Método de criptografia usado mundialmente apresenta falha, segundo pesquisa

Reprodução

Examinando bancos de dados de cerca de 7,1 milhões de chaves de segurança, matemáticos e criptógrafos americanos e europeus descobriram umagrande falha em um sistema de criptografiausado no mundo todo em sites de compras, bancos, e-mails e diversos outros serviços, e que deveria ser extremamente seguro e privado.

O problema é que o sistema pede para os usuários inserirem o resultado de uma conta matemática envolvendo 2 grandes números, usados para gerar a chave e mantidos em segredo. Porém, é essencial que esses 2 grandes números sejam aleatórios.

E foi aí que os pesquisadores descobriram a falha: uma pequena, mas significante porcentagem desses números não é gerada aleatoriamente, comprometendo a segurança. Ao todo, os pesquisadores acharam 27 mil chaves que não oferecem segurança, segundo o jornal americano The New York Times.

"Isso traz um aviso indesejável que mostra a dificuldade da geração de chaves no mundo real. Algumas pessoas acham que 99,8% de segurança é algo bom", diz James P. Hughes, um analista de criptopgrafia do Vale do Silício e que trabalho na pesquisa, explicando que os 0,2% podem representar grandes riscos.

Embora as falhas possam afetar as transições individuais dos usuários, não há nada a ser feito por eles. A mudança tem que vir dos próprios sites, que devem mudar as medidas de segurança em seus sistemas. Para resolverem o problema, as empresas têm de coletar as chaves públicas e remover as informações da internet, tomando atitudes para que não haja vazamento ou roubo desses dados.

Lojas físicas do Google, Microsoft e Amazon: o que elas venderão?

Reprodução

Google, Microsoft e Amazonplanejam abrir redes de lojas físicas por todo o mundo. Mas, o que essas empresas devem vender em seus espaços físicos? Para responder a essa pergunta, o site Fast Company fez algumas análises que apontam onde as companhias devem se focar para terem sucesso em suas lojas.

Austin Carr, autor da análise, pega o exemplo da Apple, que ganha bilhões de dólares anualmente em vendas. Se levarmos em conta que a empresa produz hardwares, faz muito sentido ter lojas físicas para a venda de seus produtos. Mas, ela não vende apenas isso. Carr explica que Steve Jobs e Ron Johnson projetaram as lojas para ofertarem um "estilo de vida".

O analista diz ainda que os clientes não entram nas lojas somente por causa dos produtos. Eles vão às Apple Stores para ouvirem música, assistirem filmes e outras funções nos aparelhos expostos. De quebra, a empresa oferta seus iPods, iPhones e iPads. Mais ainda: vendem também softwares como o OS X, iTunes e iCloud, acessórios e experiências, tudo com o design das lojas e envolto na marca da empresa. Essa é a resposta para a pergunta do começo do texto: elas podem vender "experiências", ou "estilo de vida".

O Google, por exemplo, pode muito bem vender smartphones e tablets com o seu Android ou até Chromebooks rodando o Chrome OS. Mas ela não deixará de ser uma companhia da web, explica Austin. Então, o ponto-chave para a empresa é vender sua marca, envolvendo o cliente na atmosfera da empresa e o fazendo entrar em uma experiência que o faça voltar a uma loja física do Google.

Já para a Microsoft, o caso é o mesmo. A empresa pode usar seu espaço físico para vender produtos do Office ou Windows. Mas, também, Austin sugere que a loja seja usada para mostrar aos clientes como é a experiência de se usar o Windows 7 (ou o futuro 8), o Mango, o Kinect, Xbox 360 e seus diversos outros produtos.

O mesmo vale para a Amazon. E, ironicamente, uma crítica feita por William Lynch, CEO da Barnes & Noble, serve como uma espécie de conselho: "Se você comprar um Kindle Fire [da Amazon], tiver uma pergunta e quiser conversar com um expert em pessoa buscando por ajuda, para onde você vai?. Talvez a resposta seja a loja física", conclui.

Google vai transmitir carnaval de Salvador pelo Google+, Orkut e YouTube

Reprodução

Uma das festas mais populares do país está chegando. Sim, é o carnaval, que reúne milhões de pessoas em vários estados brasileiros para festejar o evento. Se você não vai desfilar em uma escola de samba, ou participar das famosas "marchinhas", a solução pode estar no Google: a empresa anunciou na última segunda-feira (13/02) que vai realizar a cobertura completa do carnaval de Salvador através do Google+, YouTube e Orkut.

Além de transmitir ao vivo as festas pelas ruas da cidade, a companhia vai permitir o acesso a gravações dos shows de todas as bandas que se apresentarem pela capital baiana, como também um aplicativo baseado noGoogle Maps que vai mostrar a localização exata de todos os trios elétricos. Quem estiver comemorando de perto em Salvador, um serviço para Android e iOS vai oferecer informações sobre os horários de blocos e permitir check-ins.

Por fim, será possível interagir com diversos artistas do evento pelas redes sociais Google+ e Orkut, e até enviar perguntas aos grupos musicais nos intervalos dos shows de bandas como Asa de Águia, Harmonia do Samba, Banda Eva e muitas outras. E mais: você poderá conversar com pessoas espalhadas por todo o mundo, que também vão acompanhar a transmissão do carnaval de Salvador, ao vivo.

"Todos os anos, as cidades brasileiras competem para ser o principal destino do país durante o Carnaval. Este ano, estamos trazendo as paisagens, sons e a energia do Carnaval brasileiro direto das ruas de Salvador", afirmou a empresa em seu comunicado.

As transmissões começam nesta quinta-feira (16/02) e vão até a terça-feira (21/02), mas alguns conteúdos já estão disponíveis no canal oficial do YouTube, na comunidade do Orkut e no site +AoVivo do Google+.

CEO do Google é o jovem executivo mais poderoso do mundo

Divulgação

Larry Page, atual CEO do Google, é o executivo com menos de 40 anos mais poderoso do mundo, de acordo com lista divulgada pela revista Forbes.

Page, que assumiu o posto de principal comandante da empresa em abril de 2011, após Eric Schmidt deixar o cargo, administra uma empresa com valor de mercado de US$ 199 bilhões com apenas 38 anos.

Ele ajudou a criar o serviço de buscas em 1998 junto com Sergey Brin. Os dois comandaram juntos a empresa até 2001, quando contrataram Eric Schmidt para o cargo. Em 2011, Schmidt deixou a posição de CEO da empresa e Page assumiu em seu lugar.

O segundo colocado da lista é Andrew Mason, do site de compras coletivas Groupon. Aos 31 anos, ele comanda uma empresa com valor de mercado de US$ 12 bilhões. Em terceiro aparece Kevin Plank, da marca de roupas esportivas Under Armour. Ele tem 39 anos e sua empresa vale US$ 4,27 bilhões.

Para a elaboração da lista, a Forbes não considerou o fundador do Facebook, Mark Zuckerberg, de 27 anos. A justificativa da revista para não incluir Zuckerberg é que a sua empresa não vende ações na bolsa de valores - o que vai mudar a partir de maio, com a oferta pública inicial de ações do Facebook, que deve garantir um valor de mercado de até US$ 100 bilhões para a rede social.

Executivo do MegaUpload consegue liberdade condicional

Megaupload (Divulgação)

Um dos co-fundadores do MegaUpload, Mathias Ortmann, ganhou liberdade condicional em um tribunal na Nova Zelândia nesta quarta-feira (15/02).

Ao todo, foram impostas 17 condições para a liberdade de Ortmann, que não poderá usar a internet durante a sua condicional.

Junto com outros três executivos do MegaUpload, Ortmann foi preso no dia 20 de janeiro em uma mansão alugada na Nova Zelândia e é o terceiro a conseguir liberdade condicional. Ele viverá junto com Finn Batato e Bram van der Kolk enquanto espera a audiência sobre a sua extradição para os Estados Unidos, que deve ocorrer ainda em fevereiro.

O outro executivo que ainda está preso é Kim Schmitz, ou Kim DotCom, o fundador do serviço de downloads, que teve o pedido de condicional negado pela justiça neozelandeza.

Nos Estados Unidos, sete executivos do MegaUpload serão julgados acusados de contribuir para a pirataria virtual com seu serviço de downloads, além de crime organizado e lavagem de dinheiro. Eles são acusados de causar mais de US$ 500 milhões em prejuízos à indústria do entretenimento com o site de compartilhamento de arquivos.

Tim Cook afirma que Apple se preocupa com todos os trabalhadores, inclusive os da Foxconn

Reprodução

A Foxconn é uma das principais parceiras da Applepara a fabricação dos seus dispositivos e frequentemente é acusada de não oferecer condições dignas de trabalho para seus funcionários. Na semana passada, a empresa foi até alvo de um protesto virtual por não tratar bem seus trabalhadores, quando seu site foi invadido por um grupo de crackers.

A Apple, que sempre manteve silêncio a respeito das questões envolvendo a parceira comercial, finalmente se posicionou sobre o caso. Ou, pelo menos, o CEO da norte-americana, Tim Cook, deu declarações sobre os problemas da Foxconn, segundo o AllThingsD.

Em uma conferência para o banco de investimentos Goldman Sachs Technology, Cook afirmou que a Apple se preocupa muito com as condições de trabalho. "Nós nos importamos com todos os trabalhadores. Eu gastei muito tempo em fábricas pessoalmente, e não apenas como um executivo. Trabalhei em uma fábrica de papel e em uma de alumínio na Virgínia. Então estamos bastante ligados ao processo de produção e entendemos esses problemas de fabricação. Acreditamos que todos os trabalhadores têm o direito de estar em um ambiente justo e seguro... e os parceiros da Apple precisam aceitar isso para negociar conosco", explicou.

Para Cook, nenhuma empresa na indústria da tecnologia se preocupa mais com as condições de trabalho do que a Apple. "Estamos constanemente observando a cadeia de produção, examinando problemas e consertando-os. Sou incrivelmente orgulhoso do trabalho de nossas equipes nesta área. Elas se focam nos problemas mais complicados e ficam por lá até tudo estar resolvido", continuou.

Por mais que Tim Cook defenda as condições de trabalho, a Foxconn é frequentemente acusada de não respeitá-las. As fábricas da empresa na China já sofreram com uma série de suicídios de funcionários e são acusadas de manter trabalhadores em regime de escravidão.

Rumor: iPad 3 pode ter modelo com tela menor

Reprodução

Uma das novidades da nova linha de iPads, que deve ser anunciada em março, é a presença de um tablet com uma tela menor do que a de 9,7 polegadas do dispositivo da Apple.

De acordo com o Wall Street Journal, fontes ligadas a fornecedores da empresa confirmam que a Apple procurou fabricantes de telas para desenvolverem um iPad 3 com uma tela menor e a mesma resolução de 1024x768 do iPad 2.

O novo dispositivo, no modelo com a tela similar à do iPad 2, pode ter uma resolução maior, e um modelo menor sem ser em alta definição serviria para aumentar o portfolio da empresa no mercado de tablets e competir com concorrentes como Samsung e Amazon, que possuem aparelhos com telas de cerca de 7 polegadas e com preços menores do que o iPad 2.

Não é de hoje que a Apple flerta com tablets com telas menores. Steve Jobs, porém, nunca foi muito fã da ideia. Em outubro de 2010, ele afirmou que 9,7 polegadas era o tamanho ideal para um tablet. "É o tamanho mínimo para criar bons aplicativos para tablets", disse o co-fundador da empresa na época.

O anúncio do novo tablet da Apple pode ser feito no dia 7 de março. Rumores aparecem a todo momento com informações diferentes. O tablet pode, além de ter um modelo com tela menor, ser equipado com o processador quad-core A6, acompanhar o assistente pessoal Siri, ter conexão 4G LTE e ser mais fino do que o iPad 2.

Europa e Estados Unidos aprovam compra da Motorola Mobility pelo Google

Reprodução

A União Europeia e os Estados Unidos já aprovaram a aquisição daMotorola Mobility peloGoogle e o negócio entre as empresas está bem próximo de ser finalizado. Segundo oUbergizmo, agora resta apenas a aprovação na China, Taiwan e Israel.

A Comissão Europeia deu o aval para a transação na segunda-feira (13/02) e, na terça-feira (14/02), foi a vez do Departamento de Justiça dos Estados Unidos aprovar o negócio. "Após uma revisão da transação proposta, a Divisão Antitruste determinou que a aquisição não deve diminuir a competição", disse o órgão antitruste dos EUA.

Anunciada em agosto, a compra da divisão de tablets e smartphones daMotorola pelo Google vai custar US$ 12,5 bilhões para a gigante das buscas, que, com a aquisição, quer ampliar o portfolio de patentes para fortalecer o sistema móvel Android no mercado.

Os três países que ainda precisam autorizar a aquisição não têm prazo para definir uma posição sobre o negócio.

Os desafios no combate às novas tecnologias de malware

Reprodução

Paulo Braga*

Até bem pouco tempo atrás, o combate ao software malicioso (malware) se limitava ao controle de vírus, worms, além de alguns tipos de spywares que buscavam entender o comportamento de navegação dos usuários na internet. O principal desafio, até então, era entender a diferença entre vírus e worm, lembrando que o vírus normalmente está associado a uma ação do usuário e depende de um vetor externo de propagação (dentro de um arquivo executável, um arquivo DOC, etc). Já o worm possui a característica de se propagar sozinho pela rede, normalmente através da exploração de uma vulnerabilidade, seja no servidor ou em um equipamento de usuário.

Para que seja possível o bloqueio deste tipo de artefato malicioso é necessária existência de uma assinatura (em antivírus ou regras para os IPS de nova geração) que permita a identificação e bloqueio, de tal forma a impedir a contaminação de um servidor. Aliás, esta é uma das grandes mudanças de paradigma que enfrentamos hoje em dia, onde o servidor não é mais o alvo favorito destes tipos de praga virtual. O que acontece com frequência cada vez maior é a exploração da máquina do usuário, o que chamamos de"client side attacks". Nesse tipo de ataque, o importante é explorar vulnerabilidades existentes no browser do usuário (Internet Explorer, Firefox, etc) ou em aplicações que são instaladas nestes equipamentos (especialmente Flash Player, Adobe Acrobat Reader).

As empresas normalmente se preocupam muito com a aplicação de patches de segurança nos servidores, além da utilização de ferramentas de proteção do perímetro, como Firewall, IPS, Filtro de Conteúdo etc, porém muito pouco é feito para manter atualizados os equipamentos dos usuários. A utilização das ferramentas de segurança aliada a uma correta política de segurança, monitoração constante do ambiente, treinamento da equipe quanto às técnicas de ataque e defesa (sim, isso é fundamental), certamente ajuda muito no combate às diversas pragas virtuais.

É muito importante nunca esquecer os equipamentos que permitem mobilidade (laptops, celulares, tablets) e que, ao mesmo tempo, ampliam o conceito que temos sobre perímetro externo. Uma vez que esses dispositivos móveis estejam fora da rede corporativa, todas as defesas existentes na rede da empresa desaparecem e eles passam a vivenciar um risco bem maior. Exemplos não faltam: equipamentos utilizando redes wi-fi em locais como aeroportos, redes de hotéis, sem contar quando deixamos o filho instalar algum jogo ou baixar algo em redes de Torrent.

Como se já não bastasse a salada de siglas que somos obrigados a memorizar (vírus, worm, spyware, trojan, phishing, etc), agora, ainda temos o "tal" de APT (Advanced Persistent Threat). Um nome novo para técnicas antigas.

A grande diferença do APT em relação ao que já existia é que: ao invés de um email genérico sobre viagra - ou sobre aquele príncipe africano - que precisa da SUA ajuda para retirar a fortuna dele do país, no caso de um APT, temos a utilização de um Spear Phishing. Spear Phishing é um ataque direcionado para o funcionário/usuário que trabalha na empresa-alvo. Uma vez que esse funcionário execute o arquivo ou de alguma maneira contamine a máquina, esse equipamento e a rede da empresa passam a ser controlados remotamente.

Definitivamente, não é difícil elaborar um ataque direcionado. Basta uma procura no Google por @suaempresa.com.br para verificar a quantidade de e-mails que são enviados para grupos de discussão,etc. Alguns anos atrás, em um teste de invasão realizado em um determinado cliente, foi possível identificar um usuário da rede que participava de um grupo de discussão sobre Cristianismo. Não preciso nem dizer qual foi a efetividade de enviar para este usuário um link para fazer download de uma novíssima versão eletrônica da bíblia (devidamente preparado para controle remoto do equipamento da vítima, é claro). Ou seja, basta utilizarmos algum assunto que atraia o interesse deste usuário (funcionário). As chances são quase de 100% de que ele clique ou execute algo.

Para resumir, não existe uma fórmula mágica que permita evitar todos os ataques mencionados, mas certamente podemos elencar algumas recomendações básicas:

1. Monitore, monitore e monitore. Se possível, também monitore. Uma equipe bem treinada e que tenha o ferramental certo de coleta e correlação de logs, certamente poderá identificar anomalias de tráfego na rede, e que podem representar a existência de um APT;
2. Tenha as ferramentas certas: SIEM, IPS, Firewall, Filtro de Conteúdo e AntiSPAM, Antivírus (sim, são úteis e importantes também), AntiMalware (especialmente aquelas que entendem comportamento anômalo);
3. Tenha uma política rígida de gestão de vulnerabilidades. É fundamental manter o ambiente atualizado. Sim, sabemos que existem ataques que exploram as vulnerabilidades 0-day, mas é possível assegurar que representam um universo bem pequeno dos ataques. Ainda existem máquinas que são contaminadas na Internet por culpa do usuário ou da empresa que não aplicaram um simples patch;
4. Equipe treinada é equipe motivada. O assunto Segurança da Informação é bastante abrangente e estimulante. O outro lado é altamente motivado e troca informações o tempo todo. Se sua empresa não pode contar com uma equipe preparada para tal, contrate uma empresa que possa e mantenha um SLA rígido;
5. Nunca negligencie o Endpoint. Antivírus é importante mas não pode ser a única camada de defesa em um desktop/laptop/tablet. Cada vez mais os ataques se utilizam de técnicas que mascaram sua presença e ferramentas que são baseadas somente em assinaturas não podem identificá-las.

*Paulo Braga é engenheiro de segurança da Sourcefire e possui mais de 20 anos de experiência em tecnologia da informação, sendo 12 anos dedicados ao tema Segurança da Informação.