Segurança

8,5 milhões

O caos proporcionado pela CrowdStrike na sexta passada (19) derrubou 8,5 milhões de computadores com Windows. O número equivale a 1% da base instalada, segundo a Microsoft — um 1% bem importante, pois a CrowdStrike só trabalha com grandes clientes corporativos. Via Microsoft (em inglês).

***

US$ 10

Na quarta (24), a CrowdStrike enviou cupons do UberEats de US$ 10 para clientes afetados pela falha catastrófica da sexta anterior (essa do número acima). Pior: os cupons não funcionavam porque, segundo relatos, a Uber marcou a conta da CrowdStrike como fraudulenta. (Tecnicamente, este é um “número minúsculo”.) Via TechCrunch (em inglês).

***

R$ 5 milhões

A Senacon multou Oi, TIM e Vivo em R$ 5 milhões pela publicidade enganosa acerca do 5G. Segundo o despacho publicado no Diário Oficial da União, as três operadoras divulgaram “mensagens publicitárias referentes a 5G que induziram os consumidores ao erro, por não informarem com clareza e adequação as limitações da tecnologia DSS.” Via Mobile Time.

8

O Recall do Windows 11, sistema de IA que tira prints da tela e permite pesquisar por tudo o que você viu, é muito mal implementado. Textos da tela são convertidos em texto puro e salvos sem qualquer proteção no disco. Já existe até uma ferramenta, com o sugestivo nome TotalRecall, que facilita a extração dos dados.

Não duvido que a Microsoft volte atrás ou, no mínimo, atrase o Recall para fazer o básico — consertar essas brechas antes do lançamento. Se não for pedir muito, seria legal se fosse um recurso opcional e não ativado por padrão, como o é nas versões de teste que já estão rodando por aí.

A autoestima inabalável do homem branco hetero etc. do Vale do Silício

12

Se deus criou o ser humano à sua imagem, não é de se estranhar que as IAs generativas falem de tudo, até do que não sabem, como a autoestima de especialistas no assunto. Afinal, foram criadas por startupeiros do Vale do Silício que se acham deuses.

(mais…)

Recall e a segurança como prioridade máxima na Microsoft

4

No início de maio, Satya Nadella, CEO da Microsoft, enviou um memorando a todos os funcionários da empresa com uma mensagem explícita: segurança deve ter prioridade máxima.

A empresa se viu em maus lençóis após uma série de falhas críticas em serviços de e-mail/nuvem virem à tona, resultado de “uma sequência de falhas de segurança” que poderiam ser prevenidos, segundo relatório do Departamento de Segurança Interna dos EUA.

Menos de um mês depois, no evento pré-Build desta segunda (20), o mesmo Nadella anunciou o Recall, recurso carro-chefe dos novos notebooks “Copilot+” (leia-se: “com inteligência artificial”), que faz o Windows 11 tirar prints da tela a cada minuto e permite pesquisar por tudo que a pessoa viu e fez durante meses. Ou, como explicou um especialista em segurança, “um pesadelo de privacidade”.

A Microsoft bate na tecla de que os dados são armazenados apelas localmente e criptografados — ainda que faça uma distinção confusa sobre níveis de criptografia a depender da edição do Windows 11.

Ok, é o mínimo, mas isso não ajuda em diversos cenários, como roubo/furto do dispositivo, apreensão do dispositivo por autoridades e abuso/assédio doméstico.

Comentários jocosos pós-anúncio diziam que a Microsoft instalou um spyware nativo no Windows 11. O Recall pode ser útil? Com certeza, ainda mais para pessoas distraídas e/ou bagunçadas. É preciso pesar utilidade com segurança, porém, um cuidado que o CEO da empresa pediu — relembro — que fosse elevado a prioridade há menos de um mês.

Talvez o Copilot do Outlook tenha ignorado essa mensagem ao “resumir” a caixa de entrada de algum gerente de produtos da Microsoft.

Método simples para proteger a conta Microsoft (do Outlook) de invasões

9

No Órbita, arthurr comentou que sua conta do Outlook, da Microsoft, sofre uma média de 20 tentativas de acesso por dia.

Por curiosidade, abri o registro de atividades recentes da minha conta Microsoft, que faz uns bons anos não uso para qualquer coisa que seja, e deparei-me com cenário parecido. São tentativas frustradas por senha incorreta e que usa o e-mail secundário como “alias da conta”.

A minha hipótese é de que sejam robôs abastecidos com dados de vazamentos anteriores diversos que ficam tentando logar em quaisquer contas de e-mail. Para quem reutiliza a mesma senha em vários lugares, o risco é real.

Na mesma conversa do Órbita, Fábio deu uma dica ótima para eliminar essa importunação:

  1. Crie um e-mail do tipo alias nesta página. Pode ser qualquer nome. Esse e-mail será usado apenas por você, para fazer login em sua conta — por isso, não compartilhe com ninguém!
  2. Agora, na tela “Gerencie como você entra na Microsoft”, clique no link Tornar o principal do e-mail/alias recém-criado.
  3. Acesse a tela de preferências de entrada e desmarque todas os endereços de e-mail, nome de usuário e telefone. O único que ficará marcado é o e-mail/aliás recém-criado e tornado principal.

A partir de agora, seu e-mail principal não serve mais para fazer login. (Dá erro ao tentar usá-lo.) Para acessar a conta associada a ele, é preciso informar o e-mail/alias que acabou de ser criado.

A lógica é bem simples: como o e-mail recém-criado não é conhecido e o original foi desabilitado para autenticação, os robôs perderam o dado de que dispunham para tentar invadir a conta.

Certifique-se de duas coisas: 1) guardar bem o e-mail/alias recém-criado para não correr o risco de esquecê-lo; e 2) não divulgá-lo em lugar algum.

Celular Seguro e Click to Pay vencem o Prêmio Seleção Mobile Time 2024

5

A convite do Fernando Paiva, tive a honra de compor o júri de 12 especialistas em tecnologia do Prêmio Seleção Mobile Time 2024.

O resultado foi divulgado nesta terça (14). O grande vencedor do júri foi o Celular Seguro, do Ministério da Justiça e Segurança Pública. (Posso contar que foi o “case” a que atribuí a maior nota? Espero que sim!)

Na premiação aberta ao público, o Click to Pay, da Abecs, levou a melhor.

Celular Seguro e Click to Pay vencem o Prêmio Seleção Mobile Time 2024
Mobile Time

6

Três anos após lançar as AirTags, pequenos rastreadores que podem ser desvirtuados para perseguir pessoas, Apple e Google lançaram uma especificação que alerta alguém que estiver carregando um desses sem saber. Os alertas também valem para rastreadores de outras marcas que aderirem à especificação.

No iPhone, o alerta veio com o iOS 17.5, lançado nesta segunda (13). No Android, o Google liberará a funcionalidade a todos os dispositivos rodando Android 6 ou superior.

No comunicado à imprensa, a Apple diz que “projetou desde o princípio [as AirTags] com proteções de privacidade e segurança”. A proteção para quem usa Android consistia em exigir o download de um app que só servia para emitir alertas de AirTags de perseguidores. Não deu certo, evidentemente. Via Apple.

No Dia Mundial das Senhas, uma reflexão sobre chaves-senha

11

Hoje (2) é o Dia Mundial da Senha, data propícia para retomarmos um assunto abordado recentemente neste Manual: as chaves-senha, ou passkeys.

Na minha coluna de 12 de abril, tentei, da melhor maneira que consegui, explicar o que são as chaves-senha. Mencionei no final que existem “preocupações legítimas com as chaves-senha ajudando a concentrar ainda mais poder nas mãos (ou nos servidores) de poucas empresas”.

No final de abril, William Brown, mantenedor da principal biblioteca do padrão Webauthn em Rust (webauthn-rs), expôs seu descontentamento com chaves-senha. “Um sonho destroçado”, o título do post, dá uma ideia da desilusão do rapaz, que é basicamente o que costuma acontecer quando a big tech se envolve: Google implementou do jeito que quis e dane-se o padrão, Apple chegou depois e terminou de zoar o que já estava longe do ideal.

Fora o lance da namorada dele perder todas as chaves-senha salvas em sua conta da Apple e a concentração de dados vitais nas grandes empresas, as reclamações de Brown são de ordem técnica, no que quero dizer meio difíceis para leigos compreenderem. Quando alguém tão envolvido com o assunto se diz de saco cheio do negócio, talvez seja um momento para reflexão.

A essa altura, acho que as chaves-senha falharão nas mãos do público em geral. Perdemos a nossa chance de ouro de eliminar senhas graças ao desejo [da big tech] de capturar mercados e promover o hype.

[…]

Reforçando — minha companheira, que é extremamente inteligente, uma ávida gamer e cirurgiã veterinária, descartou as chaves-senha porque a UX é uma merda. Ela quer voltar às senhas.

E estou começando a concordar — um gerenciador de senhas oferece uma experiência melhor do que a das chaves-senha.

Isso mesmo. Estou aqui dizendo que senhas são uma experiência melhor do que chaves-senha. Você sabe o quanto me dói escrever essa frase? (E sim, isso significa que o MFA com TOTP ainda é importante para senhas que exigem memorização fora de um gerenciador de senhas.)

Então faça um favor a si mesmo. Adote algo como Bitwarden ou se você gosta de hospedagem suas coisas, Vaultwarden. Deixe-o gerar suas senhas e gerenciá-las. Se você realmente quiser chaves-senha, coloque-as em um gerenciador de senhas que você controla. Mas não use chaves-senha em um local controlado por plataformas e tenha muito cuidado com as chaves de segurança.

E se você quiser usar uma chave de segurança, basta usá-la para desbloquear seu gerenciador de senhas e seu e-mail.

Ouch.

Coloquei um aviso bem grande no início da coluna sobre chaves-senha, linkando para esta nota. Talvez o melhor seja aguardar um pouco mais para ver no que isso vai dar antes de aposentarmos as (não tão) boas e velhas senhas. Feliz Dia Mundial das Senhas…?

O fim das senhas?

20

Quem estava prestando atenção ao tentar criar ou acessar contas em serviços de grandes empresas em 2023 deve ter reparado: Apple, Google e Microsoft passaram a insistir muito para que adotemos um substituto futurista da velha senha alfanumérica, as passkeys — no Brasil, traduzidas como chaves-senha ou chaves de acesso.

(mais…)

Aegis Authenticator 3 ganha novo visual

1

O Aegis Authenticator, ótima opção para Android de aplicativo TOTP (gerador de códigos de segundo fator de autenticação), chegou à versão 3 com um banho de loja.

Além do novo visual, adaptado ao Material You/Material 3 do Google, o Aegis 3.0 vem com alguns novos truques na manga muito úteis, como seleção em lote e atribuição automática de ícones às entradas.

Os desenvolvedores prometem, ainda, melhorias no desempenho, maior objetividade na importação e becape e correções de bugs.

O aplicativo ainda não foi atualizado no F-Droid, mas deve ser questão de tempo para isso acontecer. (E o site oficial ainda está com prints da versão antiga. Vamos atualizar isso aí, gente!)

Aegis Authenticator 3 / Android / Gratuito

Download (Google Play) »

1

Esta entra para o rol das piores ideias em segurança digital: o Telegram está oferecendo assinaturas pagas em troca de poder enviar SMS de login (segundo fator de autenticação) a partir dos números dos usuários. Não se sabe em que países isso está ativo, só que é exclusivo do Android. De qualquer forma, se aparecer essa “oferta”, ignore — os riscos são enormes. Via @AssembleDebug/X (em inglês).

WhereGoes ajuda a descobrir se link é golpe

2

O WhereGoes é o contrário de um encurtador de links: ele pega uma URL e exibe o destino, incluindo todos os redirecionamentos feitos pelo caminho. Veja um exemplo. Ótimo para saber se o link daquele SMS é golpe. (Quase sempre é, mas às vezes bate a dúvida.) Dica da Milena Giacomini.

Verificador de redirecionamentos de URL
WhereGoes

KeePassXC 2.7.7 ganha suporte a chaves-senhas (passkeys)

Ícone do KeePassXC: chave branca dentro de um círculo verde.

O KeePassXC 2.7.7, nova versão do gerenciador de senhas de código aberto, traz suporte às chaves-senhas (ou passkeys), padrão que substitui senhas tradicionais para autenticação em sites.

A implementação se aproveita da integração já existente entre o KeePassXC e navegadores para guardar e usar as chaves-senhas. Essa integração funciona com o Firefox e Chrome e derivados.

Outras novidades de destaque da versão são a importação de senhas das versões mais recentes do 1Password e Bitwarden, e a simplificação da tela de desbloqueio do cofre/banco de dados.

KeePassXC / Linux, macOS e Windows / Gratuito

Download »

8

O aplicativo do gov.br mudou sistema de verificação em duas etapas (2FA). Desde esta terça (20), em vez de uma notificação, passou a ser necessário acessar o aplicativo para obter o código temporário.

Nem todo mundo oculta a visualização de notificações na tela de bloqueio. Para esses casos, o novo sistema oferece mais segurança — à custa de alguma conveniência. Via Ministério da Gestão e da Inovação em Serviços Públicos.

1

Enquanto se prepara para abrir a federação, o Bluesky vai tapando alguns buracos óbvios. Na versão 1.68, lançada na sexta (16), passou a ser possível trocar a senha nas configurações. (Fiquei meio chocado quando descobri que isso não era possível.) Via @bsky.app/bsky.app (em inglês).