Notícias

A empresa canadense Whitenoise Labs, que desenvolve soluções de criptografia, lança em 15 de outubro próximo um desafio a quem se interessa pelo tema. A confiança da empresa em seu algoritmo é muito grande, pois o prêmio para quem conseguir quebrar um arquivo criptografado pelo software da Whitenoise é de 100 mil dólares canadenses.

Na cotação de hoje (09/10), o dólar canadense vale 1,02 dólares americanos. Por enquanto o desafio está lançado para residentes do Canadá e EUA, entretanto, em uma conversa com a empresa Shikatronics, que representa a Whitenoise em outros países, o desafio pode ser estendido ao Brasil. Para isso basta enviar um e-mail para brasil@wnlabs.com informando o interesse em participar do desafio.

Conforme a quantidade de e-mails, a Whitenoise abrirá a competição aos brasileiros. O desafio termina no dia 15 de abril de 2008 e o resultado será divulgado pela empresa em seu site. Para ser validado, é necessário explicar qual foi o procedimento utilizado para abrir o arquivo e, claro, mostrar o conteúdo do arquivo.

A Polícia Federal vai investigar o senador Wellington Salgado (PMDB-MG), presidente da Comissão de Ciência, Tecnologia, Comunicação e Informática do Senado, por crime de sonegação de impostos. Ao acatar pedido do Ministério Público Federal, o ministro Celso de Mello, do Supremo Tribunal Federal (STF), determinou ontem (08/10) a abertura do inquérito.

O Ministério Público apura se o senador, quando dirigia a Associação Salgado de Oliveira de Educação e Cultura (Asoec), teria cometido crime contra a ordem tributária.

No despacho, o ministro Celso de Mello determina que a Polícia Federal, num prazo de 60 dias, realize investigações e tome os depoimentos do senador Wellington Salgado e de outros integrantes da diretoria da Asoec.

Salgado, suplente do ministro Hélio Costa no Senado, disse que o procedimento do ministro Celso de Mello está correto e que seus advogados já estão cuidando do caso. E negou que seja sonegador: “Em todas as minhas declarações eu tenho colocado a existência da divida”.

O senador informou ainda que a Asoec é uma empresa familiar, que existe há mais de 40 anos, e que no inquérito estão arrolados ele e seus irmãos. “A dívida vai ser paga e o que resta saber é se houve crime ou não”, concluiu.

Salgado é suspeito de ter sonegado quase 12 milhões de reais de recursos públicos, de maio de 2000 a dezembro de 2002 e de março de 2003 a dezembro de 2005, períodos em que teria dirigido a associação.

Um e-mail fraudulento que começou a circular nesta sexta-feira (05/10) tenta explorar uma brecha no site de compartilhamento de vídeos YouTube para alterar a página e apresentar ao usuário uma falsa caixa de download pedindo a instalação de um “objeto ActiveX” para visualizar o vídeo. Usuários que fizeram o download do “ActiveX” instalaram na verdade um cavalo de tróia. O link no e-mail vai direto ao site verdadeiro do YouTube, e a falha é usada para modificar o conteúdo da página que o internauta vê. A Linha Defensiva notificou o Google, que é responsável pelo YouTube, e a brecha foi corrigida em apenas 10 horas, inutilizando o ataque.

O segredo do golpe está no link presente na mensagem de e-mail. O e-mail não é muito impressionante: possui “videos@youtube.com” no campo “De” da mensagem e contém vários erros de português, afirmando que o destinatário foi “mensionado [sic] em algum de nossos videos [sic] mais acessado [sic]”. O link, no entanto, possui uma série de códigos que modificam a página do YouTube para (somente) aqueles que clicarem nele.

A captura de tela mostra o site do YouTube modificado com uma falsa janela de vídeo. É possível perceber, observando-se o fundo, que a página que está sendo acessada não é realmente uma página de vídeo, mas a página de recuperação de nome de usuário. A janela de download apresentada foi criada com imagens e não é uma janela real do Windows.

Este tipo de vulnerabilidade é chamada de XSS, ou Cross Site Scripting. Elas permitem que código seja inserido em um website para aqueles que clicarem em um determinado link. Usando este tipo de falha, criminosos podem modificar uma página para aqueles que clicarem em um link, enganando o internauta e fazendo-o pensar que as informações ou downloads oferecidos pela página pertencem ao site.

Outro uso comum de brechas XSS é o roubo de cookies. Cookies são arquivos armazenados pelo navegador e contém informações como o seu login e seu endereço de e-mail (se você inseriu um comentário em algum site que solicitava seu e-mail e marcou alguma caixa para que o site pudesse “lembrar” de você, por exemplo).

Um cookie só podem ser lido pelo site que o gravou, de modo que as informações estejam acessíveis para outras páginas da web. Em um site que possui uma brecha XSS, um criminoso pode enviar um link a uma vítima e, quando este for clicado, um código será inserido no site visitado para ler o cookie e enviá-lo ao criminoso.

Este tipo de falha foi usada no Orkut mais de uma vez, mas nunca para alterar o conteúdo da página de uma forma tão agressiva como neste caso do YouTube.

O livro Securing VoIP Networks (Garantindo a segurança de redes VoIP, na tradução para o português), escrito por Peter Thermos e Ari Takanen, analisa as vulnerabilidades existentes na infra-estrutura de uma rede de voz sobre IP. E muitas das ameaças, segundo eles, dizem respeito a falhas humanas.

Confira aqui as principais vulnerabilidades identificadas pelos autores:

1.Verificação insuficiente de dados: em uma implementação de VoIP, isso permite que usuários entrem na rede para promover ataques.

2. Falhas de execução: bancos de dados padrão são normalmente utilizados como o backbone de serviços de VoIP e seus registros. Na hora da implementação, é preciso olhar com atenção para filtros de conteúdo ativo, como solicitações SQL envolvendo nomes de usuários, senhas e URLs de sessões. A maioria dos problemas relacionados a falhas de execução resulta da má implementação de filtros e programação insegura.

3. Pacotes mal formados, com conteúdo e estruturas inesperadas exsitem em qualquer protocolo de mensagem, incluindo SIP, H.323, SDP, MGCP, RTP e SRTP. A maioria das mensagens mal formadas envolve ataques de buffer overflow. O resultado é que o input dado pelo invasor é escrito sobre outros conteúdos de memória interna, como registros e pointers, que permitirão ao invasor total controle sobre o processo vulnerável.

4. Poucos recursos: especialmente em equipamentos embutidos, os recursos disponíveis para implementações VoIP podem ser muito escassos. Pouca memória e baixa capacidade de processamento podem ajudar o invasor a derrubar os serviços VoIP nesses equipamentos.

5. Pouca largura de banda: o serviço precisa ser criado de forma a suportar a demanda mesmo que todos os usuários decidam utilizá-lo simultaneamente. Um serviço pode receber uma série de falsas solicitações ou mesmo, por engano, carga de usuários reais. Se não tiver capacidade suficiente, o resultado é a paralisação do serviço.

6. Falhas de manipulação de recursos e arquivos: estes são resultados típicos de erros de implementação e programação, e incluem o acesso inseguro a arquivos.

7. Gerenciamento de senhas: a única identificação que um usuário de VoIP tem é o número de seu telefone ou a URL SIP e uma eventual senha para o serviço. A senha é armazenada tanto no cliente quanto no servidor. Se as senhas forem armazenadas no servidor em um formato que possam ser revertidas, qualquer um com acesso a esse servidor pode obter o nome de usuário e a senha referente a ele.

8. Permissões e privilégios: recursos precisam ser protegidos tanto da perspectiva do sistema operacional quanto da plataforma e da rede. Os serviços de VoIP rodando sobre a plataforma precisam levar em consideração os seus privilégios. Um serviço VoIP não necessariamente requer privilégios administrativos para rodar.

9. Criptografia: dados confidenciais precisam ser protegidos de qualquer tipo de ataque. A vulnerabilidade mais comum nesta categoria é não criptografar os dados, mesmo quando os mecanismos de criptografia estão disponíveis.
10. Erros de autenticação e certificados: tantos os usuários quanto os seus equipamentos precisam ser autenticados. Além disso, outros serviços, como gerenciamento de equipamentos, existem nos aparelhos VoIP e também precisam de autenticação do usuário.

11. Erro de registro: o perigo por trás dos erros de registro em implementações SIP aumentam conforme o tamanho do equívoco no momento do registro. Uma mensagem de erro para um telefone inexistente, por exemplo, pode retornar o código 404, quando na realidade deveria ser 401. Essa troca de números pode facilitar ataques.

12. Redes homogêneas: uma vulnerabilidade existente em diversas infra-estruturas de redes é a grande dependência em um número limitado de marcas e aparelhos. Se uma rede inteira depender de uma marca específica de telefones, proxy ou firewall, um ataque automatizado, como vírus ou worms pode paralisar uma rede inteira.

13. Falta de sistema de restabelecimento: quando uma rede de VoIP sai do ar, é necessário que haja um sistema de backup para o qual os usuários possam ser direcionados. Isso requer um planejamento cuidadoso para a infra-estrutura.

14. Qualidade da conexão física: se você perde pacotes em sua infra-estrutura de dados, você provavelmente ainda não está preparado para o VoIP. A latência da rede precisa ser mínima, pois todos os gargalos na comunicação virão à tona no momento em que o VoIP for implementado, mesmo que eles não fossem aparentes com na infra-estrutura de comunicação tradicional.

Uma camiseta que começa a ser vendida no final de outubro promete solucionar o problema de muitos usuários que buscam hotspots.

Uma péssima notícia para os internautas. Dados coletados na última semana no site Infected or Not pelas ferramentas online NanoScan e TotalScan, revela que 33,23% dos usuários que possuem alguma solução de segurança instalada estavam infectados. Entre os desprotegidos, 46,16% estavam contaminados.

A pesquisa foi conduzida pela Panda Security. Dos computadores analisados pelo TotalScan, o adware Gator foi o malware mais detectado esta semana, seguido pelo PUP (programa potencialmente não desejado) Altnet e o adware SaveNow.

Os três são códigos maliciosos projetados para colocar em risco a privacidade do usuário, monitorando as suas atividades online, por exemplo.

Entre os códigos maliciosos que surgiram nesta semana, o PandaLabs destaca em seu relatório, os cavalos-de-tróia Nabload.CHW e Maran.DJ e os worms Ganensar.A e Mimbot.A.

O Nabload.CHW se propaga por e-mails que dizem ser do serviço de suporte do Gmail. O texto escrito em português, tenta enganar os usuários fazendo com que eles baixem uma nova ferramenta antivírus, que, supostamente sem ela, não poderão usar as suas contas de correio eletrônico. Quando o usuário clica no link de download, ele introduz uma cópia do cavalo-de-tróia em seu PC, projetados para roubar dados bancários do usuário.

O cavalo-de-tróia Maran.DJ adiciona várias senhas no registro do Windows. Desta forma, ele é executado a cada início do sistema e modifica as camadas de LSP (Layered Service Provider), para monitorar o tráfico de dados da Internet. Já o worm Ganensar.A, por sua vez, chega ao PC com um ícone de um arquivo do Windows Media. Ele faz várias copias de si mesmo no sistema e baixa vários arquivos maliciosos.

As primeiras impressoras coloridas a jato-de-tinta usavam apenas três cores – ciano, magenta e amarelo – para reproduzir todas as tonalidades necessárias. Os modelos melhores logo passaram a usar também um cartucho de tinta preta, que garantia uma impressão melhor dessa cor, muito usada para texto, além de economizar as outras três cores até então misturadas para fazer um preto que nunca era realmente preto.

Com o tempo, surgiram as jato-de-tinta “fotográficas”, baseadas em seis cores de tinta: azul claro e magenta claro, além das quatro anteriores. Mas a coisa não parou por aí: depois vieram impressoras com tinta em tons de cinza, para melhorar a qualidade de imagens em preto e branco, com tintas diferentes para preto fosco e brilhante e as Epson UltraChrome Hi-Gloss, que trocaram o magenta claro pelo vermelho puro, o ciano claro pelo azul e ainda acrescentaram um verniz transparente para dar brilho à impressão.

Pois a última novidade na área é a Hi-Gloss2, que a Epson está lançando em sua Stylus Photo R1900. Esta jato-de-tinta de formato A3 manteve o ciano, magenta, amarelo, preto fosco, preto brilhante, vermelho e otimizador de brilho de suas antecessoras, mas trocou a tinta azul por uma cor de laranja – cada uma num cartucho separado, para evitar o desperdício no momento da reposição.

Segundo a empresa, o acréscimo da tinta laranja possibilita a impressão de tons de pele mais reais e uma maior variedade de vermelhos. E, junto com alguns ajustes nos tons do amarelo e do azul, torna a impressora capaz de reproduzir 18.446.774 trilhões de cores! Resta saber para que serve isso, se o próprio laboratório que a Epson contratou para desenvolver o sistema de gerenciamento de cores de suas impressoras afirma que o olho humano “só” consegue distinguir alguns milhões de cores.

A variedade de produtos e ferramentas para desenvolvimento de software em código aberto é o céu para a comunidade de desenvolvedores. Por outro lado, é o inferno para comitês de padronização, entre outros órgãos. Se considerarmos IDEs (sigla em inglês para integrated development environment), debuggers, rastreadores de defeitos, ferramentas de código, testadores de unidades, entre outros, teríamos mais méritos do que todos as entidades juntas. No entanto, há perguntas que só geram mais problemas, tais como: é possível escolher a melhor linguagem? Ou a melhor plataforma de desenvolvimento? Podemos pegar Python em vez de Perl, ou Rails em vez de Mono?

A resposta é não. Mas estamos mais do que prontos para declarar os vencedores em diferentes categorias. No setor de IDEs, a rivalidade entre Eclipse e NetBeans foi declarada ganha pelo Eclipse, se você estiver pensando em participação de mercado. Mas do ponto de vista de inovação, as coisas não são assim tão simples. Pelos últimos dois anos, a ferramenta tem usado um modelo de plataforma, em vez de IDE. O resultado disto é a dificuldade relatada por usuários em modificar e remover plung-ins.

Contrastando com isto, NetBeans tem aparecido como leve e fácil de ser configurada. Entre outras coisas, a empresa teve a coragem de redesenhar seu código disponível para Java (IntelliJ) para se tornar mais amigável ao usuário.

As chamadas RIAs (Rich Internet Applications), que traz uma experiência do tipo aplicativo de browser para desktop, acabou caindo em dois cenários: aqueles que usam DHTML, como Ajax; e os que usam Flash como camada de apresentação em seu browser. As duas formas têm seus prós e contras; e estão ganhando seu espaço.

As aplicações em Flash passam por cima de importantes limitações das aplicações Ajax, como suscetibilidade no que diz respeito a incompatibilidades entre navegadores. De acordo com informações do site da Adobe, a penetração de mercado mundial para o Flash 9 (mais recente versão) é de 90%. As ferramentas líderes para RIA são as OpenLaszlo, da Laszio Systems, e Flex, da Adobe.

Ambos sistemas eram produtos comerciais. A Laszo abriu seu software como sendo de open source em 2004. A Adobe, que adquiriu o Flex, da Macromedia, em 2005, recentemente anunciou que irá lançar o Flex para MPL (Mozilla Public License).

Apesar do contínuo - e relativamente recente - aparecimento da integração contínua, há muitos servidores para empresas em códigos abertos no mercado. O melhor deles, sem dúvida, é o CruiseControl. Ele trabalha com mais ferramentas de desenvolvimento que seus competidores, incluindo vários servidores CI (continuous integration) de gerenciamento de código fonte, entre outras coisas.

O Cruise Control está disponível em versões que rodam Java, Ruby e .NET. E, cada vez mais, fornecedores como Agitar estão começando a incluir o CruiseControl em seus produtos, por causa de suas funcionalidades e escalabilidade. Enquanto empresas começam a se familiarizar mais com os benefícios dos servidores CI, o CruiseControl será o terreno para todas as outras soluções do mesmo tipo na companhia.

Relatório divulgado pelo CERT.br apontou nova diminuição das ameaças de segurança encontradas em sites brasileiros.