Descriptografar o WhatsApp, como juíza pediu, está fora de questão

Em artigo, especialista afirma que tecnologia usada garante que nem o próprio serviço consiga ouvir ou ler mensagens enviadas pelos usuários

Autor: Rita D’Andrea (Diretora geral da F5 Networks Brasil)

WhatsApp tem no Brasil 100 milhões de usuários e já foi bloqueado três vezes desde 2015, sempre por ordens judiciais. Ontem o Facebook – a empresa que controla o WhatsApp – recebeu uma intimação ordenando que a empresa interceptasse e entregasse às autoridades do Rio de Janeiro mensagens de supostos criminosos sendo investigados. A juíza Daniela Barbosa Assumpção, responsável por esta notificação, exigia que a criptografia das mensagens WhatsApp fosse quebrada e os conteúdos das mensagens sejam entregues às autoridades. O bloqueio durou algumas horas e acabou suspenso ontem mesmo, por uma decisão do STF. Neste e nos outros episódios, o Facebook/WhatsApp disse que não poderia realizar o que a notificação pedia por motivos técnicos.

digitalkey_625.jpg

Os responsáveis pelo WhatsApp estão falando a verdade.

Desde abril deste ano, qualquer usuário do aplicativo recebe a mensagem: “As mensagens que você envia para esta conversa e as chamadas de voz são, agora, protegidas com criptografia de ponta a ponta. Toque para obter mais informações”.

 Este curto recado é, na verdade, o topo do iceberg de uma era em que quase todas as principais aplicações do mercado são criptografadas e trafegam em sistemas SSL/TLS.  A maior parte dos serviços que está na nuvem é criptografada – isso vale para o Office 365, para as Oracle Applications, para a plataforma Totvs, etc.

No caso específico do WhatsApp, a tecnologia usada por essa plataforma garante que nem o próprio WhatsApp nem ninguém – governo, empresas, pessoas comuns, criminosos – conseguirão ouvir ou ler algo enviado de um usuário a outro – o que inclui mensagens, fotos, vídeos, mensagens de voz, documentos ou chamadas de voz.

O WhatsApp não ter acesso a esses dados é algo muito importante.

A criptografia é muito comum em toda a Internet. Se um usuário faz uma compra online ou visita Google.com, um cadeado e HTTPS são visíveis no navegador, o que significa que os dados enviados via Internet são criptografados ou ocultados de quem quer que possa tentar bisbilhotar ou roubar a informação, tal como um número de cartão de crédito. O WhatsApp levou isso adiante, devido a ser a maior aplicação multiplataforma de troca de mensagens do mundo, uma aplicação que funciona em um grande número de diferentes dispositivos. A criptografia de ponta a ponta é a diferença entre enviar um cartão postal em papel, em que qualquer um – incluindo o carteiro — pode ler a sua mensagem, e fechar esse cartão postal em um envelope, algo que garanta que somente você e o destinatário conseguirão ler a mensagem.

É importante ressaltar que uma mensagem enviada por WhatsApp é criptografada desde o momento em que sai do dispositivo do remetente até o momento em que é recebida pelo destinatário. Nenhum intermediário, incluindo o WhatsApp, pode ver o conteúdo da mensagem, mesmo se capturada em trânsito. Com isso, os usuários podem ter a certeza de que as mensagens e chamadas de voz estão protegidas contra qualquer pessoa que tente interceptá-las.

O fato de nem mesmo o WhatsApp ser capaz de ver as mensagens ou escutar as chamadas significa que, se a empresa receber um pedido judicial de acesso aos dados pessoais ou mensagens de alguém, o WhatsApp não terá acesso a eles e não terá como entregar o que quer que seja. Devido à maneira como o WhatsApp implementou isso, será muito difícil que as agências policiais e governamentais consigam acesso legal a dados que poderiam ser necessários para auxiliar nas suas investigações.

Discutiu-se se as agências governamentais tentariam proibir isso – a criptografia –, mas rapidamente percebeu-se que seria muito difícil realizar esse feito. Proibir a criptografia poderia causar enormes danos à economia digital. Necessitamos de criptografia para manter seguros os nossos dados pessoais. Por outro lado, seria sim importante encontrar um equilíbrio no qual as forças policiais pudessem obter acesso judicial a dados do WhatsApp para auxiliar as suas investigações.

Estamos vivendo uma interessante disjuntiva. Somos muito livres com os nossos dados pessoais e seu compartilhamento online. Junto com a liberdade, exigimos garantias de não sermos monitorados, algo que roubaria a nossa privacidade. A grande questão, porém, é que criptografia e privacidade andam juntas tanto para pessoas honestas, que nada têm a esconder, como para criminosos, que muito têm a esconder. A tecnologia não é “pessoal”, tratando uns e outros de forma diferente.

O que define este quadro é que o mundo deseja que o WhatsApp ofereça garantias de privacidade e proteção de dados. Com bloqueio ou sem bloqueio, isso continuará acontecendo.

Fonte: IDG NOW!

Pesquisadores usam bugs para reduzir falhas em softwares

bug

A nova estratégia consiste em treinar ferramentas para encontrar vulnerabilidades nos sistemas

Pesquisadores desenvolveram uma técnica experimental que usa bugs para, acredite, reduzir a quantidade de falhas dos softwares. A ideia consiste em inserir uma quantidade conhecida de vulnerabilidades no código para entender quantos deles são descobertos por ferramentas que buscam brechas.

A partir dessa rotina, é possível analisar as razões que permitiram que aqueles bugs escapassem dos sistemas de detecção e, com isso, possibilitar que desenvolvedores possam criar métodos mais efetivos.

O modelo vem sendo testado por pesquisadores da Universidade de Nova York e do MIT, que criaram a técnica de baixo custo de adição de vulnerabilidades automatizadas em larga escala (Lava, na sigla em inglês).

“A única forma de avaliar um sistema que encontra bugs é controlar o número de bugs em um programa, o que é exatamente o que estamos fazendo com o Lava”, afirmou Brendan Dolan-Gavitt, professor de engenharia e ciência da computação na NYU.

A pesquisa revelou que as ferramentas de varredura eram pouco eficientes na detecção de falhas. Não apenas isso, esses sistemas encontravam problemas que não existiam, gerando um esforço desnecessário de limpeza para garantir a qualidade do código.

O time inseria nos programas um número conhecido que foi chamado de “vulnerabilidades sintéticas”, atributos que simulavam falhas. A ideia é que o avanço da pesquisa ajude a reduzir consideravelmente os custos de desenvolvimento de sistemas.

Fonte: IDG NEWS

Desenvolvedores insistem em códigos vulneráveis para criar softwares

dado

Mesmo sabendo que alguns desses pedaços de sistemas comprometidos, programadores os utilizam em aplicações corporativas

Empresas que desenvolvem software corporativos baixam, em média, mais de 200 mil componentes open source todos os anos. Um em cada 16 desses elementos vem com vulnerabilidades de segurança.

O contexto afeta a qualidade. Ao analisar 25 mil aplicações corporativas, foi constatado que 6,8% dos componentes usados possuem, no mínimo, uma vulnerabilidade.

Segundo a Sonatype, fornecedora de ferramentas para controlar o ciclo de vida das aplicações, esses componentes pegos junto a bibliotecas de terceiros contribuem com entre 80 e 90% da base de código de um software empresarial nos dias de hoje.

Esse é um indicativo preocupante da qualidade da cadeia de suprimento de sistemas, um problema que se torna pior a medida que as empresas aumentam os níveis de terceirização da criação de aplicações.

A Sonatype estima que uma empresa com cerca de 2 mil aplicações gastaria US$ 7,4 milhões para remediar apenas 10% dos defeitos e vulnerabilidades introduzidas por esses componentes afetados.

Práticas de gestão da cadeia de suprimento são comuns em diversas indústrias. A prática, talvez, devesse chegar ao setor de software, o que ajudaria a reduzir os custos de manutenção.

 Fonte: IDG NOW

Estudo revela presentes mais suscetíveis a ataques

Com a época de festas chegando, a Intel Security revela para os consumidores os “Presentes de Natal mais suscetíveis a ataques de hackers” para garantir sua segurança ao dar e receber presentes tecnológicos.

Na época de festas, os consumidores ficam ansiosos para começar a usar seus novos dispositivos o quanto antes e geralmente não percebem alguns dos riscos de segurança em potencial que os tornam vulneráveis. Coisas tão comuns e aparentemente seguras como uma conexão Wi-Fi, Bluetooth e aplicativos para pagamentos podem rapidamente se tornar um ponto fraco na segurança pessoal.

Para ficar alerta aos riscos, veja a seguir os presentes de Natal mais suscetíveis a ataques de hackers em 2015 segundo a Intel Security.

Relógios inteligentes e monitores de atividades físicas

Os relógios inteligentes e monitores de atividades físicas se tornaram extremamente populares nos últimos anos, e devem gerar um grande volume de vendas nesta época de festas.

O proveito real de invadir um dispositivo vestível está em sua conexão com um smartphone. Com acesso ao smartphone, o hacker pode passar pelo aplicativo do dispositivo vestível e ler e-mails, SMSs ou até mesmo instalar um software mal-intencionado, além de visualizar informações no dispositivo como endereços de e-mail, números de telefone, datas de nascimento etc., que podem ser usadas para roubar identidades.

Smartphones e tablets

Com a constante fabricação de novos modelos de smartphones e tablets durante todo o ano, esses dispositivos são presentes ideais para amigos e familiares que querem ter o telefone mais atual para dar suporte à sua rotina sempre em movimento.

Nesses dispositivos, os invasores podem assumir o controle do Bluetooth e, com algumas informações e artimanhas, um invasor pode se passar por um dispositivo Bluetooth e usar isso para roubar informações, como ler mensagens de texto ou ligar para um número pago fingindo ser o seu relógio inteligente, bem como visualizar informações no dispositivo para roubar sua identidade.

Drones e dispositivos com câmeras

Nos dias de hoje, todos querem registrar cada momento utilizando dispositivos com câmeras e até mesmo capturar vistas aéreas com equipamentos como drones. De acordo com as previsões da CEA, o mercado norte-americano de drones faturará quase US$ 105 milhões em 2015.

Os cibecriminosos podem roubar dados pessoais confidenciais de alguém que deseja se conectar a uma rede Wi-Fi aberta enquanto um drone sobrevoa sua cabeça. Isso tira proveito do fato de que os consumidores geralmente estão dispostos a sacrificar a segurança e a privacidade pela praticidade de conectar-se a redes não seguras.

Dispositivos para crianças

E-books, aplicativos sociais e carros de controle remoto: as crianças adoram usar a tecnologia e, embora esperemos que os brinquedos infantis sejam incondicionalmente seguros, existem algumas questões de segurança das quais os pais devem estar cientes, principalmente quando esses dispositivos possuem acesso à Internet. Já houve casos de hackers que invadiram babás eletrônicas e câmeras de vigilância infantil.

Infelizmente, raramente a segurança dos dispositivos e aplicativos sociais para crianças é considerada, então é responsabilidade dos pais assegurar que o brinquedo de seu filho não esteja transmitindo vídeo ou áudio para visualizadores desconhecidos!

Veja algumas dicas para manter mais seguros os dispositivos que ganhar de presente:

Altere as senhas padrão. Esse provavelmente é um dos métodos mais eficazes para proteger melhor seu dispositivo na época das festas. Ao alterar a senha de um dispositivo para outra mais complexa (de pelo menos oito caracteres com números, símbolos e letras maiúsculas e minúsculas), você adotará uma postura de segurança mais reforçada.

Mantenha o software atualizado. Os dispositivos inteligentes quase sempre exigem atualizações de software regulares. Geralmente, essas atualizações incluem correções de segurança criadas para proteger os usuários contra os cibercriminosos. Sempre atualize seus dispositivos assim que as atualizações forem disponibilizadas.

Proteja seus principais dispositivos. Mesmo se um hacker assumir o controle do seu drone ou monitor de atividades físicas, o ideal é impedir que eles acessem seu smartphone, tablet ou laptop.

Fonte: Risk Report

Brasileiros preferem que hackers acessem nudes em vez de dados bancários

Segundo pesquisa da empresa de segurança Avast, brasileiros tomam medidas insuficientes para proteger seus smartphones e PCs.

Os usuários brasileiros de smartphones preferem que alguém acesse suas fotos nus do que os seus dados bancários, aponta uma nova pesquisa da empresa de segurança Avast, que acaba de lançar a versão 2016 dos seus aplicativos para computadores e aparelhos móveis.

De acordo com o levantamento, que foi realizado em outubro de 2015, 52,8% dos brasileiros preferem que suas nudes caiam em mãos erradas em vez das suas informações bancárias.

Preocupação

A pesquisa da Avast mostra ainda que 90,5% dos brasileiros temem que outra pessoa tenha acesso às suas informações pessoais no smartphone.  No entanto, isso não se traduz em mais medidas de segurança, já que apenas 39% bloqueiam o celular com um PIN ou senha. Menos gente ainda (26,4%) trava o acesso a determinados aplicativos no aparelho.

Mesmo com toda a preocupação com os seus dados bancários citada acima, os aplicativos desse segmento não estão nem perto de serem os mais bloqueados entre os brasileiros. O WhatsApp lidera a lista, com 14,3%, seguido por apps de fotos, com 13,2%, e o Facebook, com 9,4%.

Insuficiente

“Apesar de os brasileiros estarem legitimamente preocupados com a privacidade, há uma desconexão entre essa preocupação e as medidas que tomam para proteger a si mesmos”, afirma o CEO da Avast, Vince Steckler.

Web

E os usuários mobile não são os únicos que deixam a desejar na área de segurança. Segundo o estudo da Avast, apenas 23,21% dos usuários de desktops usam senhas com mais de oito caracteres – e apenas 7,92% usam uma combinação que inclui caracteres especiais.

Para deixar a situação ainda mais complicada, os sites da web facilitam a adoção de senhas fracas: dos 20 endereços de web mais visitados pelos usuários brasileiros, 12 permitem senhas com 6 caracteres, sendo que um permite senhas com 5, outro permite com 4 e há ainda o caso de um site que permite senhas com apenas 1 caractere.

Pesquisa

Vale notas que as pesquisas da Avast no Brasil foram feitas em outubro de 2015 com um total de 10.253 usuários de PCs e 5.264 de smartphones.

Fonte: IDG Now!

Malware ameaça os apps móveis

O primeiro semestre registrou um aumento nos ataques online que bloqueiam os dados do usuário até que um resgate seja pago. Isso está acontecendo também em dispositivos móveis. De acordo com o relatório de ameaças da F-Secure Labs referente aos primeiros seis meses do ano (Threat Report H1 2014), o número crescente de ataques de software malicioso conhecido como ransomware ressalta a importância da segurança de dados para usuários domésticos, corporativos e do governo.

Na área da mobilidade, no 2º trimestre de 2014, 295 novos tipos de ameaças e variantes foram descobertos, sendo 294 no Android e 01 no iOS. A partir do primeiro trimestre, quando 277 ameaças foram descobertas, 275 eram direcionadas ao sistema Android. As principais ameaças ao Android no 2º trimestre eram Trojans, que enviam mensagens SMS ou colhem dados de um dispositivo e encaminham para um servidor remoto. O malware Slocker (relatado em junho) finge ser um app legítimo e foi o primeiro ransomware a aparecer na plataforma móvel.

Nas ameaças para PC, das 10 maiores detectadas, a maior parte (31%) foi vírus Downadup/Conficker, conhecido há seis anos. O vírus infectou milhões de computadores em mais de 200 países. A longa existência deste vírus é devida a computadores que executam software antigo. Isso ilustra a importância de manter o software do computador atualizado para que as falhas de segurança ultrapassadas sejam corrigidas.

Novos malware para Mac continuam surgindo. Vinte e cinco novas variantes de ameaças ao Mac foram descobertas no primeiro semestre de 2014, algumas dos quais usadas em ataques direcionados contra organizações. Aconteceram 18 descobertas de ameaças entre julho e dezembro do ano passado, um número inferior às 33 descobertas no primeiro semestre do mesmo ano (2013).

Mikko Hypponen, Chief Research Officer, e Sean Sullivan, Security Advisor, ambos da F-Secure Labs, avaliam que as ameaças estão cada vez mais perigosas. “Detalhes que surgiram no início deste ano retratam um lado preocupante do malware com cunho criminoso já evoluindo para espionagem”, diz Sullivan. “Atualmente, os bandidos à solta estão visando mais do que cartões de crédito. Tudo é interessante para eles e, provavelmente, há um número significativo de compradores de dados corporativos”, complementa Hypponen.

Fonte:  Convergência Digital

Quase metade dos aparelhos Android ainda tem navegador vulnerável

Quase metade dos aparelhos Android possui um navegador que está vulnerável a dois problemas sérios de segurança, de acordo com dados recentes da empresa de segurança Lookout, que destaca que alguns países possui uma taxa de usuários afetados consideravelmente maior.

Os dois bugs de segurança em questão foram descobertos no mês passado por um pesquisador de segurança chamado Rafay Baloch e foram descritas como um “desastre de privacidade” por outros especialistas. Essas falhas permitem passar por uma barreira essencial de segurança, chamada SOP (same-origin policy), que existe em todos os browsers.

A SOP evita que scripts de um domínio interajam com dados de um domínio diferente. Por exemplo, os scripts rodando em uma página hospedada no domínio A não deveriam poder interagir com o conteúdo carregado na mesma página que vem do domínio B.

Sem essa restrição, hackers podem criar páginas que carregam Facebook, Gmail ou outros sites com informações sensíveis em um iframe invisível e então enganar os usuários para visitar essas páginas para sequestrar suas sessões e ler seus e-mails ou ler mensagens no Facebook, por exemplo.

Versões afetadas

As vulnerabilidades para burlar a SOP descobertas por Baloch afetam as versões do Android anteriores a 4.4, que, segundo dados do Google, estão instalados em 75% de todos os aparelhos com o sistema que visitam a Google Play Store de forma ativa. O Android 4.4, por sua vez, não está vulnerável uma vez que usa o Google Chrome browser padrão, em vez do antigo navegador Android Open Source Project (AOSP).

Patches

O Google liberou patches de segurança para as duas vulnerabilidades por meio do AOSP, que serve como a base para o firmware customizado do Android instalado nos aparelhos por fabricantes. A tarefa agora cai nos fabricantes de aparelhos, que precisam importar esses patches e liberá-los como updates de firmware para os usuários finais.

No entanto, a história já mostrou que a disponibilidade dos updates de firmware do Android varia muito entre as diferentes empresas e aparelhos e mesmo entre países, uma vez que operadoras locais ocupam um papel importante na distribuição de atualizações over-the-air.

Isso se reflete nos dados sobre essas duas vulnerabilidades que foram coletados pela Lookout a partir dos usuários dos seus produtos mobile de segurança. No geral, “aproximadamente 45% dos usuários Lookout possuem uma versão vulnerável do navegador AOSP instalada”.

“Nós acreditamos que a nossa base de usuários oferece uma boa visão sobre como os usuários Android, de forma geral, estão sendo afetados por vulnerabilidades como essas”, afirmam os funcionários da Lookout, Jeremy Linden e Meghan Kelly, em um post sobre o assunto.

Fonte: IDG NOW!