CGI.br deverão ser consultados. “Por essa e outras razões, nós não estamos só refletindo o que acontece lá fora, nós estamos à frente”, afirmou.
Rodrigo de la Parra, vice-presidente para América Latina da Icann, entidade que faz a gestão técnica da web nos EUA, também compareceu ao evento e chamou de “histórico” o momento pelo qual passa a internet no mundo hoje.
“O modelo multissetorial do CGI é único no mundo; o Marco Civil, lei da maior importância, também é único. Juntos, mostram a maturidade do Brasil e, justificam o por que de o NETmundial acontecer aqui”, disse.
Parra contou que a escolha do Brasil para sediar o evento – que tem entre seus objetivos, a definição de novas estruturas de governança para a internet – se deu após uma consulta à Organização das Nações Unidas, que acabou indicando o País como melhor anfitrião. “O Brasil hoje é visto como o intermediador de visões extremas que pedem a liberação geral ou a gestão por governos”, diz. “A NETmundial é produto de um processo que deve seguir avançando. E a Icann estará lá, mostrando estar disposta a conversar.”
Fonte: LINK
Heartbleed pode afetar cerca de 90 milhões de gadgets com Android
12 de Abril de 2014, 13:47 - sem comentários ainda
Segundo publicação da própria Google em um de seus blogs oficiais, a falha de segurança batizada de Heartbleed pode afetar aparelhos com Android. Se você possui um gadget com a plataforma do robozinho verde mantenha a calma, pois não são todas as versões do sistema que apresentam essa vulnerabilidade.
De acordo com a Gigante das Buscas, a brecha é percebida somente na versão 4.1.1 do Android — também conhecida como Jelly Bean e que foi lançada em julho de 2012. Contudo, levantamentos estatísticos também da própria companhia alertam que o problema pode ser bem grave.
Conforme o Developer Android, site da empresa voltado para desenvolvedores, o Jelly Bean representa 34,4% de todos os dispositivos com o SO da companhia ativos no mundo, os quais totalizam cerca de 900 milhões de smartphones e tablets. Se levarmos esses dados em conta, chegaríamos ao cálculo de quase 309,6 milhões de gadgets vulneráveis.
Contudo, em comunicado dirigido ao site Bloomberg, Christopher Katsaros, porta-voz da Google, alega que menos de 10% do total de dispositivos em funcionamento com Android estão suscetíveis a essa falha, ou seja, algo em torno de 90 milhões de eletrônicos.
Por fim, a companhia afirma que já está encaminhando relatórios e memorandos com informações sobre a atuação do Heartbleed no Jelly Bean para as fabricantes que ainda distribuem produtos com essa versão do sistema.
Ameaça real
O Heartbleed consiste em uma brecha que permite a pessoas mal intencionadas monitorar e coletar os dados trocados durante a troca de chaves que servem como certificações de segurança por meio de um pacote de código aberto chamado OpenSSL.
A situação se agrava quando consideramos que os hackers podem aprender como essa comunicação de certificados acontece. Dessa forma, os cibercriminosos seriam capazes de, por exemplo, simular um processo de compra na internet, induzindo as pessoas a fornecerem seus dados de cartões de crédito sem desconfiar de nada.
Outra bomba relacionada a essa falha surgiu recentemente, quando fontes anônimas do Bloomberg asseguraram que a Agência de Segurança Nacional dos EUA (NSA) conhece esse problema há pelo menos dois anos e pode ter usufruído dele para espionagem.
“NSA conhece vulnerabilidade Heartbleed há dois anos”, afirma site
12 de Abril de 2014, 13:45 - sem comentários ainda
A Agência de Segurança Nacional dos EUA (NSA) está ciente da falha conhecida como “Heartbleed” há pelo menos dois anos, afirmam fontes não oficiais ao site Bloomberg. De acordo com “duas pessoas familiarizadas com o assunto”, a NSA, apesar de supostamente conhecer a vulnerabilidade que afetou 66% de toda a internet há algum tempo, não alertou entidade alguma ou sequer tomou providências para resolver o problema.
Em resposta ao portal responsável por veicular estas informações, a NSA é firme em declarar que tomou conhecimento sobre Heartbleed somente neste ano. “Relatórios que dizem que a NSA ou qualquer outra parte do governo estavam cientes da assim chamada ‘vulnerabilidade Heartbleed’ antes de abril de 2014 estão errados”, pode-se ler na página do escritório do diretor de Inteligência Nacional dos EUA. Ainda segundo o documento oficial, quando falhas assim são encontradas, a agência tem por dever revelá-las ao público.
Naturalmente, uma onda de ceticismo acabou por se instalar sobre todo o assunto. A NSA e o Serviço Secreto norte-americanos têm sido acusados de espionagem de dados em escala global. “Se você combinar dois órgãos em apenas uma agência, qual missão irá vencer?”, pergunta em tom provocador John Pescatore, diretor de segurança do Instituto SANS que trabalhou também durante anos junto à NSA e ao Serviço Secreto dos EUA. “Invariavelmente, quando isso acontece, a missão ofensiva é que sai vencedora”, diz o especialista.
A vulnerabilidade Heartbleed
Grosso modo, pode-se dizer que a vulnerabilidade Heartbleed ataca as “chaves” de todo o tráfego feito através da implementação OpenSSL dos protocolos SSL e TLS. Acontece que a comunicação entre dados privados de internautas e servidores é feita por meio das tecnologias Secure Sockets Layer (SSL) e Transport Layer Security (TLS). Para fazer com que esses certificados de segurança sejam adquiridos de forma mais rápida, grande parte dos sites usa o pacote de código aberto OpenSSL.
O que fazer
Mais de dois terços dos sites parecem ter sido expostos à Heartbleed. Então como proteger senhas e dados privados trocados através de “sites seguros”? Até o momento, a medida mais adequada a ser tomada é aguardar por comunicados oficiais das companhias, o que não deve tardar a acontecer – a Google, por exemplo, já está agindo no sentido de eliminar a falha de todos os seus pacotes de serviços. A mesma atitude deverá ser tomada pelos sites afetados pela vulnerabilidade.
Com informações de IContheRecord, Bloomberg e Tecmundo.
Marco Civil: Dilma pressiona Senado
12 de Abril de 2014, 13:37 - sem comentários ainda
Na próxima terça-feira, 15 de abril, acontece no Senado a segunda das três audiências públicas previstas para discutir o Marco Civil da Internet. A terceira está agendada para o dia 22 de abril, mas pode não acontecer, se os senadores concordarem em votar o projeto em plenário, na próxima quarta, dia 16 de abril. O objetivo do Planalto é o de que o Marco Civil já tenha se tornado lei antes da realização do NETmundial – Encontro Multissetorial Global sobre o Futuro da Governança da Internet, que acontece em São Paulo nos dias 23 e 24 de abril.
Na última quinta-feira, a presidente Dilma, seguindo conselhos do ex-presidente Lula, se reuniu com o presidente do Senado Renan Calheiros e o líder do governo no Senado, Eduardo Braga (PMDB-AM), além do presidente da Comissão de Constituição e Justiça e um dos relatores do Marco Civil, Vital do Rego Filho (PMDB-PB), para solicitar a votação na próxima quarta-feira. A princípio, os senadores concordaram. Mas…
A pressão interna para que o projeto tramite em três comissões da Casa, permitindo um amplo debate e algumas adequações, continua. O relator do projeto na Comissão de Meio Ambiente e Defesa do Consumidor, senador Luiz Henrique (PMDB-SC), defende que o Senado analise detalhadamente a proposta.O Senado tem até 1o dia 2 de maio para votar, sem que o projeto tranque a pauta.
“Acho que o Senado tem todo o direito de analisar detalhadamente o projeto, para que ele, que já é bom, receba aprimoramentos. De minha parte, eu vou devagar com o andor, por que o santo é de barro”, disse Luiz Henrique.
“Acho profundamente injusto ser imputado ao Senado um prazo para que nós não exerçamos na nossa plenitude, não o nosso direito, mas o nosso dever”, disse o senador Vital do Rêgo (PMDB-PB), relator do projeto na Comissão de Constituição, Justiça e Cidadania (CCJ) , no dia seguinte da reunião com a presidente.
Renan Calheiros (PMDB-AL) terá que consultar os líderes partidários para marcar a data de votação. O senador Ricardo Ferraço (PMDB-ES) será o relator da matéria em Plenário.
Vale lembrar que se o projeto for votado com emendas, precisa voltar a ser apreciado pela Câmara.
A tese do PT, já apoiada por entidades da sociedade civil, é a de o projeto seja aprovado como está, uma vez que modificações posteriores podem ser apresentadas na forma de projetos de lei, já que o objetivo do Marco Civil é desenhar diretrizes e não esgotar todos os assuntos relativos à internet.
Uma modificação necessária é alvo de duas emendas: uma apresentada durante o prazo regimental, de autoria do senador Aloysio Nunes Ferreira (PSDB-SP) e outra após o prazo regimental, de autoria do Senado Humberto Costa (PT-PE). Com propostas de redação um pouco diferentes, ambas trocam a figura “autoridades administrativas”, no parágrafo 3 do artigo 10, por “delegado de Polícia e Ministério Público”. Só eles teriam competência legal para a requisição de dados cadastrais de investigados, independentemente de autorização judicial.
Proposta de Aloysio Nunes
Proposta de Humberto Costa
A audiência pública conjunta de terça-feira será realizada às 14h. Os interessados poderão participar enviando perguntas e sugestões pelo portal E-Cidadania e pelo Alô Senado. Estão convidados, entre outros, Eduardo Moreira, diretor do Sindicato Nacional das Empresas de Telefonia e de Serviço Móvel Celular e Pessoal; José Francisco Lima, conselheiro da Associação Brasileira de Emissoras de Rádio e Televisão (Abert); Marcel Leonardi, diretor do Google do Brasil; e Renato Cruz, colunista do jornal O Estado de São Paulo.
Não acontecendo a votação na próxima quarta-feira, dia 16 de abril, a sugestão de alguns senadores petistas, como Walter Pinheiro, é a apresentação de um pedido de urgência urgentíssima no dia 22 de abril, para que seja entregue à Presidente Dilma para sanção no seguinte, durante a realização do NETmundial.
A sorte está lançada!
Fonte: IDGNow
Após o Heartbleed: quatro alternativas ao OpenSSL
12 de Abril de 2014, 13:33 - sem comentários ainda
Ninguém precisa ser lembrado da gravidade do Heartbleed, o bug descoberto no OpenSSL. Em vez disso, as pessoas estão à procura de soluções: como corrigi-lo e como evitar que falhas semelhantes venham a ocorrer no futuro. Para isso, vale a pena olhar além do OpenSSL, considerando que vários projetos de software concorrentes satisfazem muitas das necessidades de segurança das empresas.
Primeiro candidato: Mozilla Network Security Services (NSS), coleção de bibliotecas criptográficas disponível sob múltiplos arranjos de licença e com um ciclo bastante regular de lançamentos. A última estreou em meados de março deste ano. Previsivelmente, as próprias aplicações da Mozilla – Firefox, Mozilla Suite, Thunderbird – usam o NSS, assim como uma série de conhecidos aplicativos de terceiros: AOL Instant Messenger e muitos clientes de terceiros para o serviço; OpenOffice.org 2.0; vários produtos da Red Hat, como o Red Hat Directory Server e o mod_nss para o servidor Apache.
NSS é especialmente atraente em mod_nss, já que este último inclui suporte para listas de certificados revogados – um de uma série de mecanismos-chave para melhor proteger a validade do certificado. Ele também trabalha lado a lado com outro módulo do Apache, mod_revocator, o que torna possível processar automaticamente listas de revogação sem reiniciar httpd.
Outra possibilidade: GnuTLS, que tem amplo suporte para vários protocolos e padrões e está disponível sob licenciamento relativamente liberal (LGPL 2.0), que permite que ele seja usado em aplicações de código fechado. Também é atualizado com bastante regularidade; a última versão estável é a 3.3.0, lançada em 10 de abril de 2014.
Outras implementações são o Polar SSL, disponível tanto em open source quanto em versões licenciadas comercialmente, e o MatrixSSL, também multilicensed e construída para aplicações embarcadas.
Os servidores não são a única razão para pensar muito sobre substitutos para o OpenSSL. Podem ser necessárias alternativas SSL em outras rubricas, tais como roteadores domésticos, que não são atualizados frequentemente e deve ser baseada em código auditado o mais rigorosamente possível.
Alguns substitutos podem ser menos úteis em certos círculos, devido a preocupações de licenciamento. Mas vale a pena olhar o que esses projetos têm para oferecer. No longo prazo, pode ser mais vantajoso mudar em vez de aplicar um patch no OpenSSL.
Fonte: CIO
