Descriptografar o WhatsApp, como juíza pediu, está fora de questão

Em artigo, especialista afirma que tecnologia usada garante que nem o próprio serviço consiga ouvir ou ler mensagens enviadas pelos usuários

Autor: Rita D’Andrea (Diretora geral da F5 Networks Brasil)

WhatsApp tem no Brasil 100 milhões de usuários e já foi bloqueado três vezes desde 2015, sempre por ordens judiciais. Ontem o Facebook – a empresa que controla o WhatsApp – recebeu uma intimação ordenando que a empresa interceptasse e entregasse às autoridades do Rio de Janeiro mensagens de supostos criminosos sendo investigados. A juíza Daniela Barbosa Assumpção, responsável por esta notificação, exigia que a criptografia das mensagens WhatsApp fosse quebrada e os conteúdos das mensagens sejam entregues às autoridades. O bloqueio durou algumas horas e acabou suspenso ontem mesmo, por uma decisão do STF. Neste e nos outros episódios, o Facebook/WhatsApp disse que não poderia realizar o que a notificação pedia por motivos técnicos.

digitalkey_625.jpg

Os responsáveis pelo WhatsApp estão falando a verdade.

Desde abril deste ano, qualquer usuário do aplicativo recebe a mensagem: “As mensagens que você envia para esta conversa e as chamadas de voz são, agora, protegidas com criptografia de ponta a ponta. Toque para obter mais informações”.

 Este curto recado é, na verdade, o topo do iceberg de uma era em que quase todas as principais aplicações do mercado são criptografadas e trafegam em sistemas SSL/TLS.  A maior parte dos serviços que está na nuvem é criptografada – isso vale para o Office 365, para as Oracle Applications, para a plataforma Totvs, etc.

No caso específico do WhatsApp, a tecnologia usada por essa plataforma garante que nem o próprio WhatsApp nem ninguém – governo, empresas, pessoas comuns, criminosos – conseguirão ouvir ou ler algo enviado de um usuário a outro – o que inclui mensagens, fotos, vídeos, mensagens de voz, documentos ou chamadas de voz.

O WhatsApp não ter acesso a esses dados é algo muito importante.

A criptografia é muito comum em toda a Internet. Se um usuário faz uma compra online ou visita Google.com, um cadeado e HTTPS são visíveis no navegador, o que significa que os dados enviados via Internet são criptografados ou ocultados de quem quer que possa tentar bisbilhotar ou roubar a informação, tal como um número de cartão de crédito. O WhatsApp levou isso adiante, devido a ser a maior aplicação multiplataforma de troca de mensagens do mundo, uma aplicação que funciona em um grande número de diferentes dispositivos. A criptografia de ponta a ponta é a diferença entre enviar um cartão postal em papel, em que qualquer um – incluindo o carteiro — pode ler a sua mensagem, e fechar esse cartão postal em um envelope, algo que garanta que somente você e o destinatário conseguirão ler a mensagem.

É importante ressaltar que uma mensagem enviada por WhatsApp é criptografada desde o momento em que sai do dispositivo do remetente até o momento em que é recebida pelo destinatário. Nenhum intermediário, incluindo o WhatsApp, pode ver o conteúdo da mensagem, mesmo se capturada em trânsito. Com isso, os usuários podem ter a certeza de que as mensagens e chamadas de voz estão protegidas contra qualquer pessoa que tente interceptá-las.

O fato de nem mesmo o WhatsApp ser capaz de ver as mensagens ou escutar as chamadas significa que, se a empresa receber um pedido judicial de acesso aos dados pessoais ou mensagens de alguém, o WhatsApp não terá acesso a eles e não terá como entregar o que quer que seja. Devido à maneira como o WhatsApp implementou isso, será muito difícil que as agências policiais e governamentais consigam acesso legal a dados que poderiam ser necessários para auxiliar nas suas investigações.

Discutiu-se se as agências governamentais tentariam proibir isso – a criptografia –, mas rapidamente percebeu-se que seria muito difícil realizar esse feito. Proibir a criptografia poderia causar enormes danos à economia digital. Necessitamos de criptografia para manter seguros os nossos dados pessoais. Por outro lado, seria sim importante encontrar um equilíbrio no qual as forças policiais pudessem obter acesso judicial a dados do WhatsApp para auxiliar as suas investigações.

Estamos vivendo uma interessante disjuntiva. Somos muito livres com os nossos dados pessoais e seu compartilhamento online. Junto com a liberdade, exigimos garantias de não sermos monitorados, algo que roubaria a nossa privacidade. A grande questão, porém, é que criptografia e privacidade andam juntas tanto para pessoas honestas, que nada têm a esconder, como para criminosos, que muito têm a esconder. A tecnologia não é “pessoal”, tratando uns e outros de forma diferente.

O que define este quadro é que o mundo deseja que o WhatsApp ofereça garantias de privacidade e proteção de dados. Com bloqueio ou sem bloqueio, isso continuará acontecendo.

Fonte: IDG NOW!

Pesquisadores usam bugs para reduzir falhas em softwares

bug

A nova estratégia consiste em treinar ferramentas para encontrar vulnerabilidades nos sistemas

Pesquisadores desenvolveram uma técnica experimental que usa bugs para, acredite, reduzir a quantidade de falhas dos softwares. A ideia consiste em inserir uma quantidade conhecida de vulnerabilidades no código para entender quantos deles são descobertos por ferramentas que buscam brechas.

A partir dessa rotina, é possível analisar as razões que permitiram que aqueles bugs escapassem dos sistemas de detecção e, com isso, possibilitar que desenvolvedores possam criar métodos mais efetivos.

O modelo vem sendo testado por pesquisadores da Universidade de Nova York e do MIT, que criaram a técnica de baixo custo de adição de vulnerabilidades automatizadas em larga escala (Lava, na sigla em inglês).

“A única forma de avaliar um sistema que encontra bugs é controlar o número de bugs em um programa, o que é exatamente o que estamos fazendo com o Lava”, afirmou Brendan Dolan-Gavitt, professor de engenharia e ciência da computação na NYU.

A pesquisa revelou que as ferramentas de varredura eram pouco eficientes na detecção de falhas. Não apenas isso, esses sistemas encontravam problemas que não existiam, gerando um esforço desnecessário de limpeza para garantir a qualidade do código.

O time inseria nos programas um número conhecido que foi chamado de “vulnerabilidades sintéticas”, atributos que simulavam falhas. A ideia é que o avanço da pesquisa ajude a reduzir consideravelmente os custos de desenvolvimento de sistemas.

Fonte: IDG NEWS

Dez prioridades de segurança da informação, segundo o Gartner

Consultoria afirma que empresas precisam aprender a aplicar tecnologias emergentes a suas práticas de proteção e gestão de risco.

Consultoria afirma que empresas precisam aprender a aplicar tecnologias emergentes a suas práticas de proteção e gestão de risco.

Segurança da informação virou um ponto crítico para toda organização. Isso se intensifica a medida que a transformação digital puxa os investimentos em políticas e ferramentas de proteção e governança. De olho na evolução constante desse mercado, novas abordagens se fazem necessárias.

“As equipes devem se adaptar aos requisitos de negócios digitais emergentes e, ao mesmo tempo, estarem preparadas para lidar com um ambiente cada vez mais hostil”, observa Neil MacDonald, vice-presidente do Gartner.

Segundo ele, os profissionais de segurança precisam aprender a trabalhar com tendências tecnológicas se quiserem definir, alcançar e manter programas eficazes de proteção que ofereçam, de forma simultânea, oportunidades de negócios digitais com a gestão de riscos.

Veja os prontos prioritários na visão do especialista:

1. Agentes de segurança de acesso à nuvem – Os Cloud Access Security Brokers (CASBs) veem para ajudar profissionais de segurança a fazerem o controle do uso seguro, em conformidade com os serviços em nuvem de seus diversos provedores. Esse tipo de abordagem, segundo o Gartner, preenche muitos espaços em branco dos serviços cloud, permitindo aos líderes de segurança realizarem tarefas simultâneas.

2. Detecção e resposta de endpoints (EDR) – O mercado de soluções de EDR cresce rapidamente para suprir necessidades de proteção mais eficaz, detectando e reagindo de forma mais ágil diante de falhas. Essas ferramentas registram e armazenam informações relativas a diversos eventos. A consultoria aconselha pegar os indicadores coletados nessas ferramentas e processá-los a partir de sistemas analíticos, criando uma rotina mais eficiente de combate a falhas.

3. Abordagens sem assinatura para prevenção de endpoints – “As abordagens para a prevenção de malwares baseadas apenas em assinaturas são ineficazes contra ataques avançados e específicos”, afirma o Gartner. De acordo com MacDonald, novas técnicas de proteção e prevenção automatizada baseadas em aprendizado de máquinas tornam mais efetivos os mecanismos tradicionais de segurança.

4. Análise de comportamento – Usar práticas de análise de comportamentos permite que a empresa realize processos mais amplos de segurança. A correlação das análises de vários fatores, usuários e empresas, tornam os resultados mais precisos e a detecção de ameaças mais eficaz.

5. Microssegmentação e visibilidade do fluxo – Quando os ataques conseguem acessar os sistemas corporativos, eles podem se mover horizontalmente pela rede antes de serem detectados. Para resolver esse problema, o Gartner aponta a necessidade de criar uma segmentação mais granular do tráfego nas redes, com a possibilidade de aplicar criptografia isolada entre cargas de trabalho.

6. Testes de segurança para DevOps – A segurança precisa se tornar parte dos fluxos de desenvolvimento e operações. Justamente por isso, é preciso ficar atento ao surgimento de modelos e padrões para o estabelecimento de uma abordagem automatizada de DevSecOps.

7. Orquestração do centro de operações baseado em inteligência – Na visão do Gartner, um SOC inteligente precisa ir além das tarefas de defesa tradicionais, com uma arquitetura adaptada e com uso de componentes capazes de correlacionarem e darem respostas de acordo com contextos. Para isso, é importante desenvolver um modelo inteligente, suportado por automação e orquestração dos processos.

8. Navegador virtual – A maioria dos ataques começa com um malware entregue aos usuários finais via e-mail ou URLs infectada. Para mitigar esse risco, a consultoria aconselha a adoção de um “servidor de navegação”, que funciona localmente ou em nuvem. Ao isolar a função de navegação do resto do dispositivo e da rede da empresa, a ameaça fica fora do PC do usuário, reduzindo significativamente sua área de ataque ao deslocar o risco para as divisões do servidor, que podem ser facilmente reinicializadas a cada sessão de navegação, ou a cada abertura de uma nova página.

9. Deception – Essas tecnologias são definidas pelo uso de artifícios ou truques destinados a limitar os processos cognitivos do atacante, interromper suas ferramentas de automação, atrasar suas atividades ou evitar o progresso de seus ataques. Ferramentas desse tipo estão surgindo para redes, aplicativos, endpoints e dados. O Gartner prevê que, até 2018, 10% das empresas usarão ferramentas e táticas com tecnologia Deception contra invasores.

10. Serviços universais de segurança – A área de TI está sendo acionada para estender suas capacidades de proteção para a tecnologia operacional e para Internet das Coisas. Dessa forma, novos modelos devem surgir para entregar e administrar a confiabilidade em escala. Os serviços de segurança devem ser projetados para elevar e apoiar as necessidades de bilhões de aparelhos.

Fonte: Computerworld

Estudo revela presentes mais suscetíveis a ataques

Com a época de festas chegando, a Intel Security revela para os consumidores os “Presentes de Natal mais suscetíveis a ataques de hackers” para garantir sua segurança ao dar e receber presentes tecnológicos.

Na época de festas, os consumidores ficam ansiosos para começar a usar seus novos dispositivos o quanto antes e geralmente não percebem alguns dos riscos de segurança em potencial que os tornam vulneráveis. Coisas tão comuns e aparentemente seguras como uma conexão Wi-Fi, Bluetooth e aplicativos para pagamentos podem rapidamente se tornar um ponto fraco na segurança pessoal.

Para ficar alerta aos riscos, veja a seguir os presentes de Natal mais suscetíveis a ataques de hackers em 2015 segundo a Intel Security.

Relógios inteligentes e monitores de atividades físicas

Os relógios inteligentes e monitores de atividades físicas se tornaram extremamente populares nos últimos anos, e devem gerar um grande volume de vendas nesta época de festas.

O proveito real de invadir um dispositivo vestível está em sua conexão com um smartphone. Com acesso ao smartphone, o hacker pode passar pelo aplicativo do dispositivo vestível e ler e-mails, SMSs ou até mesmo instalar um software mal-intencionado, além de visualizar informações no dispositivo como endereços de e-mail, números de telefone, datas de nascimento etc., que podem ser usadas para roubar identidades.

Smartphones e tablets

Com a constante fabricação de novos modelos de smartphones e tablets durante todo o ano, esses dispositivos são presentes ideais para amigos e familiares que querem ter o telefone mais atual para dar suporte à sua rotina sempre em movimento.

Nesses dispositivos, os invasores podem assumir o controle do Bluetooth e, com algumas informações e artimanhas, um invasor pode se passar por um dispositivo Bluetooth e usar isso para roubar informações, como ler mensagens de texto ou ligar para um número pago fingindo ser o seu relógio inteligente, bem como visualizar informações no dispositivo para roubar sua identidade.

Drones e dispositivos com câmeras

Nos dias de hoje, todos querem registrar cada momento utilizando dispositivos com câmeras e até mesmo capturar vistas aéreas com equipamentos como drones. De acordo com as previsões da CEA, o mercado norte-americano de drones faturará quase US$ 105 milhões em 2015.

Os cibecriminosos podem roubar dados pessoais confidenciais de alguém que deseja se conectar a uma rede Wi-Fi aberta enquanto um drone sobrevoa sua cabeça. Isso tira proveito do fato de que os consumidores geralmente estão dispostos a sacrificar a segurança e a privacidade pela praticidade de conectar-se a redes não seguras.

Dispositivos para crianças

E-books, aplicativos sociais e carros de controle remoto: as crianças adoram usar a tecnologia e, embora esperemos que os brinquedos infantis sejam incondicionalmente seguros, existem algumas questões de segurança das quais os pais devem estar cientes, principalmente quando esses dispositivos possuem acesso à Internet. Já houve casos de hackers que invadiram babás eletrônicas e câmeras de vigilância infantil.

Infelizmente, raramente a segurança dos dispositivos e aplicativos sociais para crianças é considerada, então é responsabilidade dos pais assegurar que o brinquedo de seu filho não esteja transmitindo vídeo ou áudio para visualizadores desconhecidos!

Veja algumas dicas para manter mais seguros os dispositivos que ganhar de presente:

Altere as senhas padrão. Esse provavelmente é um dos métodos mais eficazes para proteger melhor seu dispositivo na época das festas. Ao alterar a senha de um dispositivo para outra mais complexa (de pelo menos oito caracteres com números, símbolos e letras maiúsculas e minúsculas), você adotará uma postura de segurança mais reforçada.

Mantenha o software atualizado. Os dispositivos inteligentes quase sempre exigem atualizações de software regulares. Geralmente, essas atualizações incluem correções de segurança criadas para proteger os usuários contra os cibercriminosos. Sempre atualize seus dispositivos assim que as atualizações forem disponibilizadas.

Proteja seus principais dispositivos. Mesmo se um hacker assumir o controle do seu drone ou monitor de atividades físicas, o ideal é impedir que eles acessem seu smartphone, tablet ou laptop.

Fonte: Risk Report

Leitura de impressão digital deve ser adotada por bancos

Hoje em dia, há dois tipos de organização: a que sabe que está sendo hackeada e a que não sabe ou finge desconhecer essa realidade. Seja como for, todas são vulneráveis e suscetíveis a ataques e fraudes”, diz Phil Scarfo, vice-presidente global de marketing da HID Biometrics. Em termos de tecnologia, o sistema financeiro brasileiro é um dos mais avançados e vem, nos últimos cinco anos, substituindo o uso de senhas, tokens e outros dispositivos, pela autenticação biométrica. “Diante de tantos prejuízos por causa do roubo de senhas e cartões dos correntistas, os bancos se adiantaram em buscar soluções que fossem simples e ao mesmo tempo confiáveis em termos de segurança. Por isso a autenticação da impressão digital tem sido o recurso mais usado nos caixas eletrônicos”.

A seguir, Scarfo aponta três razões para que os bancos adotem a leitura da impressão digital para validar operações bancárias:

Facilidade de uso. “Não é à toa que a autenticação biométrica já foi implantada em 90 mil caixas eletrônicos em todo o Brasil, sendo que cerca de 60 mil adotaram a tecnologia de imagem multiespectral para validar impressões digitais. Da base instalada de caixas eletrônicos que utilizam sensores biométricos com essa tecnologia, estimamos mais de 120 milhões de leituras de impressão digital por mês. Isso demonstra que, depois que o usuário cadastra suas digitais na agência bancária onde tem conta, pode sacar dinheiro de qualquer caixa eletrônico da bandeira sem ter de levar a senha anotada ou memorizada. Esse procedimento é especialmente favorável à população com baixa escolaridade, facilitando o recebimento de seus proventos”.

Segurança. “O roubo de senhas, cartões e tokens é muito comum. Obviamente, não são poucos criminosos que tentam fraudar, também, a impressão digital de uma pessoa para uso indevido. Com esse objetivo, usam todo tipo de material – desde látex transparente e silicone, até gelatina, fita adesiva e dedos de borracha, entre outros. Não se pode afirmar que todo leitor de impressão digital está apto a identificar que se trata de uma fraude e impedir que seja bem-sucedida. Por isso, a qualidade da imagem é fundamental para o aumento de segurança. A tecnologia de imagem multiespectral permite que um único leitor biométrico seja capaz de autenticar de forma confiável um grande volume de usuários. Trata-se de uma tecnologia superior que emprega diversos comprimentos de ondas luminosas em conjunto com modernas técnicas de polarização para obter características singulares da impressão digital, tanto da superfície da pele quanto de uma subcamada que reproduz o mesmo padrão. Por isso é tão eficiente no combate às tentativas de fraude”.

Desempenho do sensor biométrico. “Além de ser capaz de garantir a autenticidade da impressão digital, o sensor biométrico tem de funcionar bem em situações reais. Seja no caixa eletrônico instalado dentro de uma agência bancária, de um posto de combustível ou de um shopping center, o leitor de impressão digital tem de identificar e autenticar rapidamente qualquer tipo de dedo, ainda que a mão esteja molhada, suja de graxa ou óleo, machucada, desgastada pelo tempo ou pela atividade exercida pelo correntista. Esse também é um diferencial da tecnologia de imagem multiespectral, por isso também costuma ser empregada em áreas abertas de aeroportos e terminais rodoviários”.

Na opinião do executivo da HID Biometrics, nenhum sistema é 100% seguro por muito tempo. Por isso, outra virtude da tecnologia biométrica de imagem multiespectral é ser capaz de atuar em conjunto com outros dispositivos de segurança. “O importante é sua capacidade de modificar, atualizar e responder a novas vulnerabilidades e ameaças, atualizando o nível de segurança e se provando um investimento de longo do tempo”.

Fonte: Risk Report

Juniper Networks lança novo antimalware avançado

A Juniper Networks anuncia um avançado antimalware (software para proteger contra ameaças) que oferece proteção diária na nuvem, gestão de segurança redesenhada, e os mais recentes firewalls para rede de campus e filiais de empresa, como parte de sua nova arquitetura Juniper Networks Unite®. As mais recentes soluções de segurança incluem a prevenção de ameaças Juniper Networks® Sky Advanced Threat Prevention, Junos® Space Security Director e os Services Gateways da Série SRX, para fornecer aos clientes sofisticada proteção contra ameaças na gestão da segurança, automação e escalabilidadenecessária para se defender das ameaças em qualquer ponto da rede, sem prejudicar o seu desempenho. Esses avanços oferecerão melhor visibilidade da rede por meio de uma plataforma de gerenciamento simplificada e intuitiva, bem como assegurarão proteção dinâmica e total contra ameaças, com inteligência automaticamente distribuída na nuvem pelos firewalls SRX em todos os pontos da corporação.

A implantação de ações planejadas para impedir riscos cibernéticos (cyber risks), não é mais uma opção para as empresas — é uma necessidade — na medida em que as empresas enfrentam ameaças mais sofisticadas possibilitando a invasão de redes internas, burlando muitos dos métodos de segurança para sua detecção. Soluções de segurança que apenas detectam malwares (softwares maliciosos) já conhecidos e atividades suspeitas não são mais suficientes. As empresas enfrentam crescente demanda por acesso às informações críticas em qualquer lugar, a partir de dispositivos móveis e aplicações na nuvem, os quais trazem novos riscos para a segurança da rede. Como resultado, as empresas necessitam ter visibilidade em toda a rede e detectar as mais novas e perigosas ameaças aplicando a políticas de segurança que são dinâmicas e globais. A solução para esta difícil situação pode ser alcançada por meio de redes definidas por software.

A Juniper Networks está transformando a forma pela qual as empresas protegem e gerenciam suas redes com uma abordagem abrangente, aberta e simples. Esta abordagem permite executar uma política aberta para aplicações contando tanto com a colaboração dos feeds da Juniper ou de terceiros (third-party feeds) para ampliar a identificação de ameaças dinâmicas pelos firewalls físicos ou virtuais do gateway de serviços SRX.

Fonte: Risk Report

Falha em segurança em brinquedos eletrônicos expõe milhares de crianças

Invasão à base de dados da VTech expôs cerca de 5 milhões de contas de pais e crianças. Vazamento inclui nomes, fotos, endereços residenciais e senhas.

A VTech, companhia com base em Hong Kong mais conhecida por fabricar brinquedos educacionais eletrônicos, experimentou uma grande falha que afetou contas de seus usuários ao redor do mundo.

A companhia “suspendeu temporariamente” sua loja Learning Lodge, que oferece aplicativos, música, e-books e games para crianças, depois que sua base de dados foi comprometida.

O hacker responsável pela invasão entrou em contato com o site Motherboard, que reportou o vazamento de cerca de 5 milhões de dados com nomes de pais, incluindo fotos, endereços residenciais, endereços de e-mail e senhas. Há mais de 200 mil de dados de crianças, incluindo seus primeiros nomes, gêneros e datas de aniversários.

A Motherboard contatou um especialista em segurança, Troy Hunt, para analisar os dados e encontrou 4.833.678 contas de e-mail e as senhas que eram fáceis de serem quebradas. As perguntas secretas usadas para recuperar contas e senhas eram armazenadas em formato simples de texto.

“Quando se trata de centenas de milhares de crianças, incluindo seus nomes, gêneros e datas de aniversários, isso está fora de questão. Quando inclui seus pais – junto com seus endereços residenciais – e você pode ligar os dois e enfaticamente dizer ‘Aqui está Maria de 9 anos, eu sei onde ela mora e eu tenho outras informações pessoais sobre seus pais’, começam a me faltar superlativos para descrever o quão ruim isso pode ser”, disse Hunt à Motherboard.

Durante a Black Friday, a VTech anunciou que “uma parte não autorizada acessou dados de clientes da VTech” que foi armazenada na loja de aplicativos da companhia, a brecha ocorreu no dia 14 de novembro e a VTech soube do fato apenas no dia 24 de novembro depois de ser contactada pela Motherboard.

Segundo a companhia, cerca de 5 milhões de contas de clientes e perfis de crianças no mundo todo foram afetados.

A pessoa responsável pelo vazamento garantiu que não tem intenção de fazer nada com os dados. O hacker disse a Motherboard que ele ou ela ganhou acesso a base de dados da VTech via injeção SQL.

Apesar da falha da VTech em seguir melhores práticas e assegurar melhor sua base de dados, Larry Salibra, fundador da plataforma crowdsourced para testar bugs, a Pay4Bugs, disse a Reuters: “Isso parece ser uma tendência. Fabricantes de hardware realmente não valorizam habilidades em sotfware.  Eu imagino isso por que eu não vejo impactos positivos imediatos. Talentos em software são relativamente baratos quando consequências como essas acontecem”.

A VTech informou que enviou um e-mail para cada responsável pela conta sobre a brecha.

Fonte: IDG NOW!