Eu não acredito que os fins justificam os meios. Quase nunca é o caso e, com frequência, isso serve de desculpa para o cometimento de grandes barbaridades. Não chega a tanto, mas guardadas as devidas proporções, o Dropbox abusou da confiança dos usuários que trabalham com macOS por um deslize quase bobo. (mais…)
Não existe, ainda, sistema de segurança na Internet à prova de falhas. As empresas adotam boas práticas para mitigar os possíveis estragos, mas esses acontecem mesmo assim. Isso não significa, porém, que as técnicas padrões da indústria sejam dispensáveis — é o caso de “ruim com elas, pior sem”. A Netflix, maior serviço de streaming de filmes e séries do mundo, abdica de uma importante: o e-mail de ativação para contas recém-criadas. (mais…)
Atualizado em 1º/1/2026.
Você provavelmente dorme até mais tarde e come mais que o normal (além de ser feriado nacional), mas, fora isso, 1º de janeiro é um dia como qualquer outro. Para muita gente, porém, o novo ano chega carregado de simbolismos.
Acreditamos em recomeços. Por vezes, o ano novo funciona como uma nova chance de fazer diferente, de mudar hábitos e comportamentos, de melhorar. Pode ser um bom momento, pois, para repensar sua relação com a tecnologia.
Na correria do dia a dia, empurramos com a barriga e deixamos de lado pequenas ações que, quando realizadas, podem ter um impacto positivo enorme e duradouro na forma como gastamos o tempo interagindo com sistemas digitais. Além disso, o acúmulo de pequenos deslizes e exceções pode emperrar fluxos de trabalho que, com alguma manutenção, podem ser mais eficientes.
Em certos lugares da maioria das cidades andar à noite, sozinho, é perigoso. Há o risco de ser assaltado ou coisa pior. Tanto que é recorrente, quando alguém que nos é querido precisa se locomover nessa situação, pedir que ele dê um toque ou mande uma mensagem ao chegar, dizendo que está tudo bem. Um app desenvolvido por cinco estudantes da Universidade de Michigan quer melhorar essa dinâmica permitindo que se acompanhe virtualmente, pelo smartphone, qualquer pessoa em trajetos perigosos. (mais…)
Para promover a segurança digital nesse fim de ano, a Baidu está promovendo uma ação ganha-ganha para você: a cada Verificação Rápida do seu computador feita com o Baidu Antivirus 2015, você ganha um cupom para concorrer a prêmios. Tem vale-compras, HDs externos, viagens à Disneys e o grande prêmio, um iPhone 6 novinho.
Para concorrer, instale (ou atualize, para quem já é usuário) a versão promocional do Baidu Antivirus 2015 e faça uma Verificação Rápida. A cada verificação completada até o dia 28 de dezembro, você ganha um cupom. Simples e fácil assim. Os vencedores serão conhecidos em janeiro. Boa sorte! (mais…)
Alguns dias atrás um grupo de ~hackers anunciou ter em seu poder milhares de fotos obtidas através do Snapchat. São 13 GB de arquivos, mais de 100 mil (ou 200 mil, dependendo da fonte) imagens. Ou seja, é bastante coisa, e para piorar existe a suspeita de que haja muitas fotos pornográficas de menores de idade nesse bolo. A cobertura do caso pela imprensa tem seguido a linha “vazamento no Snapchat”. Mas será que a culpa é do serviço mesmo?
Não estou duvidando da existência desse material, ainda que essa desconfiança tenha sido levantada. De qualquer maneira, para o que quero discutir isso não vem ao caso. O que coloco em discussão é a atribuição de culpa ao Snapchat. (E sim, antecipando eventuais questionamentos, eu uso e gosto bastante do app.) Porque, ao que tudo indica, não houve invasão aos servidores do serviço, os apps oficiais não foram comprometidos e nenhuma brecha foi reportada. Dentro da “experiência” oficial, o app garantiu a segurança que promete e através da qual, em grande parte, se sustenta. (mais…)
Stephane Chazelas, um entusiasta de software livre, descobriu uma falha de 22 anos (!) no Bash, interpretador de comandos bastante popular em sistemas *nix, como Linux e o OS X, da Apple.
A falha permite que alguém tome o execute comandos remotamente em máquinas afetadas. Dada a amplitude com que o Bash é usado, de servidores a sistemas embarcados (câmeras fotográficas, roteadores, terminais comerciais), o potencial de danos é tão grande, ou até maior, que o do Heartbleed, outra falha encontrada no OpenSSL no começo do ano.
O Instituto Nacional de Padrões e Tecnologia dos EUA atribuiu ao Shellshock nota 10, a máxima na escala, em termos de gravidade, impacto e exploração, e para piorar o mesmo órgão disse que a falha é de baixa complexidade, o que significa que pode ser facilmente usada. (mais…)
O Mobilon do Tecnoblog está com um novo Moto X e ontem, pelo Twitter, narrou sua epopeia para configurar e transferir dados do antigo smartphone para o novo:
Fiquei interessado no processo porque ele difere muito do meu. Quando uso um Android, meu ou para testes, faço o seguinte: (mais…)
A carta de Tim Cook sobre privacidade aos clientes está cheia de declarações fortes, promessas que poucas ou nenhuma outra empresa talvez consiga cumprir e o compromisso único e irrestrito com a privacidade.
Nela, Cook diz que a privacidade dos clientes da Apple é prioritária, que a empresa não cria perfis, nem lucra cedendo informações a parceiros, que nunca trabalhou com governo algum, nem permitiu acesso aos seus servidores. A cereja do pudim é que com o iOS 8, a criptografia do dispositivo é automática, basta colocar uma senha no dispositivo. “Não é tecnicamente possível para nós responder a pedidos do governo para extração desses dados de dispositivos na posse deles rodando o iOS 8.”
A medida, corajosa, já encontrou resistência entre as autoridades e, segundo o especialista forense Jonathan Zdziarski, não é absoluta: a sincronia entre o iPhone e computadores representa um ponto fraco nesse grande esquema de segurança. Há indícios de que o iCloud também possa servir de vetor para ataques e vazamentos. Só que embora ainda exista trabalho a fazer, o que o iOS 8 já traz é um reforço e tanto. Zdziarski: “Esta é uma postura significativamente pró-privacidade (e corajosa) que a Apple está tomando para seus dispositivos, e ainda que sete anos atrasada, é mais do que bem-vinda. Na verdade, estou impressionado com os últimos esforços da Apple para aperfeiçoar a segurança de modo geral, incluindo o iOS 8 e a autenticação em dois passos do iCloud.”
Além de beneficiar seus usuários, a ação da Apple ecoa em outros lugares. O Google foi rápido ao anunciar que o Android L, com previsão de lançamento para outubro, também virá com criptografia ativada por padrão.
No último domingo, fotos íntimas de celebridades vazaram em redes sociais e sites “especializados”. Entre as vítimas estavam Kate Upton, Jennifer Lawrence, Kirsten Dunst e outros famosos — o número deles pode chegar a cem.
A repercussão tem sido grande porque, ora, são celebridades nuas. Na mesma velocidade com que as fotos se espalharam, empresas supostamente envolvidas com a obtenção das imagens e usadas posteriormente para a disseminação delas começaram a agir a fim de minimizar os estragos. Twitter e imgur estão banindo usuários que compartilham as fotos e o Google tem limpado sistematicamente os resultados da busca para omiti-las.
Ainda não se sabe o que foi usado como vetor para o ataque, muito menos qual ou se alguma falha foi explorada. Na imprensa, porém, não demorou muito para que uma suposição se alastrasse: a culpa do iCloud. (mais…)
O administrador de sistemas Linux Miguel Jacq descobriu que a extensão Awesome Screenshot, do Chrome, tem se comportado estranhamente.
Lendo relatórios de acesso dos seus servidores, Jacq notou que um crawler chamado niki-bot estava tentando acessar páginas de internas/administrativas do Drupal, um sistema de publicação web. São locais onde crawlers normais, como os do Google, não chegam e pelos quais nem se interessam, afinal tratam-se de páginas protegidas por senhas e que não fariam muito sucesso se listadas nos resultados de pesquisa.
Após uma pequena epopeia para rastrear o culpado, ele chegou à Awesome Screenshot, extensão do Chrome para tirar e editar screenshots de páginas web. Não se sabe por qual motivo, ela captura e transmite o histórico de navegação do usuário e, posteriormente, essas páginas são visitadas pelo niki-bot. Isso tudo é bem chato, né?
A recomendação de Jacq é desinstalar a Awesome Screenshot. Em seu blog, Matt Mullenweg sugere como substituta a Blipshot, desenvolvida por um funcionário da Automattic e livre de spywares, malwares e qualquer outra coisa que comprometa a sua privacidade.
Para mim, uma das coisas mais incríveis da aviação comercial é o piloto conseguir pousar sem visibilidade. Em todas as vezes em que desci no aeroporto de Curitiba, por exemplo, havia uma espessa camada de nuvens. Onde estou? Para onde vamos? E de repente, a pista, o pouso, tudo tranquilo. Não é à toa que, mesmo com os vários incidentes dos últimos meses o avião continua a ser um dos meios de transporte mais seguros.
Mas essa tranquilidade pode estar ameaçada. Dia desses a Reuters publicou um alerta: o pesquisador Ruben Santamarta, da IOActive, teria descoberto uma forma de hackear sistemas vitais de um avião através dos terminais de entretenimento dos passageiros.
Um punhado de sites replicou a notícia, alguns aumentando o tom. Na matéria original há uma chamada importante, porém:
“Ele [Santamarta] admite que seus hacks só foram testados em ambientes controlados, como o laboratório em Madrid da IOActive, e que eles podem ser difíceis de serem replicados no mundo real.”
Toda suspeita de comprometimento de um negócio tão sério quanto a aviação civil deve ser pesquisada e averiguada, mas é de bom tom deixarmos os alardes para quando justificado. Caso contrário, o que se faz é FUD1. Ninguém conhece os detalhes da pesquisa ainda e o próprio pesquisador ressalta que só garante a sua descoberta na teoria.
Santamarta apresentará mais detalhes da sua pequisa na Black Hat, uma conferência sobre segurança digital nos EUA. Enquanto isso, as empresas que usam o sistema segundo ele comprometido disseram que o risco é mínimo e se comprometeram a revisar esses procedimentos, e alguns pilotos, como o Lito, explicou por que essa ideia, de hackear um avião via terminal de entretenimento, é impossível na prática. O texto é bem fundamentado — pelo menos para um leigo como eu!
A Black Hat começou no último dia 2 de agosto e vai até amanhã (7), dia em que Santamarta fará sua aguardada apresentação.
Uma nova técnica de identificação e criação de perfis online chamada Fingerprint Canvas foi descoberta por pesquisadores americanos e belgas. Ela foi desenvolvida pelo AddThis, um serviço que facilita a implantação de botões de redes sociais em sites, e detectada em 5% dos 100 mil sites mais populares segundo o ranking do Alexa (lista completa).
A técnica consiste em desenhar uma frase oculta que contém todas as letras do alfabeto usando a tag <canvas> dos navegadores modernos. Como a “letra” varia de acordo com vários critérios (sistema, navegador, fontes instaladas e outros), cada máquina gera um desenho único (daí o nome, “impressão digital”). Ao cruzar esse dado com outros passa a ser possível identificar um usuário e, com base nisso tudo, formular os perfis de consumo de que empresas de publicidade tanto gostam. Não só: combinando a técnica com outras, é possível criar “evercookies”, mais resilientes e difíceis de detectar que os cookies tradicionais.
Segundo Rich Harris, CEO do AddThis, o desenvolvimento do Fingerprint Canvas é uma tentativa de substituir o cookie, o pequeno arquivo gerado por sites para guardar informações personalizadas do usuário e que, tão frequentemente quanto, ajuda empresas de publicidade a identificarem melhor os gostos do público a fim de direcionar melhor seus anúncios. Ele alega que os testes da nova técnica alcançaram apenas 13 milhões de sites, que os resultados não são utilizados para fins duvidosos àqueles que optarem por isso (ou seja, é opt-out) e que considera encerrar os esforços em breve porque o identificador não é único o bastante.
Embora a Fingerprint Canvas tenha se revelado um parâmetro falho para o fim a que se destina, o que mais assusta nessa técnica é a persistência e sua indetectabilidade. Como ela se aproveita de um recurso intrínseco aos navegadores modernos, a tag <canvas> do HTML, é difícil barrá-la. Seria o equivalente a impedir o seu navegador de exibir palavras em negrito para conter uma possível brecha de segurança.
No BoingBoing, Glenn Fleishman explica que essa e outras técnicas só são possíveis pela evolução dos navegadores. Se antes eles serviam como janelas burras que exibiam conteúdo limitado e totalmente processado no lado servidor, nos últimos anos com coisas como HTML5, Ajax e armazenamento local (IndexedDB, por exemplo), o navegador ganhou super poderes e passou a ter mais autonomia ao lidar com páginas web. E como dizia o tio Ben…
Mais sofisticação traz consigo um previsível preço relacionado à privacidade sobre a qual esse último paper [do Fingerprint Canvas] revela mais coisas. Quanto maior o poder e a flexibilidade de uma alternativa para que dados sejam armazenados ou criados no navegador, maior a probabilidade de que ela seja usada para isolar e identificar um navegador, se não um indivíduo. Quem desenvolve navegadores normalmente permanece neutro ou minimiza os impactos em privacidade de novos recursos que têm o potencial de empurrar informações aos navegadores ou identificá-los unicamente. Mesmo em casos onde não são, a tecnologia pode ser tão poderosa que pode ser subvertida para o rastreamento.
Para o pesquisador de segurança e privacidade Ashkan Soltani, trata-se uma corrida armamentista cujo ganhador são os anunciantes e o culpado por ela, a economia da Internet. “Existe um grande incentivo para ter certeza de que você está identificando (com cookies ou impressão digital) cada usuário individualmente a fim de se ter uma contagem precisa (e, consequentemente, um montante exato de dólares).”
Na ProPublica, que divulgou o paper que expõe a Fingerprint Canvas, Julia Angwin traz um pequeno roteiro ensinando como navegar anonimamente. As dicas denotam, em ressalvas como “pode ser lento” e “quebra vários sites”, como os avanços dos mecanismos de rastreamento estão intimamente ligados à tecnologia dos navegadores. Manter-se anônimo na web, hoje, é sinônimo de ter uma experiência de segunda classe. Troca-se, afinal, a privacidade pela comodidade.
O engenheiro do Google Michele Spagnuolo publicou uma prova de conceito chamada Rosetta Flash que permite a alterar a composição de arquivos no formato SWF, do Flash, para enviar requisições web a sites comprometidos e, com isso, obter cookies de autenticação. Na prática, essa técnica permite que se obtenha dados de login e outras informações sensíveis.
Como ele explica ao Ars Technica, não é bem uma falha que viabiliza esse cenário, mas sim a combinação de dois recursos: a conversão de código binário em caracteres alfanuméricos de arquivos do Flash e o JSONP, uma técnica de comunicação que viabiliza aos desenvolvedores a requisição de dados em diferentes servidores — prática desestimulada pelas brechas que abre e que, de outra forma, é impossível graças à política de mesma origem. Tanto que o essa operação já era conhecida pela comunidade de segurança da informação, e ignorada ante a falta de ferramentas públicas capazes de realizar aquela conversão em caracteres dos arquivos SWF.
Agora, não falta mais. Desde a publicação da prova de conceito alguns sites importantes afetados, como Twitter e Tumblr, consertaram os buracos em seus sistemas. A Adobe lançou uma atualização para o Flash que faz o mesmo do lado cliente, a versão 14.0.0.145, já disponível no site oficial. Quem usa o Chrome, ou o Internet Explorer 10 ou 11 no Windows 8 ou superior, deve esperar a atualização automática — o Flash bem embutido nesses navegadores. Para verificar qual a versão do Flash em uso no seu, visite esta página.
Em maio desse ano o Google tornou padrão o player HTML5 do YouTube para usuários do Chrome, tornando desnecessário, salvo raras exceções, o plugin do Flash para ver vídeos ali. Há cada vez menos motivos para se ter o Flash instalado, e como os dispositivos móveis com Android e iOS provam, dá para viver bem sem ele.
Só que existem exceções. Perguntei, no Twitter, o que leva as pessoas a manterem o Flash ativado. Algumas respostas foram elucidativas, começando pela explicação do Micael sobre streaming ao vivo e vídeos que são exibidos com DRM:
https://twitter.com/micaelsilva/status/486657542354128896
https://twitter.com/micaelsilva/status/486657648222552064
https://twitter.com/micaelsilva/status/486658247093669888
Algumas outras aplicações dependentes do Flash ainda não têm substitutos, também. Adriano Brandão lembrou dos vídeos da Globo e de serviços de streaming de música, como Rdio e Deezer; Marcelo Carreira, dos sistemas de monitoramento de câmeras; e o Bruno Luiz, dos sites de vídeo indicados para o público adulto. E aqui, no Manual do Usuário, descobri que o WordPress exige o Flash no uploader de imagens.
Dependendo do seu perfil e equipamentos, dá para abolir o Flash. Não é tão simples, mas é possível. Um meio termo é a ativação por clique. Desse modo todos os plugins ficam desativados por padrão, mas podem ser trazidos à vida com um clique do usuário no elemento bloqueado. Dá, também, para definir exceções, domínios inteiros que ignoram essa opção e rodam plugins.
No Chrome, entre nas configurações, role a página até embaixo e clique no link “Configurações avançadas…” No tópico Privacidade, clique no botão Configurações de conteúdo… e, em Plug-ins, marque a opção Clique para reproduzir.
O Google implementou uma mudança na política de permissões dos apps baixados na Play Store. Não é algo novo (faz pelo menos um mês que li sobre), mas o assunto continua rendendo e sem solução.
A mudança reflete na tela de permissões que um app exibe antes de ser instalado. É mais estética do que útil, já que esconde o detalhamento de cada grupo de permissões por padrão e exige o toque em cada um deles para que seja expandido. Veja o antes e depois:
Outra novidade é que agora os apps podem criar permissões próprias. Elas aparecem sempre no final da lista em uma categoria chamada “Outras”. O app do Twitter, por exemplo, traz o “solicitar acesso a sua conta do Twitter”.
Uma última que pegou carona nessa maquiada é a que tem as implicações mais sérias. O Google divide as permissões em grupos e, dentro deles, estipula outras granulares. Antes, quando um app era atualizado e passava a precisar de novas permissões dentro de um grupo já garantido precisava ser reaprovado pelo usuário. Agora, é oito ou oitenta: após conceder permissão a um app ele poderá ser atualizado com novas “sub-permissões” dentro dos grupos já liberados sem que o usuário sequer fique sabendo.
O exemplo prático de Chris Hoffman é bem claro:
(…) um app que queira ler mensagens SMS recebidas precisa da permissão “Ler mensagens SMS”. Quando você for instalá-lo na Play Store, ele pedirá a permissão do grupo “SMS”.
Instale o app e você estará dando acesso a todas as permissões relacionadas a SMS. O app pode, agora, ser atualizado automaticamente e ganhar a capacidade de mandar mensagens SMS sem pedir a você.
Existem outros cenários tão ruins quanto, e esse específico das mensagens SMS (e a análoga a ligações) é facilmente explorável por scammers que disponibilizam jogos e apps fraudulentos para lucrarem com ligações na surdina, encaminhamento de chamadas e mensagens SMS, tudo às custas da vítima.
Até agora, um mês depois dos primeiros sites denunciarem esse problema, o Google não se pronunciou. O sistema de permissões dos apps no Android nunca foi exemplo de implementação e, como se não bastasse, piorou.