Segurança

6

Quando você troca de número de celular, o Telegram não remove automaticamente o número antigo. Paula Gomes, chapa deste Manual do Usuário, descobriu isso da pior maneira possível.

Ela trocou de número de celular e, um tempo depois, alguém que comprou um chip que seu número antigo, “reciclado” pela operadora, ganhou acesso à sua conta no Telegram. A pessoa “saiu de uns grupos, entrou em outros e adicionou contatos”, relatou no Twitter.

O Telegram menciona esse cenário, da troca de número, em sua documentação. O texto é confuso. Há três possibilidades: descartar o número antigo, mantê-lo enquanto outro é usado temporariamente (durante uma viagem internacional, quando o usuário troca o seu chip por um local) e continuar usando ambos os números.

Aparentemente (não entendi muito bem), se você se autentica com o novo número em sua conta antiga, os dois números, antigo e novo, ficam vinculados à mesma conta. Para remover o antigo, é preciso acessar as configurações e removê-lo manualmente.

Como o login não depende necessariamente do número de telefone, muitas pessoas não se atentam a isso. Talvez achem que a lógica do WhatsApp, que não vincula mais de um número à mesma conta e exclui contas antigas vinculadas a números desativados depois de feita a migração para o novo, valha para o Telegram também, o que não é verdade.

(O modelo do Telegram, que prioriza a disponibilidade em múltiplos dispositivos, abre algumas brechas do tipo. Deltan Dalagnol que o diga…)

Bom, fica a dica. Outra medida útil para evitar situações como a que a Paula passou é ativar a senha do Telegram (autenticação em dois fatores). Nesse caso, mesmo que alguém herde seu número antigo e ele ainda esteja vinculado à sua conta no Telegram, essa pessoa não conseguirá acessá-la sem a senha.

12

O LastPass avisou na quinta-feira (22) que na invasão sofrida em agosto, divulgada no início de dezembro, cofres criptografados que armazenam as senhas dos usuários foram levados.

Além da demora em divulgar essa informação, a forma com que fez gerou críticas. Especialistas em segurança digital e até rivais dizem que o LastPass está minimizando a gravidade da situação e que o último comunicado, dias antes do Natal, preparou o terreno para jogar a culpa de possíveis senhas comprometidas nos usuários.

O The Verge fez um bom apanhado dessas reações.

A essa altura, não é exagero dizer que o uso do LastPass é um risco. Se for o seu caso, talvez seja uma boa tirar um dia para migrar para outra solução (1Password, Bitwarden e KeePassXC são alternativas recomendáveis) e trocar as senhas pelo menos dos serviços mais sensíveis. Via LastPass.

5

A Apple lançou nesta terça (13) o iOS/iPadOS 16.2 e o macOS 13.1. O destaque da atualização é o novo aplicativo Freeform, uma folha em branco infinita com suporte a colaboração em tempo real. Parece interessante para se usar com a canetinha no iPad.

Nos Estados Unidos, as atualizações liberam a criptografia de ponta a ponta do iCloud. O recurso é opcional e vem desativado por padrão. No resto do mundo, o recurso só chega no início de 2023.

Outros recursos dignos de menção é o modo karaokê para o Apple Music e a nova restrição ao AirDrop, que passa a funcionar de modo público em blocos de 10 minutos — depois disso, ele reverte para o modo limitado a contatos.

Mesmo que os novos recursos não lhe chamem a atenção, as atualizações são importantes devido à segurança: as listas de correções (iOS/iPadOS, macOS) são grandes e contêm falhas graves, que permitem a execução remota de código. watchOS e tvOS também foram atualizados. Via Apple (em inglês).

2

A Apple anunciou três novos ótimos recursos de segurança/privacidade para o iCloud, incluindo a “Proteção Avançada de Dados” que, ao ser ativada, expande a criptografia de ponta a ponta para quase tudo salvo na nuvem da empresa — backups do iOS, fotos, notas e tudo mais; só ficam de fora e-mail, agenda de compromissos e contatos, por usarem protocolos abertos incompatíveis com a criptografia de ponta a ponta.

Isso significa que em contas com a Proteção Avançada de Dados ativada, nem mesmo a Apple poderá acessar os dados armazenados em seus servidores.

Por isso, o recurso é “opt-in”, ou seja, desativado por padrão: ao ativá-lo, o suporte da Apple perde a capacidade de “resetar a senha” em caso de esquecimento.

Outra novidade legal é o suporte a chaves de segurança físicas, como as YubiKeys. O comunicado à imprensa deixa subentendido que isso permitirá desativar o número de telefone como segundo fator de autenticação.

A terceira novidade é uma verificação de contatos para o iMessage, o tipo de coisa que só é importante nos Estados Unidos, onde o aplicativo é usado.

Todos os três recursos serão disponibilizados no mundo inteiro no início de 2023. Via Apple (em inglês).

20

O LastPass sofreu outra invasão — a segunda em 2022. De acordo com a empresa, os invasores usaram informações obtidas no ataque anterior, de agosto, para acessar uma nuvem de terceiros usada pela empresa e conseguirem informações dos clientes/usuários. As senhas armazenadas no serviço, que são criptografadas, não foram afetadas.

Desde 2015, somente em dois anos (2018 e 2020) o LastPass não foi alvo de ataques ou apresentou falhas de segurança. Para um serviço que gerencia senhas, é um histórico ruim, ainda que, segundo a empresa, em nenhum momento as senhas em si tenham sido afetadas. Fica difícil confiar.

Felizmente, existem alternativas melhores no mercado, como 1Password, Bitwarden e KeePassXC — os dois últimos, gratuitos e de código aberto. Se você é um dos 33 milhões de usuários que o LastPass alega ter, talvez seja boa ideia começar a planejar uma migração. Via LastPass (em inglês).

Criei minha própria VPN

23

O pessoal do marketing é muito bom em inventar novos nomes para coisas triviais. Lembro de “nuvem”, termo quase esotérico que, na prática e de modo bem simplificado, é só o computador de uma empresa que você consegue acessar via internet.

“VPN” é outro desses termos — embora, imagino, não tenha sido cunhado por um publicitário. Daria para explicar o que é uma VPN de inúmeras maneiras (uma tentativa com milhares de palavras). No modo bem resumido, VPN é um acesso direto e protegido do seu celular/computador a outro computador. “Virtual Private Network”, rede privada virtual, sacou?

(mais…)

Já dá para sair de casa levando apenas o celular

2

Neste Guia Prático, Rodrigo Ghedin e Jacque debatemos se já é possível sair de casa apenas com o celular, deixando para trás cartões, dinheiro, carteirinha e outros papéis. Se sim, quais as vantagens e desvantagens dessa prática? E se não, seria apenas questão de tempo?

(mais…)

1

O Google liberou o suporte a chaves-senha no Android e no Chrome. O padrão, que a Apple inaugurou em dispositivos comerciais com o iOS 16, substitui senhas por dispositivos na hora de autenticar-se em sites e aplicativos. Numa explicação grosseira, o seu celular vira a “senha”.

Por ora, as chaves-senha no Google estão restritas a canais de testes. A empresa disse que espera promovê-las ao Google Play Services e Chrome estáveis até o fim do ano e desenvolver, ainda em 2022, uma API para aplicativos nativos no Android. Via Google (em inglês).

19

O Nubank reagiu às quadrilhas “limpa contas” — criminosos que roubam celulares para transferir valores de bancos digitais pelo aparelho — ao anunciar, nesta quinta (13), o “modo rua”.

Ainda em testes, ele permite definir limites menores para transações (a princípio, Pix, TED e boletos) quando o celular estiver fora do alcance de uma rede Wi-Fi segura.

Os testes do “modo rua” começam nos próximos dias, com uma base selecionada de clientes. O Nubank não informou quando o novo recurso será estendido a toda a base de clientes. É um paliativo que pode ser útil em determinadas situações.

No mesmo comunicado à imprensa, o Nubank lista outras medidas de segurança sem informar se são novas. Ali tem duas que parecem mais úteis que o “modo rua”: o “aviso de golpe”, que detecta transações atípicas, e uma nova ferramenta de atendimento prioritário para golpes e roubos, furtos e coerções. Para clientes, é bom ter esses links salvos nos favoritos. Via Nubank.

por Shūmiàn 书面

Uma das maiores empresas de telefonia celular tailandesas, a AIS, assinou um acordo de cooperação com a chinesa ZTE para criar um hub de pesquisa e desenvolvimento em tecnologia 5G em Bangcoc, capital da Tailândia. As duas pretendem lançar tablets e smartphones conjuntamente, além de oferecer soluções para negócios e construir infraestrutura digital para a tecnologia 5G no país do sudeste asiático.

Pouco antes do anúncio do acordo, o The Japan Times publicou uma matéria sobre como as tecnologias disponibilizadas pela China na Rota da Seda Digital, sobretudo as de monitoramento com inteligência artificial, são temidas por ativistas e sindicalistas em países asiáticos: sob o argumento de aumentar a segurança pública, esse aparato seria usado para controle social, como é feito em locais politicamente sensíveis como Xinjiang e Tibete.

O Camboja, por exemplo, instalou aproximadamente 1.000 câmeras de vigilância fornecidas pela China na capital Phnom Penh, constrangendo a realização de manifestações na cidade e levantando debates sobre privacidade e transparência sobre os dados coletados.

A Shūmiàn 书面 é uma plataforma independente, que publica notícias e análises de política, economia, relações exteriores e sociedade da China. Receba a newsletter semanal, sem custo.

Acreditamos que acrescentar armas a robôs operados à distância ou autônomos, amplamente disponíveis ao público e capazes de chegar a locais antes inacessíveis onde pessoas vivem e trabalham, traz novos riscos de danos e sérias questões éticas. O armamento desses robôs também abalará a confiança do público na tecnologia de forma a prejudicar os enormes benefícios que eles trarão à sociedade. Por esses motivos, não apoiamos o armamento de nossos robôs móveis de uso geral.

— Boston Dynamics e outras empresas do setor, em carta aberta.

As empresas estão preocupadas com pessoas que têm modificado robôs de prateleira, à venda para o grande público, a fim de transformá-los em armas. O que poderia dar errado, né? Via Axios (em inglês).

2
2

por Shūmiàn 书面

Saíram mais informações sobre o hack que mencionamos há algumas semanas, quando o governo chinês fez uma acusação de ciberespionagem pela Agência de Segurança Nacional (NSA, em inglês) dos EUA. As invasões teriam sido feitas pela NSA contra a Universidade Politécnica do Noroeste da China, localizada em Xi’An.

Em junho, a direção da universidade anunciou tentativas de phishing para roubar dados de pesquisadores e alunos da instituição — o que eventualmente deu acesso ao sistema com dados sensíveis de diversas pessoas e à infraestrutura de telecomunicações. Uma força tarefa do National Computer Virus Emergency Response Center da China (CVERC) junto com uma empresa privada analisou os ataques, concluindo que 13 pessoas estavam envolvidas diretamente.

O plot twist é que a acusação veio principalmente do fato de que os hackers teriam invadido e mexido no sistema apenas durante os dias de semana, no horário das 9h da manhã até 16h da tarde do fuso da costa leste dos Estados Unidos. Além disso, eles teriam tirado “folga” coincidentemente nos mesmos dias de feriados importantes do país americano, como o 4 de Julho. Zichen Wang do Pekingnology explicou a história.

A Shūmiàn 书面 é uma plataforma independente, que publica notícias e análises de política, economia, relações exteriores e sociedade da China. Receba a newsletter semanal, sem custo.

6
Print do Bloco de notas com uma janela de alerta por cima avisando que é inseguro armazenar senhas no aplicativo. Sistema/Windows em inglês.
Imagem: Bleeping Computer/Reprodução.

O Windows 11 22H2 ganhou novos recursos de segurança para proteger a senha de login no sistema. Quando as opções correspondentes são ativadas (elas vêm desligadas por padrão), o sistema alerta quando a senha de login no Windows é digitada ou colada em aplicativos como Bloco de notas e Word, ou usada em sites na web.

Interessante, potencialmente útil, mas deve ser estranho saber que a Microsoft tem tanto poder de bisbilhotar tudo que você escreve até no singelo Bloco de notas. Via Microsoft, Bleeping Computer (ambos em inglês).

Eu anuncio que sou um hacker e a Uber sofreu um vazamento de dados.

— Hacker de 18 anos que invadiu sistemas internos da Uber e fez uma devassa.

A boa e velha engenharia social vitimou a Uber. Sistemas internos foram invadidos e dados sensíveis, como e-mails e códigos-fonte, levados. Parece algo grande e sério.

O anúncio acima foi feito pelo hacker no Slack da Uber. Funcionários acharam, a princípio, que era uma piada.

Não era. Via New York Times (em inglês).

1
8

A Avast comprou, por um valor não divulgado, a extensão I don’t care about cookies, que, como o nome sugere, elimina aqueles popups chatos em sites que pedem ao usuário para aceitarem ou rejeitarem cookies.

É uma boa hora para desinstalá-la. Aquisições do tipo geralmente ocorrem pelo acesso direto aos usuários — e a IDCAC tem muitos deles, pelo menos 1,5 milhão no Chrome, Firefox e Edge somados.

A funcionalidade pode ser replicada usando esta lista de regras de domínio, da própria extensão, em outra, a uBlock Origin. Via I don’t care about cookies (em inglês).