Comando “Ok Google” do Chrome pode funcionar como ferramenta de espionagem
28 de Junho de 2015, 20:51
Defensores da privacidade e desenvolvedores de código aberto estão expondo a instalação silenciosa de um software do Google que é capaz de acompanhar conversas mantidas por meio de computadores. O primeiro alerta veio de desenvolvedores que utilizam o navegador Chromium – a base de código aberto para o Google Chrome – que perceberam a instalação remota de um código de espionagem de áudio capaz de ouvir o que os usuários falam online.
O software foi projetado para dar suporte ao recurso “Ok, Google” no Chrome, que permite que o navegador responda quando o usuário falar essa frase em voz alta – mas alguns desenvolvedores têm reclamado que ele é ativado nos computadores sem a sua permissão. “Sem o nosso consentimento, o código do Google baixou uma caixa preta que – de acordo com ele mesmo – liga o microfone e escuta ativamente o que está sendo dito”, disse Rick Falkvinge, fundador do Partido Pirata, em um post em seu blog. O comando “OK Google” está disponível no Chrome desde 2013.
Rick diz ainda que isso significa que o computador foi configurado para enviar o que está sendo dito no ambiente do usuário para uma empresa privada em outro país sem o consentimento ou conhecimento do usuário. O recurso é instalado por padrão como parte do navegador Google Chrome, mas os defensores do código aberto estão dizendo que isso também está instalando uma variante de código aberto no Chromium, porque o código de escuta é considerado uma “caixa preta”, que não faz parte do processo de auditoria do open source. “Nós não sabemos e não temos como saber o que essa caixa preta faz”, completa Rick.
Em respostas às queixas, o Google disse: “Apesar de fazer o download do módulo hotword na inicialização, nós não o ativamos a menos que você opte por usar a hotword”. O gigante da web diz ainda que “a instalação padrão vai grampear o seu quarto sem o seu consentimento, a menos que você opte por desativar [a hotword] e, mais importante ainda, saiba que você precisa optar por desativar”. A empresa diz que um interruptor físico para desativar o microfone e a câmera incorporados na maioria dos computadores é necessário.
O Google, por sua vez, culpou a distribuição Debian do Linux, ao invés do Google Chrome, pelo download do componente que abre automaticamente no Chromium. “A chave aqui é que o Chromium não é um produto do Google. Nós não o distribuimos diretamente ou oferecemos qualquer garantia no que diz respeito ao cumprimento de várias políticas de código aberto”, disse um desenvolvedor do Google.
Os recursos de pesquisa por voz se tornaram algo comum nos smartphones, mas a sua inclusão para as casas por meio de Smart TVs, e agora nos navegadores, tem causado preocupações sobre a possibilidade das empresas ouvirem o que é dito dentro de casa. Mas, para acalmar seus usuários, um porta-voz do Google disse:
“Temos certeza que você vai ficar aliviado ao saber que não estamos escutando suas conversas – e nem queremos. Nós estamos simplesmente dando aos usuários do Chrome a capacidade de pesquisar por meio dos seus computadores com as mãos livres, apenas dizendo “Ok, Google” quando estiver na página inicial do Google – e somente se você optar por utilizar esse recurso”.
E você, acredita no Google ou prefere desativar o recurso de busca por voz do seu navegador?
Com informações de The Guardian e Canaltech.
Fedora 23 terá serviço de DNS local para resolução de nomes
28 de Junho de 2015, 20:45
Este serviço de DNS será uma mudança em toda a distribuição, pelo fato de se utilizar um sistema de DNS seguro (DNSSEC) para validar o serviço de DNS local que estará em execução em 127.0.0.1:53.
A implementação deste serviço de DNS no Fedora 23 trará mais confiabilidade para as validações do DNSSEC no serviço que estará em execução na porta 53 do localhost, tendo como única entrada o arquivo /etc/resolv.conf. A resolução confiável local será então utilizada pelo sistema para os servidores de nomes temporários, com a validação DNSSEC sendo executada localmente.
Quaisquer outras entradas de servidores DNS recebidas automaticamente via DHCP, VPN e configurações sem fio devem ser armazenadas separadamente nos arquivos de configurações do Gerenciador de Rede (NetworkManager).
“Há casos recentes de discussões e debates sobre a necessidade do DNSSEC validar um serviço de resolução de nomes em execução no 127.0.0.1:53”, diz a proposta. “Há várias razões para se ter tal serviço de resolução, mas o mais importante é a segurança e a usabilidade. Segurança e proteção da privacidade do usuário torna-se extremamente importante frente à situação dos governos e provedores de serviços que bisbilhotam mais e mais nossas vidas.”
A segurança do usuário é de suma importância para os desenvolvedores do Fedora
À medida que as pessoas instalam o Fedora em seus dispositivos móveis e portáteis, como notebooks, a segurança deve ser importante quando conectado a várias redes públicas, que fornecem automaticamente configurações de DNS que não são confiáveis para a validação do DNSSEC. Por isso, o Fedora precisa de um serviço local de resolução de nomes.
O serviço de DNS local padrão para resolução de nomes poderá ser utilizado para estabelecer a confiança entre o computador onde o Fedora está instalado e a respectiva rede pública que oferece os servidores DNS não confiáveis, que maioria dos casos pode levar o usuário a uma frustrante experiência.
Com informações de Softpedia e O Analista.
VALVE recomenda sistemas SteamOS ou Ubuntu 12.04 LTS para Steam Link
28 de Junho de 2015, 20:43
Parece que o Ubuntu continua sendo usado para comparação.
Valve revelou alguns detalhes sobre o próximo Steam Link, o pequeno dispositivo que permitirá que você desfrute de seus jogos de computador favoritos na TV com a auxilio da tecnologia de streaming. E, aparentemente, uma das recomendações é possuir ao menos o Ubuntu 12.04 LTS.
Alguns dos usuários Linux da Steam devem lembrar que a Valve e a Canonical tinham uma parceria muito próxima quando esse projeto foi anunciado pela primeira vez, mas em seguinda a Valve escolheu o Debian para o SteamOS, e as coisas esfriaram um pouco. Steam não é mais anunciado como “disponível no Ubuntu Software Center”, embora a Valve forneça um arquivo de instalação em DEB.
A julgar pelas informações que temos, a Valve continua usando o Ubuntu como uma “fita métrica” para a comunidade Linux, e isso é bastante óbvio já que empresa recomenda uma boa experiência com Steam Link. Provavelmente é seguro presumir que outras distribuições Linux irão funcionar, mas não há nenhuma menção quanto a isso.
Alguns requisitos de hardware e software da Steam Link já estão públicos
O princípio por trás de funcionamento da Steam Link não é segredo, mas agora os usuários podem ver exatamente o que a Valve possui como requisitos mínimos embora apenas os requisitos de hardware tenham sido revelados. Ainda continua um mistério sobre qual o processador e a memória serão utilizados.
“Um computador central executando SteamOS, ou Steam Big Picture Mode no Windows Vista ou posterior, Mac OS X 10,10 (Yosemite) ou superior, Linux Ubuntu 12.04 ou mais novo”, diz o anúncio oficial.
O próprio dispositivo será capaz de resolução de saída de 1080p em 60FPS, terá 100 Mbit/s Fast Ethernet e Wireless 2×2 802.11ac (MIMO) com capacidade de rede, três portas USB 2.0, Bluetooth 4.0 e saída HDMI. Pelo que a Valve tem compartilhado até agora, os controladores como o de Xbox One, Xbox 360 e Logitech Wireless Gamepad F710 são suportados.
Com informações de Softpedia e SempreUpdate.
TOR: Pesquisadores testam nós de saída e descobrem falta de confiabilidade em operadores
28 de Junho de 2015, 20:34
Enquanto a rede de anonimato Tor esconde com relativo sucesso, a localização e as atividades que um usuário desempenha na Internet, esses devem estar cientes que a criptografia que o navegador Tor oferece não é end-to-end e portanto, todo o tráfego pode ser visto pelos chamados “nós de saída” operacionais. Uma vez que seja impossível para o projeto Tor verificar se todos aqueles que operam nós de saída são operadores realmente éticos, que tem interesse apenas em ajudar as pessoas ao redor do mundo, as sinalizações de nós de saída classificadas como “bad”, acontecem apenas em situações em que eles são, obviamente, mal configurados ou alguém – normalmente um pesquisador – descobre que eles estão tentando manipular o tráfego. Sempre lembrando que Tor é um software de segurança de código aberto muito famoso pela sua utilização para acesso anônimo, acessar serviços ocultos (navegar na chamada Deep Web ou Darknet) porém, mais comumente, usado como uma maneira de acessar a Internet regularmente de forma anônima, e de uma forma que pode apresentar uma certa resistência à vigilância.
Testes com “Nós de Saída” e Utilização de Honeypot
Em meio a isso, um pesquisador de segurança que atende pelo nome de Chloe, recentemente testou cerca de 1.400 nós de saída do Tor através da criação de um site de phishing Bitcoin-theme, através de uma página de login, além de utilizar combinações de usuário/senha únicos, a cada vez que ela (ele?) utiliza nós diferentes para visitar e fazer login no referido site. Isto permitiu a Chloe, verificar se alguém que estivesse operando um nó de saída do Tor, tentaria usar as credenciais de login que eles recolhem a partir de tráfego não encriptado. Em pouco mais de um mês, cerca de 1.400 nós foram testados mais de 95 vezes. Nesse período, houve 12 tentativas de acesso sem sucesso (com uso de senha errada), e 16 tentativas bem-sucedidas utilizando as senhas únicas (e essas tentativas não foram feitas por Chloe). As senhas usadas permitiram que Chloe identificasse qual os nós de saída que, obviamente, os operadores haviam utilizado, com referência a um sniffing de tráfego que passa por ele, e assim, comunicá-los ao projeto Tor. Ainda assim, alguns desses nós ainda estão ativos até hoje e não tem sido marcados como “bad”. Finalmente, é bom salientar que também é possível que haja mais operadores espiões do que o evidenciado – talvez alguns estivessem apenas interessados em acessar esse site de phishing particular.
Qualquer um pode criar um nó de saída e devido a ele estar no lugar onde o tráfego é decriptografado, qualquer pessoa que executa um nó de saída pode ler o tráfego que passa por ele. Nós de saída considerados “bad” são inteiramente possíveis, então, vem uma má notícia. Se eles existem, como é que podem ser encontrados? Exatamente por isso que Chloe criou um site falso, com uma lista completa dos nós de saída e, em seguida, conectou ao site honeypot várias vezes através da rede Tor, usando um nó de saída diferente e uma senha única a cada vez. De forma primordial, os nomes de usuário e senhas foram enviadas através de HTTP ao invés de HTTPS criptografado para quando as camadas criptográficas do Tor forem descobertas, eles ficassem visíveis no fluxo de tráfego.
Senhas, Espionagem e Resultados
As senhas não foram armazenadas em qualquer lugar e eram demasiadamente difíceis de adivinhar; se elas foram realmente roubadas, isso foi feito por alguém bisbilhotando em modo “on-the-wire”. Além do mais, a percentagem de testes que experimentou um log extra durante essas tentativas foi muito pequena (cerca de 0,015%) e é possível que os resultados sejam irrelevantes devido a outros fatores tais como espionagem ou mesmo a realização de testes para a detecção de erros. Dessa forma, podemos concluir que a pesquisa de Chloe é interessante, mas não é exatamente uma arma perigosa. Em face disso, é importante lembrar que em 2007, houve a configuração de apenas cinco nós de saída do Tor e eles foram usados para interceptar milhares de e-mails privados, mensagens instantâneas e credenciais de contas de e-mail. Dentre as vítimas dessa investida, estavam as embaixadas da Austrália, Japão, Irã, Índia e Rússia, o Ministério das Relações Exteriores do Irã, o Ministério da Defesa da Índia e o Gabinete de Ligação do Dalai Lama. Dessa maneira, foi concluído que as pessoas estavam usando o Tor, na crença equivocada de que era uma ferramenta de criptografia “end-to-end”.
Com informações de Net-Security e Under-Linux.
Red Hat faz parceria com a Samsung
28 de Junho de 2015, 20:30
Quando você ouve o nome Red Hat, geralmente pensa em um sistema operacional com o mesmo nome, como o Red Hat Enteprise Linux. Esta é a distribuição Linux comercial mais bem sucedida atualmente, mas a Red Hat faz muito mais do que apenas uma distro. É uma grande empresa de bilhões de dólares, oferecendo serviços de nuvem, servidores, manutenção, dentre outros. A telefonia móvel não era um desses serviços, pelo menos até o momento.
Infelizmente para os usuários domésticos, a nova parceria da Red Hat com a Samsung não significará muita coisa. Seu objetivo é de entregar a próxima geração de soluções para a empresa cliente, estamos falando sobre a integração de aplicativos corporativos para várias organizações.
A Red Hat não é uma empresa que atua superficialmente nos segmentos. Ela constitui a espinha dorsal de diversas empresas e agora faz o mesmo com sua Plataforma de Aplicação Móvel Red Hat, que irá gerir coisas como gerenciamento de recursos humanos, atendimento ao cliente, catálogo de estoque, preços, faturamento, e assim por diante. É na maior parte das coisas que você nunca vê acontecendo, mas que é parte integrante de um negócio.
Quando a Red Hat se engaja em qualquer tipo de negócio ou empresa, geralmente não costuma falhar, então é muito provável que preste serviços importantes à Samsung por um bom tempo.
“A Red Hat traz flexibilidade, a credibilidade da comunidade, e o suporte de classe mundial para o desenvolvimento de aplicativos e implantações no local, através de ambientes de nuvem privada, pública e híbrida. Com base na sua posição de liderança em produtos de consumo, a Samsung Business Services, parte da Samsung Electronics America, Inc, oferece um portfólio diversificado de tecnologias orientadas para o negócio de smartphones à tecnologias vestíveis (wearables), tablets, monitores digitais, TVs e impressoras”, diz o anúncio oficial.
Pelas que as duas empresas têm dito até agora, apenas os EUA serão cobertos por esta parceria, pelo menos até o momento.
Com informações de Softpedia e O Analista.
