Segurança

O dia que a EFF elogiou uma ação do Google

por Cesar Cardoso

Não é zueira, não, é sério: 14 de janeiro de 2022, o dia que a Electronic Frontier Foundation (EFF) elogiou uma ação do Google. Motivo? O Android 12 permite desligar completamente o acesso a redes 2G.

A EFF tem feito campanha pelo desligamento das veneráveis redes GSM porque é um padrão de 1991, e em 1991 ninguém estava preocupado com coisas como torres falsas pra roubar informações dos usuários ou atacantes colocando sniffers na rede pra capturar informação de incautos (ou, sei lá, alvos).

Além disso, como notou o Xataka, ao desligar o suporte a 2G, ganha-se um pouco de bateria, já que o telefone não tentará se conectar a estas redes — e, dependendo do país, você poupa o telefone de procurar por redes que não existem.

O problema, como se sabe, é que nada que não dependa do Play Services é fácil no mundo Android. Se você tem um Pixel, tudo bem, mas se tem de outro OEM depende do OEM achar uma boa ideia colocar o botão de desligamento e, claro, em países onde as operadoras ainda vendem telefones bloqueados, a operadora tem que querer colocar o botão.

Bom, eu acho que… er… já não tem lá os padrões LTE pra M2M e IoT? Então, vamos usá-los e dar um enterro digno ao GSM clássico.

Pinguins Móveis é uma newsletter semanal documentando e analisando a marcha do Linux por todos os cantos da eletrônica de consumo — e, portanto, das nossas vidas. Inscreva-se aqui.

1Password recebe investimento de US$ 620 milhões para focar em clientes corporativos

5

O 1Password anunciou nesta quarta (19) uma rodada de investimento série C de US$ 620 milhões, avaliando a empresa em US$ 6,8 bilhões. Parte da base de usuários, porém, está preocupada com o novo direcionamento da empresa, que até pouco tempo atrás nunca havia recebido investimento externo e, mesmo assim, sempre fora lucrativa. Via 1Password (em inglês).

Com os novos investimentos, o 1Password parece estar mudando o foco para clientes corporativos com o objetivo de tornar-se um unicórnio e/ou abrir capital em algum momento futuro. (Esta página do “futuro” do 1Password dá uma boa ideia.)

Duas decisões controversas nos últimos meses abalaram a reputação até então imaculada do 1Password, ao menos entre clientes individuais:

  1. Trocar a base do aplicativo para macOS, plataforma onde o 1Password surgiu, de código nativo para Electron — a mesma usada nas versões para Linux e Windows.
  2. Ocultar e desincentivar a compra única e o uso de cofres no formato de arquivos acessíveis localmente em favor do modelo de assinatura baseado em nuvem.

Note que o 1Password sempre foi um negócio lucrativo, mas a julgar pelo comunicado assinado pelo CEO Jeff Shiner, isso não é mais suficiente:

É verdade que parece peculiar para uma empresa consistentemente lucrativa aceitar financiamento externo. Mas, assim como da última vez [US$ 100 milhões em julho de 2021], estas parcerias nos permitem desenvolver e dimensionar soluções de segurança centradas no ser humano para todos.

O caminho que o 1Password pretende seguir lembra o do Dropbox, que nasceu como um aplicativo simples, rápido e eficiente para pessoas comuns sincronizarem arquivos entre múltiplos dispositivos, e hoje oferece uma série de serviços, com um aplicativo pesado e invasivo (também feito em Electron), com foco em clientes corporativos.

Os insatisfeitos com o novo rumo do 1Password têm migrado para soluções de código aberto — Bitwarden e KeePassXC.

Antivírus que mineram criptomoedas no meu computador. Devo me preocupar?

Um post de Cory Doctorow no Twitter ressuscitou uma polêmica de 2021: o antivírus Norton 360, da NortonLifeLock, estaria minerando criptomoedas nos computadores dos usuários. É verdade, é um mau negócio, mas não é tão ruim quanto parece, ou como a mensagem de Cory dá a entender.

O módulo de mineração de criptomoedas, chamado Norton Crypto, foi incluído no Norton 360 em junho de 2021. O usuário do antivírus interessado pode ativá-lo, juntando-se a outros usuários que também ativaram-no para minerarem criptomoedas juntos, o que aumenta a chance de ganhar uns trocados. O dinheiro gerado, ou sua parcela dele, é depositado em uma carteira digital criada pela NortonLifeLock, que cobra 15% de comissão por todo esse trabalho.

O Norton Crypto é opcional e vem desativado por padrão. Mais importante, ele só fica disponível em computadores potentes, com placa de vídeo dedicada com pelo menos 6 GB de RAM — em outras palavras, apenas computadores gamers caros e recentes. Nessas condições, o módulo entra em ação quando o computador está ocioso, fazendo os cálculos necessários para validar transações de criptomoedas, trabalho que é recompensado com novas criptomoedas.

As salvaguardas da NortonLifeLock parecem corretas, mas isso não significa que seja uma boa ideia, muito menos um bom negócio. Como se vê pela reação pública ao post de Cory, incluir um minerador de criptomoedas, tipo de software associado a invasões e vírus maliciosos, é um incinerador de reputações. (A maioria dos antivírus classificam mineradores de criptomoedas como malware.)

Além disso, a comissão cobrada pela NortonLifeLock é alta e os ganhos provavelmente não compensam o aumento na conta de luz. O The Verge fez os cálculos e concluiu que, nos Estados Unidos, alguém que se aventure pelo Norton Crypto fica no empate. Imagine no Brasil, com bandeira vermelha, crise hídrica, termelétricas a todo vapor…

A NortonLifeLock é a parte de varejo/consumidor doméstico da antiga Symantec — a outra parte, corporativa, foi comprada pela Broadcom em 2019 por ~US$ 10 bilhões. A NortonLifeLock tem outros antivírus em seu portfólio além do Norton 360, como o gratuito Avira, com 500 milhões de usuários, que recentemente também ganhou um módulo opcional de criptomoedas. Não bastasse isso, em agosto de 2021 a NortonLifeLock comprou a Avast por US$ 8,6 bilhões. O antivírus da Avast ainda não tem módulo de criptomoedas. Ainda.

O que fazer? Nada. Se você já usa o Norton 360 ou o Avira Antivirus, é bem provável que o módulo de criptomoedas esteja desativado e nem possa ser ativado, devido à configuração do computador. Se não usa, vida que segue.

Entendo, porém, que notícias como essa possam causar um abalo na confiança. Se for o caso, não é como se faltassem opções de antivírus no mundo Windows. A AV-Comparatives realiza testes regulares com os mais populares e é uma boa fonte de pesquisa. E, vale sempre lembrar, o Windows 10/11 já vem com um antivírus pré-instalado, o Windows Defender, que é bem avaliado e deve ser suficiente para protegê-lo(a) de ameaças digitais.

1

Uma falha do tipo “dia-zero” na biblioteca Log4j, da Apache, foi divulgada e corrigida na última sexta-feira (10). A biblioteca é usada no processo de autenticação via internet por grandes empresas, como Amazon, Apple, Cloudflare, Steam, Tesla e servidores de jogos como Minecraft. Por isso, e pelo modo como permite que a biblioteca seja explorada, a falha é considerada gravíssima: basta uma “string” (um texto) executada remotamente para que o atacante obtenha acesso e privilégios no computador-alvo, podendo depois disso instalar softwares e capturar dados. Via The Hacker News (em inglês).

O Bleeping Computer listou alguns casos em que a falha na Log4j já está sendo explorada: instalação de mineradores de criptomoedas, “recrutadores” de botnets e captura silenciosa de dados. Via Bleeping Computer (em inglês).

Apesar de corrigir a falha na versão 2.15.0, pode levar algum tempo para que os milhões de servidores que usam a biblioteca Log4j atualizarem — e não há garantia de que todos farão isso. O potencial de estragos é enorme.

Um detalhe deprimente: o mantenedor da Log4j faz isso nas horas vagas e tem três apoiadores (pessoas que pagam pelo seu serviço) no GitHub. A gente já viu esse filme: softwares que sustentam negócios trilionários mantidos por voluntários em seu tempo livre. Está tudo errado. Via @FiloSottile/Twitter (em inglês).

O Ministério da Saúde sofreu um ataque hacker nesta madrugada. Durante horas, o site exibiu uma mensagem do grupo que reclamou a autoria do ataque, o Lapsus$ Group, dizendo que eles haviam sequestrado 50 TB de dados da Saúde, informação ainda não confirmada. Na manhã desta sexta (10), serviços da pasta, como o ConecteSUS, que emite o certificado de vacinação da Covid-19, estavam inacessíveis ou instáveis. Em nota, o Ministério da Saúde informou que a Polícia Federal e o Gabinete de Segurança Institucional foram acionados e que o Datasus está tentando restabelecer os sistemas. Via Folha de S.Paulo, Tecmundo, G1.

Para sua segurança, esqueça suas senhas

27

O NordPass, gerenciador de senhas da NordVPN1, fez um levantamento das senhas mais comuns que as pessoas usam. Eles analisaram um banco de dados de 4 TB junto a pesquisadores independentes para descobrir que a senha mais popular é 123456.

Não é preciso ser um gênio para desconfiar de que 123456 não é uma boa senha.

(mais…)

O destaque do Firefox 95, lançado nesta terça (7), é uma tecnologia de sandboxing chamada RLBox. Ela isola componentes do navegador a fim de mitigar falhas neles e, com isso, prevenir ataques — até mesmo as do tipo “zero-day”. Importante, ainda que não seja nada empolgante. A versão do macOS ganhou melhorias em velocidade e o botão do modo PIP (em vídeos) agora pode ser posicionado à esquerda do tocador. Via Mozilla (em inglês), Mozilla Hacks (em inglês).

1

Lamentável toda a situação envolvendo Thiago Tavares, presidente da SaferNet, que se exilou na Alemanha após sofrer ameaças e ter seu computador invadido, reflexo do recrudescimento do cenário brasileiro. Via Uol Tilt.

Na carta em que anunciou a decisão, um detalhe chamou a atenção: Thiago afirma que teve seu computador infectado pelo Pegasus, software espião da empresa NSO Group, sediada em Israel, no noticiário há alguns meses por uma série de casos do tipo, ou seja, em que foi usado contra ativistas, jornalistas e opositores.

O Pegasus é um software poderoso. Ele se instala discretamente e concede acesso a praticamente tudo que existe no celular da vítima. Segundo o NSO Group, o Pegasus é vendido (supostamente) apenas a governos e autoridades, e tem como alvos celulares — ele ataca os sistemas Android e iOS. No comunicado à imprensa em que anunciou que processaria a empresa israelense, a Apple sequer menciona o macOS, seu sistema para computadores.

No dia 3 de dezembro, o perfil da SaferNet no Twitter enviou uma mensagem aos perfis da Apple e da Adobe pedindo para que as empresas trabalhassem na correção do vetor de ataque usado pelo NSO Group.

Vale lembrar que a última falha explorada pelo Pegasus/NSO Group afetava iOS, macOS e watchOS a partir do iMessage. Até agora, porém, não se tinha notícia de um ataque ao macOS.

Fica a dúvida, então: ou a SaferNet confundiu-se, ou o Pegasus evoluiu. Sendo quem é, seria um deslize muito óbvio tal confusão.

O Manual do Usuário entrou em contato com a SaferNet pedindo esclarecimentos. Aproveito para prestar toda a solidariedade ao Thiago — aspectos técnicos chamam a atenção, mas não se sobrepõem à gravidade da situação como um todo.

1

O Facebook lança no Brasil, nesta quinta (2), o Facebook Protect, programa de proteção adicional a usuários e administradores de páginas mais suscetíveis a ataques — em especial, gente envolvida com eleições.

Os principais aspectos do programa são:

  • Forçar a adoção da autenticação em dois fatores;
  • Dar maior atenção a tentativas de invasão dessas contas; e
  • Garantir a autenticidade de quem posta em páginas.

Não tem como se candidatar a ele; é o Facebook quem determina perfis elegíveis e envia uma notificação/convite para o Facebook Protect. Via Uol Tilt, Facebook.

Lembrete: autenticação em dois fatores não é exclusividade dessa iniciativa, está disponível para todos os usuários. É, de longe, a melhor medida que alguém pode fazer para proteger sua conta. Veja como ativá-la no Facebook.

10

O Firefox Lockwise, gerenciador de senhas da Mozilla para Android e iOS, será encerrado no próximo dia 13 de dezembro. Na real, só o aplicativo próprio sairá de cena. O recurso de salvamento e gerenciamento de senhas continuará existindo, mas dentro do Firefox, em computadores e celulares. Via Mozilla.

“Sideloading” é o melhor amigo dos criminosos digitais e exigir isso no iPhone seria uma corrida do ouro para a indústria do malware.

— Craig Federighi, vice-presidente sênior da Apple.

A fala de Craig, na Web Summit, em Lisboa, Portugal, foi uma resposta à intenção da União Europeia de forçar a Apple a abrir o iOS ao “sideloading”, ou seja, à instalação de aplicativos por fora da App Store.

A posição da Apple é, obviamente, influenciada pelo pedágio que cobra de desenvolvedores que publicam apps no iOS, mas não é despida de mérito. O assunto dá um bom debate, mas que acaba interditado quando se adota essa linguagem terrorista. Sem surpresa, a Apple ou seus executivos não citam pontos potencialmente positivos do sideloading no iOS. Dá para imaginar o porquê. Via The Verge (em inglês).

5
3
Print recortado do Bradesco Cartões, em que se lê: “Para receber mensagens de notificação, é necessário que você habilite o rastreamento nos ajustes do seu celular. Ajustes > Bradesco Cartões > Permitir rastreamento.”
Imagem: Bradesco Cartões/Reprodução.

O aplicativo Bradesco Cartões para iOS, do Bradesco, inaugurou uma nova estratégia, uma espécie de chantagem, para obter a permissão dos clientes para que sejam rastreados.

Ao negar ao app o direito de rastrear seus passos em outros apps e na web com aquele recurso de Transparência no Rastreamento em Apps (ATT, na sigla em inglês), obrigatório desde o iOS 14.5, o Bradesco Cartões impõe uma série de restrições, como “ver só um extrato por mês e não ver as transações recentes”, segundo o leitor do Manual do Usuário, dono de um cartão Bradesco, que fez a denúncia.

Ao ser aberto, o app Bradesco Cartões exibe um popup com o seguinte pedido:

Para receber mensagens de notificação, é necessário que você habilite o rastreamento nos ajustes do seu celular. Ajustes > Bradesco Cartões > Permitir rastreamento.

Não há qualquer tipo de vinculação ou justificativa técnica para tal “necessidade”. A Apple, aliás, proíbe esse tipo de condicionamento na cláusula 3.2.2, alínea VI das diretrizes da App Store. Tradução livre e grifo meu:

[…] Aplicativos não devem exigir que os usuários avaliem o aplicativo, escrevam reviews do aplicativo, assistam a vídeos, façam o download de outros aplicativos, toquem em anúncios, permitam rastreamento ou tomem outras ações similares para acessar funcionalidades, conteúdo, usem o aplicativo ou recebam compensação financeira ou outra, incluindo, mas não se limitando a, cartões-presente e códigos.

Questionei o Bradesco sobre essa prática. O banco enviou a seguinte resposta:

Para a segurança dos clientes Bradesco, usuários do aplicativo de cartões, são utilizadas algumas informações do aparelho no processo de onboarding para evitar invasões e cadastros fraudulentos. Por motivos de segurança, não são divulgados os campos que são utilizados para não expor informações que fazem parte dos motores antifraude do Banco. A palavra “rastreamento” é utilizada no sentido de executar testes com objetivo de garantir a segurança do usuário e não o ato de rastrear sua mobilidade.

Sobre a menção ao regulamento da loja, vale ressaltar que todas as versões dos aplicativos Bradesco são submetidos a etapas de testes e qualidade, além do processo rigoroso de aprovação das lojas. Importante reforçar que o Bradesco tem claro em seu propósito a geração de valor para seus clientes, através de melhorias contínuas em seus produtos e serviços, partindo da centralidade do cliente.

Também pedi um posicionamento à Apple, mas até a publicação desta nota a empresa não havia retornado. Se e quando recebê-lo, acrescentarei aqui mesmo.

Era só o que faltava. Obrigado, leitor!

3

Há alguns dias, o Fastmail tem estado bem instável. (Enquanto escrevo isso, minha caixa de entrada pessoal está inacessível.) O motivo é um ataque grande e continuado de negação de serviço (DDoS), que o Fastmail está tentando mitigar.

Outros provedores de e-mails menores, como Mailbox, Posteo e Runbox, também estão sofrendo com ataques DDoS. No Twitter, o perfil do Mailbox informou que trata-se de criminosos chantageando esses provedores e pedindo bitcoins para cessarem os ataques. @Fastmail/Twitter (2) (em inglês), @mailbox_org/Twitter (em inglês).

É chato ficar com o e-mail inacessível, mas pior seria ceder a esse tipo de coisa. O Fastmail tem uma página de status e tem dado atualizações da situação em seu perfil no Twitter.

Um canal de YouTube pode valer muito dinheiro — os criminosos digitais também sabem disso. Nos últimos anos, cresceu a quantidade de ataques direcionados a youtubers com o intuito de se apropriarem dos seus canais.

O Grupo de Análises de Ameaças do Google detalhou esse tipo de ataque e os esforços que o Google/YouTube tem feito para mitigá-los. Os atacantes miram em cookies de sessões, pequenos arquivos do navegador que salvam a autenticação na sessão — permitem acessar o YouTube já logado.

Não é um ataque novo, mas o interesse por ele foi renovado graças à difusão do segundo fator de autenticação, uma camada extra de proteção que o Google/YouTube tem promovido junto aos youtubers. O cookie capturado consegue burlar essa camada extra.

A captura dos cookies é feita por malwares que os youtubers instalam voluntariamente em seus computadores, enganados por propostas de parcerias ou publicitárias. Foi o que aconteceu com o youtuber brasileiro de games Zangado, no final de 2020. Criminosos ofereceram a ele acesso antecipado a um jogo, que, na realidade, era um malware. Zangado perdeu seu canal, mas conseguiu recuperá-lo posteriormente.

De acordo com o Google, os canais roubados podem ter dois destinos: serem vendidos a terceiros, por valores que variam de US$ 3 a 4 mil, ou serem usados para aplicar golpes envolvendo criptomoedas — os “novos donos” fazem uma live e enganam os inscritos do youtuber original.

Por tratar-se de um ataque direcionado, os números do Google/YouTube impressionam. Desde maio deste ano: “Bloqueamos 1,6 milhões de mensagens [de ataques], exibimos 62 mil alertas de tentativa de ataques no navegador, bloqueamos 2,4 mil arquivos e restauramos com sucesso 4 mil contas [comprometidas].”

Além dos esforços que faz do seu lado, o Google/YouTube oferece orientações para evitar e reportar ataques de phishing. Via Google (em inglês).

O WhatsApp começou a liberar backups na nuvem (Google Drive/iCloud) criptografados de ponta a ponta. Se a sua conta já estiver liberada, basta seguir estas instruções.

Atenção redobrada, porém: “Se você perder suas conversas do WhatsApp e não se lembrar de sua senha ou chave, não será possível restaurar seu backup. O WhatsApp não pode redefinir sua senha nem restaurar seu backup para você.” Via @zuck/Facebook (em inglês), WhatsApp.