BRECHAS DE SEGURANÇA EM IMPRESSORAS PÕEM EM RISCO DADOS DOS USUÁRIOS

NO BRASIL AS COISAS ACONTECEM, MAS DEPOIS, COM UM SIMPLES DESMENTIDO, DEIXARAM DE ACONTECER.

Segundo o site de tecnologia GIZMODO, um grupo de pesquisadores da  Ruhr University Bochum descobriu diversas vulnerabilidades de segurança em pelo menos 20 modelos de impressoras de grandes marcas ― Dell, HP, Lexmark, Brother, Samsung são alguns dos fabricantes possuem de modelos afetados pela falha ―, e alertou que pelo menos uma dessas brechas permite o roubo de informações que deveriam somente ser impressas (para mais informações, siga este link ou acesse este blog; para visualizar a tabela com os modelos afetados, clique aqui).

Algumas impressoras podem ser bloqueadas por ataque DDoS (*) ou resetadas para os padrões de fábrica. Pior ainda, no entanto, é a possibilidade de capturar documentos enquanto eles são enviados para impressão. Na pior das hipóteses, os pesquisadores dizem que um hacker poderia utilizar a impressora como um ponto de entrada para puxar as credenciais da rede de uma organização e ganhar níveis ainda maiores de acesso à rede.

O time diz ter entrado em contato com todas as marcas afetadas em outubro, e a Dell foi a única a responder. O Gizmodo entrou em contato com as companhias que foram identificadas e apurou que tanto a Lexmark quanto a HP estão investigando o caso. O site promete divulgar novas informações tão logo recebam outras respostas.

(*) Ataques DDoS consistem no envio de milhares de requisições simultâneas para um mesmo endereço, visando causar instabilidades ou mesmo levar o site a parar de responder. Numa analogia elementar, seria como uma central PABX, que deixa de redirecionar as ligações para os ramais quando a demanda cresce a ponto de esgotar sua capacidade operacional.

ALEXANDRE DE MORAES NO STF?

Ao longo da semana passada, Temer recebeu dezenas de indicações para a vaga que a morte de Teori Zavascki abriu no STF. O candidato mais forte era Mauro Campell, ministro do STJ, por seu perfil discreto e por ter sido amigo de Teori. Até mesmo o juiz Sergio Moro chegou a ser cogitado, mas sua escolha traria prejuízos à Lava-Jato, pois, uma vez no Supremo, o magistrado estaria impedido de julgar, no grau recursal ou habeas corpus, os processos em que atuou atuado na 13ª Vara Federal de Curitiba (não sei se Temer levou em conta essa questão, mas para mim ― e para os demais brasileiros que pugnam pelo fim da corrupção e pela punição exemplar de corruptos e corruptores ― isso era uma fonte de preocupação). Enfim, quando o dublê de Kojak e Kinder Ovo estava praticamente descartado, seu nome voltou à baila e desde então, como não poderia deixar de ser, o caldeirão de especulações começou a ferver. Vejamos o que disseram a propósito algumas figurinhas carimbadas da República ― até porque não tenho mais paciência para o besteirol exacerbado dos fanáticos, extremistas e teóricos da conspiração.

O ministro do Marco Aurélio Mello disse ver a indicação com bons olhos, pois, além de atual ministro da Justiça, Moraes é professor, constitucionalista, foi secretário de Segurança Pública em Sampa, na gestão Kassab, e secretário de Justiça e Segurança Pública no governo Alckmin. Eu diria também que ele é filiado ao PSDB, que advogou para o ex-presidente da Câmara Eduardo Cunha, que vazou informações sigilosas sobre as investigações da Lava-Jato e demonstrou total incompetência diante da crise no sistema carcerário. Isso sem mencionar que, em sua tese de doutoramento, sustentou que, na indicação ao cargo de ministro do Supremo, fossem vedados os que exercem cargos de confiança “durante o mandato do presidente da República em exercício”, para que evitar “demonstração de gratidão política”. Por esse critério, a meu ver, ele próprio deveria se dar por impedido e declinar da indicação. Mas não vai.

Para Claudio Lamachia ― presidente nacional da OAB ― “a sociedade brasileira espera que o ministro da Justiça, Alexandre de Moraes, um advogado e reconhecido constitucionalista, uma vez tendo confirmada sua indicação pelo Senado, exerça sua missão no STF pautada pela necessária independência e de forma absolutamente técnica”. Cá entre nós, não seria de se esperar exatamente isso de qualquer indicado para assumir uma vaga no STF?

O fato é que, se o ora indicado à vaga de ministro do Supremo não estava à altura do Ministério da Justiça, tampouco estará para compor nossa mais alta Corte de Justiça. E isso pode se tornar um problemão: ministros de Estado são exonerados regularmente, mas ministros do Supremo, salvo raras exceções, permanecem no cago até a aposentadoria compulsória ― o que garante a Alexandre de Moraes nada menos que 26 como guardião da Constituição (que Deus nos ajude). Mas Temer e seus acólitos parecem pensar diferente, haja vista a pressa do Senado em aprovar sua indicação para o cargo. Dilma levou mais um ano para substituir Joaquim Barbosa e ninguém morreu por isso ― mas essa senhora nunca foi referência para coisa alguma, de modo que..., bom, deixa pra lá.

Importa mesmo dizer é que, se as questões da homologação da Delação do Fim do Mundo e da relatoria da Lava-Jato já foram resolvidas, não há motivo para nomear o novo ministro a toque de caixa. Mesmo assim, o recém-eleito presidente do Senado, Estrupício de Oliveira, sucessor de Renan Caralheiros, anunciou na última terça-feira que a sabatina na CCJ e a votação em plenário devem ocorrer antes do Carnaval. E se o PMDB tem pressa, mau sinal, porque o partido disputa com o PT, cabeça a cabeça, o título de agremiação política com maior número de corruptos.

Observação: Adivinha quem foi eleito na última quinta-feira, por aclamação, para presidir a CCJ do Senado pelos próximos 2 anos? Edison Lobão ― que, quando era ministro de Minas e Energia, teria recebido R$ 1 milhão do dono da construtora UTC, Ricardo Pessoa, em troca de ingerência política em favor dos interesses do consórcio responsável pelas obras da usina nuclear Angra 3. O ex-diretor da Transpetro Sérgio Machado, outro delator da operação, disse que o senador “queria receber a maior propina mensal paga aos membros do PMDB”. Eis aí mais um dos “notáveis” de Michel Temer. É mole???

Deltan Dallagnol, coordenador da Lava-Jato, postou no Face que o novo ministro terá “forte impacto” no futuro da operação, sobretudo por poder inverter o placar da votação da questão relativa ao cumprimento de pena dos condenados em segunda instância ― tese avalizada pelo Plenário do Supremo no ano passado por 6 votos a 5, mas que, se mudar, pode prejudicar o trunfo representado pela delação premiada. Mais uma vez, “alea jacta est”.

E como hoje é sexta-feira:

Confira minhas atualizações diárias sobre política em www.cenario-politico-tupiniquim.link.blog.br/

NOVA AMEAÇA A SMARTPHONES COM SISTEMA OPERACIONAL ANDROID

O DINHEIRO É UMA MANSÃO QUE VOCÊ CONSTRÓI NUM BAIRRO DECADENTE DE PERIFERIA, QUE COMEÇA A DESMORONAR EM PUCOS ANOS. O PODER É UM VELHO E SÓLIDO CASTELO DE PEDRA QUE RESISTE AO PASSAR DOS SÉCULOS.

Milhões de aparelhos Android estão novamente vulneráveis, devido à descoberta de uma nova forma de explorar uma antiga vulnerabilidade já reparada pelo Google. Segundo a, NorthBit ― empresa de segurança baseada em Israel ―, a nova brecha encontrada no Stagefright (biblioteca multimídia do sistema) foi batizada de “Metaphor” e afeta aparelhos com versões de 2.2 a 4.0 e 5.0 e 5.1 do Android.

Segundo a empresa, o ataque funciona “melhor” nos aparelhos Nexus 5 do Google e com algumas modificações para o HTC One, LG G3 e Samsung S5. O ataque é uma extensão de outros desenvolvidos para o CVE-2015-3864 ― uma vulnerabilidade de execução de código remoto que o Google já havia reparado duas vezes.

A companhia de segurança Zimperium  encontrou as primeiras falhas no Stagefright no início de 2015, quando milhões de dispositivos foram afetados. Desde então, o Google tem direcionado repetidamente patches para as brechas no que analistas continuaram a encontrar. A NorthBit publicou um vídeo que exibia um ataque bem-sucedido, no qual a vítima é levada a clicar num link e a permanecer numa página específica da Web por algum tempo, enquanto o exploit realiza seu trabalho (o que pode levar de apenas alguns segundos a dois minutos). Nesse vídeo, a vítima usa um Nexus 6 e abre um link que a direciona para uma página com fotos de gatos, enquanto o NorthBit mostra a atuação do exploit.

Estima-se que cerca de 235 mil aparelhos Android rodam as versões 5.0 e 5.1 e cerca de 40 milhões rodam a versão 2.2. Chris Eng, vice-presidente de pesquisa da Veracode , disse que é provável que o Google resolva a questão rapidamente, mas a distribuição de patches do Stagefright tem sido irregular. “Reparar vulnerabilidades de aplicações é especialmente desafiador para a comunidade Android com um número de diferentes fabricantes e operadoras encarregadas com a responsabilidade de direcionar os reparos para os dispositivos”, disse Eng.

Enquanto isso, barbas de molho!

SEGURANÇA DIGITAL – FALHAS ZERO DAY (DIA ZERO)

CADA AÇÃO IMPLICA UMA REAÇÃO, E A IMPUNIDADE APARENTE É UM LOGRO.

Uma nova falha “zero-day” que afeta o Windows – com exceção da versão Server 2003 – foi descoberta dias atrás pela Microsoft. Segundo a empresa, o bug explora uma vulnerabilidade do POWER POINT que pode conceder a um cracker as mesmas prerrogativas do usuário legítimo do PC, abrindo as portas para a instalação não autorizada de sabe lá Deus o quê. A solução provisória, batizada pela Microsoft de “OLE packager shim workaroung”, funciona nas versões de 32-bit e 64-bit do PowerPoint 2007, 2010 e 2013.

Ataques zero-day se aproveitam de vulnerabilidades descobertas nos softwares antes que os fabricantes desenvolvam e disponibilizem as respectivas correções e geralmente buscam induzir a execução de códigos maliciosos mediante anexos de emails aparentemente interessantes e confiáveis, ou pelo redirecionamento da vítima para páginas contaminadas.

Observação: A Microsoft costuma utilizar ferramentas pró-ativas para garimpar incorreções em seus produtos, da mesma forma que os crackers mais sofisticados, que recorrem a fuzzers para identificar as brechas.    

Quando hackers sem vínculo com o desenvolvedor do software descobrem uma brecha (descoberta ética), eles costumam agir de acordo com um protocolo destinado a evitar ataques do dia zero – dando conta do problema ao desenvolvedor responsável e se comprometendo a não divulgar a descoberta até que a correção seja disponibilizada. Alguns, todavia, negociam com empresas de segurança digital, ou diretamente com os fabricantes dos softwares, a quem entregam as informações em troca de “recompensas” que podem chegar a centenas de milhares de dólares. Mas não é exatamente incomum essas falhas serem encontradas por crackers (hackers “do mal”), que as exploram ou negociam no submundo da TI.

Amanhã a gente conclui; abraços e até lá. 

A INSEGURANÇA DAS URNAS ELETRÔNICAS USADAS NO BRASIL

PRECISAMOS OLHAR ONDE TROPEÇAMOS, NÃO ONDE CAÍMOS.

Nas postagens de 20 de maio e 4 de agosto, falamos na confiabilidade (ou melhor, na falta dela) das nossas urnas eletrônicas – problema que muita gente atribui a delírios de alguns teóricos da conspiração, mas que me parece estar calcado em fatos reais.

Uma matéria publicada na Folha Política, no dia 9 de julho, dá conta de que um hacker de nome Rangel (supostamente vivendo sob proteção policial) afirma ter fraudado o resultado das eleições de 2012 para beneficiar candidatos da Região dos Lagos sem para tanto precisar invadir uma urna sequer (bastou-lhe obter acesso à intranet da Justiça Eleitoral do Rio de Janeiro).

Quer mais? Então vamos lá: o advogado e ex-ministro da Cultura Luiz Roberto Nascimento Silva publicou no jornal O Globo um artigo ponderando que, “num país onde se desvia merenda escolar, se rouba remédio popular e se desnaturam emendas parlamentares (...) é ingênuo não debater essa questão”. Já o doutor Antonio Pedro Dourado Rezende, do Depto. de Computação da Universidade de Brasília, em trabalho sobre o voto eletrônico esclarece: “A urna é confiável? É claro que a urna eletrônica é confiável, mas não no sentido que lhe dá o contexto costumeiro dessa pergunta. É confiável na medida em que uma máquina pode ser confiável, na acepção de ser previsível. No caso de uma urna, se entra software honesto, sai eleição limpa; se entra software desonesto, sai eleição fraudada”.

Mas nem tudo são más notícias. Segundo matéria publicada na Gazeta do Povo, aplicativo para celular batizado de Você Fiscal, financiado por doações, promete apontar possíveis falhas de segurança no processo eleitoral. O programa será usado para detectar qualquer tentativa de fraude ou erro no processo de totalização, que envolve a soma dos resultados parciais produzidos por urnas eletrônicas em todo o país. A ideia é simples: às 17h, quando a votação se encerra, os mesários são obrigados a fixar o boletim de urna na porta da seção eleitoral. O documento traz a contagem de votos naquela seção, separado por candidato. Com o aplicativo, será possível fotografar os boletins e enviar para a equipe da Unicamp. Lá, os pesquisadores vão comparar o boletim publicado com o resultado registrado e divulgado pelo TSE. Se alguém fraudar a urna depois da emissão do boletim, o aplicativo descobre.

Apesar de reconhecer que “os testes de segurança das urnas eletrônicas fazem parte do conjunto de atividades que garantem a melhoria contínua deste projeto”, o TSE não fará nenhum antes das eleições de outubro. Desde 2012, aliás, quando uma equipe de técnicos da Universidade de Brasília simulou uma eleição com 475 votos na urna eletrônica e conseguiu colocá-los na ordem em que foram digitados, o tribunal não expõe seus sistemas e aparelhos à prova de técnicos independentes, embora continue a afirmar que eles são seguros e invioláveis (para saber mais, clique aqui).

Que Deus nos ajude a todos.

SAIBA MAIS SOBRE A HEARTBLEED E PONHA AS BARBICHAS DE MOLHO

TUDO SEMPRE PARECE IMPOSSÍVEL, ATÉ QUE SEJA FEITO.

Numa conexão segura, o ícone de um pequeno cadeado e/ou o S adicionado ao HTTP do respectivo URL indicam que as informações trocadas entre nosso navegador e o respectivo servidor Web estão sendo criptografadas, mas daí a dizer que estamos totalmente seguros vai uma longa distância.

A Heartbleed – brecha de segurança descoberta há poucos dias no software criptográfico OpenSSL, mas supostamente presente desde as primeiras edições desse programa – não só expõe nossos dados confidenciais (nomes de usuário, senhas, emails, agendas de contatos e outros dados sensíveis), mas também permite que cibercriminosos trabalhem na surdina, sem deixar rastros (para saber mais, clique aqui).

OBSERVAÇÃO: Como o OpenSSL é amplamente utilizado, o bug afetou milhares de serviços online – mais de 12% dos 10 mil sites de maior tráfego na Web. O Google e a Microsoft escaparam incólumes, como também os brasileiros UOL, TERRA, IG e GLOBO. Em sites de instituições financeiras, o perigo é menor, pois geralmente há diversas camadas de segurança, tais como múltiplas senhas, tokens, e por aí vai. 

A pura e simples correção no servidor não resolve totalmente o problema, de modo que é recomendável trocar as senhas tão logo as empresas implementem o remendo. E quem precisa de anonimato para navegar deve ficar longe da web até a poeira assentar. 

Abraços e até mais ler.