Segurança

5

Importante lembrar que na criptografia de ponta a ponta — como o termo sugere — as duas pontas têm acesso livre ao conteúdo. Se uma das pontas faz backup descriptografado de conversas à nuvem, como fez o tenente-coronel Mauro Cid, as conversas podem ser acessadas por terceiros, como fez a Polícia Federal.

Não deve ter sido intencional, mas a insistência de Mauro Cid em usar o Signal para tratar de assuntos… “sensíveis”, poderia ter livrado o bando de produzir provas contra si mesmo. O Signal não faz backup na nuvem.

Mais uma vez, o backup salva (a democracia, neste caso). Via G1, O Globo.

História das escovas de dente inteligentes infectadas por malware parece balela

7

“Três milhões de escovas de dente inteligentes infectadas por vírus usada em um ataque DDoS na Suíça”, diz o título de um post viral do site norte-americano Tom’s Hardware.

Será?

Tem muita gente questionando, com bons argumentos, essa que seria uma notícia boa demais para ser verdade. E por “boa”, quero dizer surreal e verossímil, um ótimo exemplo da insanidade que é conectar à internet acessórios insuspeitos.

A origem da notícia é um artigo em alemão que tem como fonte a empresa de segurança Fortinet. Embora o texto comece dizendo que “esse exemplo [das escovas de dente], que parece um cenário de Hollywood, realmente aconteceu”, não há informações do suposto ataque — quando, onde, quem, nada.

Parece que a rebelião das escovas de dente infectadas é mais um exemplo do que poderia dar errado do que algo que teria acontecido (tradução do DeepL):

“Todo dispositivo conectado à Internet é um alvo em potencial — ou pode ser usado indevidamente para um ataque”, diz Stefan Züger. Ele é responsável pela tecnologia de sistemas na filial suíça da Fortinet, especialista em segurança cibernética, com sede em Dietlikon, Zurique. Não importa se é um monitor de bebê, uma câmera da Web ou até mesmo uma escova de dentes elétrica.

Atualização (20h40): A Malwarebytes publicou um guia que explica como saber se uma escova de dente inteligente está infectada com malware. (Dica do Renan Altendorf no nosso Matrix.)

Via @GossiTheDog@cyberplace.social (em inglês).

6

O iOS 17.3, lançado nesta segunda (22), traz a Proteção de Dispositivo Roubado, uma opção que gera obstáculos (exigência de biometria e atraso de 1h) para alterar configurações sensíveis do celular e da conta Apple. O recurso vem desativado por padrão. Obrigado aos ladrões estadunidenses; é graças às ações deles, e não dos nossos, que a Apple se mexeu. O link ao lado traz detalhes e o passo a passo para ativar a novidade. Via Apple.

24

O Authy costuma aparecer nas recomendações de leitores do Manual quando pedem por aplicativos de OTP. Aos que usam o app, atenção: a versão para computadores (Linux, macOS e Windows) será descontinuada em agosto de 2024. Via Central de ajuda do Authy (em inglês), que também será fechado, só que na próxima segunda (15).

iOS 17.3 trará modo para proteger iPhones após furtos e roubos

8

Finalmente a Apple deu atenção à epidemia de furtos e roubos de celulares. A primeira versão de testes do iOS 17.3, liberada nesta terça (12), traz um recurso chamado “Proteção do Dispositivo Roubado” (tradução livre).

Quando o recurso está ativado, algumas ações sensíveis, como alterar senhas, desativar o Modo Perdido e redefinir o iPhone, passam a exigir autenticação biométrica (Face ID ou Touch ID) se o celular estiver longe de locais familiares. Para ações cruciais, como mexer na Conta Apple, desativar a biometria ou trocar o código de acesso do iOS, além da biometria, é preciso esperar uma hora para ter acesso a eles.

Teria a Apple olhado para o caos que se instalou no Brasil? Na verdade, não. Entre fevereiro e abril deste ano (2023), o Wall Street Journal publicou reportagens (e vídeos) mostrando um esquema nos Estados Unidos em que iPhones eram furtados em bares.

Como sempre, é preciso que um problema se manifeste em casa para que a big tech tome providências. Por aqui, falamos desse assunto desde, pelo menos, junho de 2021. Via Wall Street Journal (em inglês), MacMagazine.

Operadoras e bancos anunciam iniciativas sistêmicas para melhorar a segurança de celulares

5

Um assunto recorrente neste Manual é como proteger o celular de golpes e acessos não autorizados. É possível mitigar o problema, mas não resolvê-lo porque uma solução satisfatória transcende o que o indivíduo é capaz de fazer.

Duas iniciativas, em frentes diferentes, prometem abordagens sistêmicas ao problema.

Semana passada, as três maiores operadoras do Brasil — Claro, TIM e Vivo — anunciaram a adesão ao Open Gateway, um programa da GSMA, entidade que administra o ecossistema global de telecomunicações, que consiste em APIs compartilhadas entre as operadoras para viabilizar serviços diversos.

Os três primeiros serviços do Open Gateway a serem oferecidos no Brasil serão a verificação do número sem o uso do SMS, a identificação de trocas de chips recentes e o compartilhamento da geolocalização do celular independentemente da camada de software, evitando as manipulações do sinal de GPS.

Em outra frente, a Febraban confirmou o lançamento para breve de um programa chamado Celular Seguro, criado em parceria com o Ministério da Justiça e a Anatel.

Isaac Sidney, presidente da Febraban, não deu detalhes técnicos, mas explicou ao Mobile Time que o objetivo do programa é bloquear rapidamente celulares roubados a fim de impedir o uso de dados pessoais e o acesso a contas bancárias pelos assaltantes. Via Folha de S.Paulo, Mobile Time.

gov.br: Segundo fator de autenticação (2FA) é mal implementado

31

Criada em 2019, a plataforma gov.br unificou sites e serviços do governo federal. Hoje ela é usada para diversos fins, de benefícios sociais à declaração do imposto de renda, ou seja, é um negócio importante.

As contas gov.br oferecem o segundo fator de autenticação (2FA, na sigla em inglês), uma boa prática de segurança no digital. Isso é ótimo, mas a implementação deixa bastante a desejar.

(mais…)

3

Luciano Huck ameaçando processar Elon Musk porque o Twitter não tira do ar um anúncio caça-clique supostamente criado por ~inteligência artificial dele, Huck, vestido com uma fantasia tosca de presidiário entre dois policiais, com uma manchete sensacionalista e links que levam a sites golpistas aleatórios. Dei uma boa gargalhada aqui. Obrigado, IA e Elon Musk, nunca critiquei vocês! Via Notícias da TV.

4

O Tutanota, serviço de e-mail criptografado com sede na Alemanha, anunciou um rebranding e agora se chama apenas Tuta. Curiosidade: o domínio tuta.com era de um brasileiro que topou transferi-lo aos alemães por intermédio do Vitor (sem sobrenome?!), amigo do pessoal do Tutanota/Tuta, que encontrou com o detentor do domínio em uma viagem a São Paulo e fechou o negócio. A história está documentada no blog do Tuta (em inglês).

Na China, usar VPN pode dar ruim

por Shūmiàn 书面

As regras não são muito claras e o uso de VPN — sistema para forjar um IP de outro país — na China é algo bastante comum, sobretudo entre pessoas com mais recursos financeiros. Mas o caso de um programador da província de Hebei, vizinha a Pequim, chamou atenção depois que ele entrou na mira do governo por ter usado o recurso para realizar seu trabalho.

De acordo com o China Digital Times, o programador foi multado por uso de VPN para atender um cliente no exterior, usando plataformas indisponíveis para o público chinês, como o Zoom. O trabalhador foi multado em um total de mais de US$144 mil, uma soma de três anos (2019-2022) de seu salário mais uma multa.

Principal forma de furar o Grande Firewall chinês, a VPN tem se mostrado cada vez mais instável na China, como contamos aqui. O caso do trabalhador não é o único envolvido em apurações. Contamos recentemente a história de uma mulher que foi surpreendida ao ter a polícia à sua porta para prender o marido: ele usava secretamente o serviço para manter um site no exterior com críticas a Pequim.

A Shūmiàn 书面 é uma plataforma independente, que publica notícias e análises de política, economia, relações exteriores e sociedade da China. Receba a newsletter semanal, sem custo.

Hackers apagam dados de ~76 mil celulares infectados por “app espião”

Hackers que não se identificaram disseram ao site TechCrunch terem invadido os sistemas da empresa por trás do aplicativo WebDetetive e apagado os dados de ~76 mil celulares Android comprometidos — a maioria deles, brasileiros.

O WebDetetive é (ou era) um “stalkerware”, também conhecido por “spouseware” ou “app espião”: um software que, ao ser instalado no celular da vítima, passa a enviar a um servidor remoto (e ao perseguidor que instalou o app) dados que vão de fotos e mensagens a gravações do microfone e a localização exata do celular.

A reportagem do TechCrunch conseguiu confirmar, com a ajuda do coletivo DDoSecrets, a veracidade da invasão a partir de arquivos vazados pelos hackers, mas não se eles de fato apagaram os dados coletados sem autorização dos celulares das vítimas do WebDetetive. Esses dados, obviamente, não constam no conjunto de dados vazados.

O foco no Brasil da desenvolvedora do WebDetetive, sediada na Espanha, não é por acaso.

Uma pesquisa da Kaspersky, do início de 2022, descobriu que aplicativos espiões são a forma mais comum de perseguição digital no país. Para piorar, é um risco oculto à maioria: 70% dos respondentes disse desconhecer a existência de apps do tipo.

Apps espiões também têm a capacidade de se esconderem dentro do celular, o que dificulta sua detenção pela vítima. Seu uso está diretamente ligado a abusos que, em alguns casos, podem levar ao feminicídio.

A Kaspersky tem um bom material sobre o assunto.

Dangerzone mitiga o risco de ataques via documentos ou imagens adulterados

Documentos e imagens podem ser vetores para a disseminação de vírus e outras pragas digitais. O aplicativo Dangerzone ajuda a mitigar esse risco.

Como? Com “sandboxes” isoladas do sistema operacional e uma ideia engenhosa de desconstrução e reconstrução dos arquivos suspeitos.

Transcrevo (e traduzo) a descrição do site oficial:

Você dá a ele um documento no qual não sabe se pode confiar (por exemplo, um anexo de e-mail). Dentro de uma “sandbox”, o Dangerzone converte o documento em um PDF (se ainda não for um) e, em seguida, converte o PDF em dados brutos de pixels: uma enorme lista de valores de cores RGB para cada página. Então, em uma “sandbox” separada, o Dangerzone pega esses dados de pixels e os converte de volta em um PDF.

O aplicativo lida com arquivos *.pdf, documentos do Microsoft Office e LibreOffice e alguns formatos de imagens.

Um projeto da Freedom of the Press Foundation, o Dangerzone é gratuito, tem o código aberto e versões para Linux, macOS e Windows. Baixe-o aqui.

2

O Firefox 115, lançado nesta terça (4), é a última versão compatível com os Windows 7 e 8 e com o macOS 10.14 (Mojave) e anteriores. A Mozilla orienta quem ainda estiver nessas versões que use o Firefox ESR a fim de continuar recebendo atualizações críticas de segurança — até setembro de 2024. Via Mozilla (em inglês).

5

O Google atualizou sua política de contas inativas. A partir de dezembro de 2023, contas inativas há mais de dois anos serão apagadas. Há diversas exceções, como as que tenham assinaturas pagas ativas ou vídeos no YouTube. Antes da exclusão, o usuário receberá alguns alertas. O Google justifica a medida do ponto de vista da segurança, dizendo que contas inativas são mais suscetíveis a invasões. Parece-me uma boa iniciativa. Via Google (em inglês).

Discord entra no servidor Brasil

13

No último domingo (30/4), o Brasil conheceu o Discord. Em uma longa reportagem, o Fantástico da Rede Globo denunciou a existência de grupos na plataforma que estimulam e assediam adolescentes a cometerem atos cruéis contra si mesmos.

(mais…)