Segurança

YubiKey: Usando uma chave física para liberar acesso a ambientes virtuais

11

Faz algum tempo que segurança digital deixou de ser uma preocupação de especialistas e grandes empresas para se tornar algo presente no dia a dia de qualquer pessoa, reflexo da crescente digitalização das nossas vidas. Nessa, as fraquezas das senhas em texto foram expostas e, não por acaso, impulsionou a popularização de soluções de segurança mais robustas, ainda que complementares. Vamos falar de uma das melhores: as chaves de segurança físicas.

(mais…)

36

“Criminosos de SP agora roubam celulares para limpar contas bancárias das vítimas”, diz o título desta notícia na Folha de S.Paulo. O primeiro personagem é alguém que tinha um iPhone 11 protegido pelo Face ID. Mesmo assim, logo após o furto sua conta bancária já tinha um rombo de R$ 5 mil.

A própria reportagem aponta as possíveis brechas que os criminosos exploram para invadir sistemas que, a princípio, são seguros contra esse tipo de ataque. Segundo um especialista consultado, os casos mais comuns de fraudes são realizados por meio de aparelhos celulares com sistemas operacionais desatualizados ou levados ainda abertos, ou seja, desbloqueados, com o Waze aberto, por exemplo.

No nosso grupo do Telegram (participe!), outra hipótese foi aventada: a recuperação de senhas a partir de códigos enviados por SMS. Nesse caso, bastaria colocar o chip em outro celular para escapar das travas do aparelho roubado/furtado.

Alguma outra ideia de como seria possível invadir esses celulares e contas bancárias?

Print do 1Password para Linux no ambiente Gnome.
Imagem: 1Password/Divulgação.

Não é todo dia que um app popular comercial chega ao Linux. Nesta terça (18), foi a vez do gerenciador de senhas 1Password — segundo os desenvolvedores, uma versão para Linux era o pedido mais frequente dos usuários. E parece que a demora valeu a pena: é perceptível a atenção aos detalhes, da opção por criar um app nativo às integrações com ambientes e recursos do Linux. Via 1Password (em inglês).

A engenhosidade dos golpes de WhatsApp desenvolvidos no Brasil sempre impressiona. Agora, desenvolveram um método para “clonar” contas protegidas com a confirmação em duas etapas (2FA). A sacada dos estelionatários, explica Fabio Assolini da Kaspersky, é induzir a vítima a clicar em um link enviado pelo WhatsApp ao e-mail de “esqueci a senha” que, quando clicado, desativa a 2FA. Veja o “roteiro” completo no perfil do Fabio. Via @assolini/Twitter.

7

“O dia de hoje marca o início do fim dos hidrantes, faixas de pedestres e semáforos na internet.” Com esta frase bem humorada, a CloudFlare anunciou sua investida para acabar com o CAPTCHA, aqueles desafios visuais que muitos sites exibem para evitar tráfego artificial por robôs.

A solução encontrada pela CloudFlare foi usar chaves confiáveis físicas, como as YubiKeys. Em vez de clicar nos quadrantes de uma imagem em que há semáforos, basta inserir a chave numa porta USB. Se a sua chave tiver suporte a NFC, encostá-la no celular também funciona.

A CloudFlare criou um site para demonstrar a funcionalidade. Testei com uma YubiKey 4 e funcionou muito bem.

A CloudFlare estima que a humanidade perde o equivalente a 500 anos por dia resolvendo os CAPTCHAS visuais de empresas como Google e hCaptcha. Apesar do preço proibitivo das YubiKey e similares por aqui (~R$ 500), tomara que a moda pegue. Via CloudFlare (em inglês).

10

Moxie Marlinspike, fundador do Signal e notório hacker, teve acesso aos softwares da Cellebrite, empresa israelense especializada em desbloquear celulares, incluindo iPhones — eles foram usados, por exemplo, para recuperar as conversas apagadas dos celulares da mãe e da empregada doméstica no caso do assassinato do menino Henry, no Rio, em março.

No relato, Moxie comenta que o software da Cellebrite está recheado de vulnerabilidades, e que uma delas, se explorada, é capaz de comprometer a integridade de todas as extrações, já feitas e futuras, a partir do software. Além disso, usa pedaços de código da Apple, provavelmente sem autorização. Em nota “totalmente não relacionada”, ele avisou que o Signal gerará arquivos periodicamente cuja função não tem a ver nem interfere no uso do app, mas que são bonitos, “e estética é importante em software”. Via Signal (em inglês).

Os pesquisadores Luis Márquez Carpintero e Ernesto Canales Pereña encontraram algumas falhas no WhatsApp que, exploradas em conjunto, podem levar ao bloqueio permanente de uma conta no serviço, mesmo com a confirmação em duas etapas ativada.

Resumidamente, eles tentam ativar um número em outro celular repetidas vezes, errando de propósito o código de ativação, até bloquear a geração de novos códigos por 12 horas. Depois, enviam um e-mail para support@whatsapp.com pedindo para que a conta da vítima seja desativada (e, surpreendentemente, ela é; é um sistema automatizado que não verifica a titularidade da conta requisitada). Ao repetir o processo pela terceira vez, em vez de 12 horas, o bloqueio à ativação passa a ser de -1, ou seja, infinito.

O ataque não concede acesso à conta da vítima, mas pode inutilizar sua conta no WhatsApp. À Forbes, que relatou o esquema, o WhatsApp informou que, por precaução, recomenda aos usuários registrarem um e-mail junto à confirmação em duas etapas, porque isso “ajuda a nossa equipe de serviço ao usuário auxiliar pessoas que se depararem com esse problema improvável”. Via Forbes.

3

Depois de Facebook e LinkedIn, agora foi a vez do Clubhouse ter dados vazados. A técnica foi a mesma: raspagem de dados mediante uma API pública sem muito controle. No caso do Clubhouse, foram 1,3 milhão de registros, cada um com alguns dados públicos como nome, foto, data da criação da conta e número de seguidores, que estão sendo distribuídos gratuitamente em um fórum na internet.

O Clubhouse protestou no Twitter, dizendo que os dados não vieram de um hacking ou vazamento. O caso é menos problemático que o do Facebook, pela escala e pelos dados obtidos, e o debate é válido: abusar de uma API para consolidar dados públicos em bancos de dados acessíveis é o mesmo ou equiparável a hackear? Via CyberNews (em inglês).

2

A reação do Facebook ao vazamento de +500 milhões de números de telefone de usuários e outros dados pessoais da rede social tem sido fascinante.

“É importante entender que os agentes mal-intencionados obtiveram esses dados não por meio de hacking em nossos sistemas, mas através da raspagem desses dados em nossa plataforma antes de setembro de 2019”, diz a empresa num post sob o título “Entenda os fatos por trás da notícia sobre dados do Facebook” (qual notícia?), como se fizesse alguma diferença o “modus operandi” ou a data da pilhagem de dados.

Fato é que os dados pessoais de meio bilhão de pessoas, que estavam sob a guarda do Facebook, agora estão sendo distribuídos de graça no esgoto da internet.

Alguns parágrafos abaixo, o Facebook diz que “Quando soubemos que esse recurso estava sendo usado de forma indevida em 2019, fizemos alterações ao importador de contatos”. Ora, se não foi hacking, não havia falha, e se não havia falha, por que foram feitas “alterações ao importador de contatos”? Parece até que o Facebook está adotando o duplipensar como estratégia de comunicação. Via Facebook.

5

Um banco de dados com registros de 533 milhões de usuários do Facebook foram disponibilizados gratuitamente na internet. O banco contém números de telefone, IDs do Facebook, nomes completos, localizações, aniversários, biografias, status de relacionamento, data da criação do perfil e, em alguns casos, endereços de e-mail, e segundo a Hudson Rock, empresa de ciberinteligência que descobriu o vazamento, provavelmente foi criado explorando uma falha do início de 2020 no Facebook que permitia capturar telefones de qualquer usuário.

O Business Insider fez alguns testes preliminares, com sucesso, para atestar a legitimidade dos dados vazados.

Alon Gal, co-fundador e CTO da Hudson Rock, especificou de quais países são os dados. No Brasil, são 8,06 milhões de perfis afetados. Via Business Insider (em inglês), @UnderTheBreach/Twitter (em inglês).

6

Em breve, o Dropbox Password será disponibilizado para usuários da versão gratuita do Dropbox. Com limitações: apenas 50 senhas poderão ser salvas e a sincronia valerá para até três dispositivos. Ainda assim, é mais uma alternativa sem custo ao LastPass. Via Dropbox (em inglês).

1

Existe um buraco na criptografia de ponta a ponta do WhatsApp: os backups na nuvem. Tanto no Android (Google Drive) quanto no iOS (iCloud), os backups na nuvem não são criptografados de ponta a ponta, o que significa que alguém que obtenha acesso a esses espaços pode ler as mensagens salvas.

Isso parece prestes a mudar. O WABetaInfo encontrou vestígios em uma versão de testes do WhatsApp de uma nova opção para criptografar backups do aplicativo. Ainda não se sabe quando o recurso será liberado. Via @WABetaInfo/Twitter.

A loja de apps para Android de um mundo ideal existe

14

Um dos grandes diferenciais do Android em relação ao iOS que ainda resistem à convergência dos dois sistemas, que a cada nova versão ficam cada vez mais parecidos, é o suporte a lojas de aplicativos alternativas. Se no iOS você só pode baixar apps da App Store, no Android é possível instalar lojas alternativas. Não é simples habilitá-las e a hegemonia da Play Store, a oficial do Google que já vem pré-instalada, deixa pouco espaço para rivais, mas a possibilidade existe e viabiliza o surgimento de pequenas pérolas, como o F-Droid.

(mais…)

18

O LastPass, um popular serviço de gerenciamento de senhas, anunciou mudanças nas regras para usuários gratuitos. A partir de 16 de março, ele terá que escolher um tipo de dispositivo, computadores ou móveis (celulares e tablets), para guardar e acessar suas senhas. Antes, usuários gratuitos podiam usar o serviço em todos os seus dispositivos, sem limitações. Outra mudança é que os usuários não pagantes perderão o suporte por e-mail. A versão paga do LastPass custa US$ 3/mês (no plano anual). Via LastPass.

5

A PSafe encontrou outro banco de dados enorme de brasileiros sendo comercializado na “dark web”. Desta vez, são pouco mais de 100 milhões de cadastros de celulares, das operadoras Claro e Vivo, com dados detalhados incluindo nome, telefone, endereço e o histórico de relacionamento com a operadora. Para comprovar a veracidade, o cibercriminoso enviou dados do presidente Jair Bolsonaro (sem partido) e da apresentadora Fátima Bernardes. A PSafe enviará um relatório detalhado da descoberta à Autoridade Nacional de Proteção de Dados (ANPD). Via Neofeed.