Anúncio Acesse versões internacionais da Netflix com a VPN do Surfshark

O escândalo de privacidade do OCSP no macOS Big Sur

Vários leitores me indicaram este post do pesquisador Jeffrey Paul em que ele cita o OCSP, um protocolo usado pelo sistema de segurança do macOS chamado Gatekeeper que se comunica periodicamente com servidores da Apple. Para Jeffrey, o uso do OCSP representa uma falha grave de privacidade porque os envios não são criptografados e revelam quais apps cada usuário executa em seu computador.

O OCSP atua no macOS desde a versão Mojave, de 2017, e, como o nome indica (é uma sigla para Online Certificate Status Protocol), serve para verificar se um app que o usuário deseja rodar usa certificados válidos. A Apple pode e sempre revoga certificados usados por apps comprometidos, vírus e outras ameaças, impedindo-os de serem executados e causarem danos ao computador. O OCSP é, pois, um recurso de segurança que não havia chamado a atenção (ver aqui e aqui). Chamou agora por dois motivos:

  1. Na noite da última quinta (12), os servidores da Apple que fazem a verificação do OCSP ficaram muito lentos, talvez por sobrecarga. O macOS tem uma condicional para ignorar a verificação caso esses servidores estejam inacessíveis, mas como eles estavam acessíveis, só que muito lentos, o sistema manteve a verificação, que — você adivinhou — ficou bem lenta, a ponto de prejudicar o uso do computador.
  2. No macOS Big Sur, lançado no mesmo dia, o serviço responsável pelo OCSP e alguns outros relacionados a aplicativos da própria Apple foram “escondidos” do usuário, de modo que apps de monitoramento do tráfego/firewalls, como o Little Snitch, não conseguem mais barrar esses contatos periódicos que o macOS faz com servidores da Apple.

Emprestando um termo batido de 2020 para descrever a situação, esse é o “novo normal” dos sistemas operacionais comerciais. A Microsoft encheu o Windows 10 de telemetria, sistemas móveis se comunicam o tempo todo com servidores centrais mesmo quando não estão em uso (o Android mais que o iOS) e o macOS não é exceção. E, que pesem a desconfiança e o risco à privacidade provocados por algo como o OCSP, ele tem uma função importante e útil, como a Apple descreve em sua documentação.

O gênio ter saído da lâmpada não significa que virou um vale-tudo, ou seja, o Gatekeeper, sistema de segurança em que o OCSP está implementado, pode ser mais transparente. Uma atualização datada desta segunda (16) na referida documentação da Apple trouxe mudanças. De imediato, a Apple parará de registrar os endereços IP e apagará todos os que já foram coletados. Em 2021, mais mudanças serão implementadas:

  • Um novo protocolo criptografado para verificações de certificados de desenvolvedores revogados;
  • Proteções mais robustas contra falhas de servidor; e
  • Uma nova opção aos usuários para desativar essas proteções de segurança.

A Apple, como no “bateria-gate” do iPhone, poderia muito bem ter se antecipado e evitado o desgaste. Ao fim, porém, as propostas de mudanças descritas acima soam a um bom equilíbrio.

Atualização (14h30): Pequenas mudanças na redação indicando que o OCSP é um protocolo aberto, não exclusiva da Apple, e parte do sistema Gatekeeper, que roda no macOS. Agradecimento ao leitor Douglas Caetano pelo toque!

Ministério da Saúde afirma que seus sistemas não foram invadidos

Coincidência ou não, surgiram relatos de que os sistemas informatizados de outros órgãos do poder público teriam sido hackeados, como os do Ministério da Saúde. Nesse caso, segundo a assessoria de imprensa, apenas algumas estações foram infectadas por um vírus, sem qualquer indício de invasão. O pedido do Departamento de Informática do SUS (DataSUS) para bloquear o acesso à internet e à rede interna foi por precaução, para evitar que o vírus se espalhasse. Via Reuters.

No Twitter, porém, um grupo chamado CyberTeam alega ter hackeado o site do Ministério da Saúde. Eles conseguiram colocar páginas HTML com mensagens em alguns locais do site.

O grupo responsável pelo hack no STJ

A partir do print do pedido de resgate encontrado nos sistemas do Superior Tribunal de Justiça (STJ), o Bleeping Computer, site especializado em segurança da informação, detectou o grupo por trás do ataque: é o RansomExx, que está bastante ativo desde junho e mira em alvos importantes — outras vítimas governamentais do grupo incluem os sistemas judiciário e de transporte público do Texas (EUA), o sistema de transporte público de Montreal (Canadá) e a Tyler Technologies, uma das maiores fornecedoras de tecnologia para o setor público dos EUA. Via Bleeping Computer (em inglês).

Ontem (5) à noite, o presidente do STJ, Humberto Martins, divulgou uma nota afirmando que os processos do tribunal estão seguros e que a inteligência do Exército se juntou à Polícia Federal para auxiliar nas investigações. Via Conjur.

O ataque hacker ao STJ

O Superior Tribunal de Justiça (STJ) sofreu um ataque hacker na tarde desta terça-feira (3). “Por precaução, os prazos processuais seguem suspensos até a próxima segunda-feira (9/11)”, diz a nota do Conselho Nacional de Justiça (CNJ). Até lá, demandas urgentes estão sendo encaminhadas por e-mail. E, no final da nota, o CNJ recomenda aos usuários que “não utilizem computadores, ainda que os pessoais, que estejam conectados com algum dos sistemas informatizados da Corte, até que seja garantida a segurança do procedimento”. O site do STJ está com uma página simples/temporária, informando o ataque e os procedimentos excepcionais postos em virtude dele.

A nota não especifica que tipo de ataque foi esse. Nesta quinta (5), Diego Escorteguy, em seu novo blog (?), afirma ter ouvido de uma fonte de dentro do STJ que se trata de um ataque do tipo ransomware, quando o hacker criptografa todos os dados da vítima e exige um pagamento para liberar a chave. Diz, ainda, que o ataque foi grave e que o STJ e que os técnicos do tribunal e especialistas terceirizados não estão conseguindo contornar o problema. Via CNJ, O Bastidor.

Detalhes dos dados de clientes do James Delivery vazados no começo do ano

Clientes do James Delivery, do Grupo GPA, que têm seus e-mails cadastrados no Have I Been Pwned (HIBP, serviço de monitoramento de vazamentos) receberam nesta quinta (5) um alerta de que seus dados no James vazaram. O vazamento ocorreu em março deste ano, foi divulgado em junho e afetou pouco mais de 1,5 milhão de pessoas. Segundo o HIBP, os dados vazados são endereço de e-mail, localizações dos clientes (expressas em latitude e longitude) e senhas criptografadas. Via HIBP (em inglês).

Facebook, Google e Twitter e a liberdade de expressão / Os (muitos) golpes de WhatsApp

Na volta do Guia Prático, Rodrigo Ghedin e Jacqueline Lafloufa comentam a audiência no Senado norte-americano em que os CEOs Jack Dorsey (Twitter), Mark Zuckerberg (Facebook) e Sundar Pichai (Alphabet/Google) foram questionados sobre a maneira com que lidam com liberdade de expressão e moderação em suas plataformas. No segundo bloco, falamos dos muitos, alguns bem novos, […]

Banco C6 deve indenizar cliente por falha de segurança que permitiu fraude

O C6 Bank foi condenado a pagar uma indenização de R$ 10 mil e a estornar quase R$ 30 mil na conta de um cliente que teve o celular roubado. O assaltante conseguiu fazer cinco transferências pelo aplicativo do celular para outras contas que totalizaram R$ 29.990.

Um detalhe curioso. O C6 argumentou que as transferências só poderiam ter sido feitas com a senha “secreta, pessoal e intransferível”. Na sentença, a juíza Claudia Carneiro Calbucci Renaux, da 7ª Vara Cível de São Paulo, disse que “a forma como a senha chegou ao conhecimento do terceiro assume pouca importância na conclusão da responsabilidade do banco”, e que caberia ao banco provar que o cliente teve participação na fraude. Via Jota (paywall).

Como ativar a verificação em duas etapas no Telegram

Procuradores, políticos e jornalistas relataram, nas últimas semanas, que tiveram suas contas no Telegram invadidas. A verificação em duas etapas (2FA, na sigla em inglês) do Telegram é uma senha adicional — e opcional — que o aplicativo pede ao ser instalado em um novo aparelho. Ela se soma ao código de login, enviado por SMS ou notificação em outros aparelhos que já tenham o app. Ao combinar algo que você tem (código de login) com algo que só você sabe (senha da 2FA), sua conta no Telegram fica mais protegida contra tentativas de invasão.


Receba a newsletter (grátis!):


No aplicativo, entre em Configurações, depois em Privacidade e Segurança e, nesta tela, em Verificação em duas etapas. Clique em Configurar Senha Adicional e, na telas seguintes, insira uma senha e confirme ela. Na sequência, o app pedirá um lembrete de senha e um e-mail de recuperação, para caso você se esqueça da senha da 2FA. Ao informar o e-mail, será preciso confirmá-lo com uma senha temporária que será enviada ao endereço.

Para aprender como ativar a autenticação em duas etapas no WhatsApp, leia isto.

Do NOT follow this link or you will be banned from the site!