Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Bruna Chieco
      A Forbes divulgou o caso de um pesquisador que já recebeu várias recompensas por descobrir falhas no Instagram. Em julho, Laxman Muthiyah revelou que uma vulnerabilidade na rede social lhe permitiu "invadir qualquer conta do Instagram sem permissão de consentimento". A equipe de segurança do Facebook considerou esse um problema grave o suficiente para conceder a Muthiyah uma recompensa de US$ 30 mil. Ele já havia encontrado e divulgado outras três vulnerabilidades do Facebook, dignas de pagamentos de recompensa. ?
      Recentemente, Muthiyah encontrou uma nova falha, semelhante à anterior. A vulnerabilidade, desta vez, foi encontrada na validação de códigos de redefinição de senha do Instagram. A falha significava que um invasor poderia solicitar 1 milhão de códigos de redefinição de senha em uma janela de dez minutos e com 100% de êxito. Ele detectou que quando um usuário solicita uma senha usando seu dispositivo móvel, a ID do dispositivo é enviada junto com a solicitação. A mesma ID de dispositivo é usada novamente para verificar a senha. Os códigos de redefinição de senha do Instagram, contudo, expiram 10 minutos após a solicitação, o que levou à conclusão de a vulnerabilidade não é tão grave quanto parece. 
      A equipe de segurança do Facebook confirmou a vulnerabilidade, que foi corrigida, e concedeu prêmio de US$ 10 mil, agradecendo a Muthiyah por seu relatório — e informando que aguarda os próximos. ?
      Programa de recompensa — Falando nisso, o Facebook estendeu o seu programa de recompensa Data Abuse Bounty para o Instagram. A ideia é que pesquisadores de segurança relatem casos de aplicativos de terceiros que acessam e armazenam indevidamente dados do usuário, incluindo aplicativos e serviços que oferecem falsas informações. De acordo com o Engadget, qualquer aplicativo que solicite informações de login de pessoas está violando os termos de uso do Instagram, e o Facebook deseja que a comunidade de segurança o notifique sobre esses casos.
      Além disso, o Facebook está trabalhando com pesquisadores de segurança para testar o Checkout no Instagram, o recurso que permite que as pessoas comprem produtos sem sair do aplicativo. Um grupo selecionado de pesquisadores teve acesso antecipado ao Checkout no Instagram e será recompensado por relatórios qualificados.
      A empresa de Mark Zuckerberg já desembolsou mais de US$ 1,1 milhão a pesquisadores de segurança de todo o mundo em 2018. O pagamento médio por descoberta de bugs foi de US$ 40 mil. No ano passado, o Facebook recebeu cerca de 17,8 mil relatórios, e o valor médio da recompensa foi em torno de US$ 1,5 mil.
    • Um grupo de pesquisadores de segurança descobriu uma vulnerabilidade crítica no protocolo de comunicação sem fio do Bluetooth. Os pesquisadores divulgaram relatório, em inglês, explicando os detalhes da vulnerabilidade, que poderia deixar milhões de dispositivos equipados com Bluetooth expostos a um novo tipo de ataque chamado KNOB (abreviação de Key Negotiation Of Bluetooth). 
      O ataque funciona da seguinte maneira: os atacantes forçam o procedimento de emparelhamento do Bluetooth e espionam os dados compartilhado entre dispositivos Bluetooth, mesmo que eles tenham sido pareados anteriormente. O ataque é possível devido a falhas na especificação Bluetooth. Qualquer dispositivo compatível com Bluetooth padrão está vulnerável à falha. Os pesquisadores realizaram ataques como teste em 24 dispositivos diferentes e mai de 17 chips Bluetooth exclusivos dos fabricantes Broadcom, Qualcomm, Apple, Intel e Chicony. Todos eram vulneráveis ao ataque KNOB.
      O Bluetooth divulgou comunicado dizendo que não há evidências de que a vulnerabilidade tenha sido explorada com intuito malicioso ou que algum dispositivo implementando o ataque foi desenvolvido. Para corrigir a vulnerabilidade, o Bluetooth atualizou sua especificação principal para recomendar um comprimento mínimo de chave de criptografia e incluirá testes para a nova recomendação. O Bluetooth recomenda ainda que usuários instalem as atualizações mais recentes dos fabricantes de dispositivos e sistemas operacionais.
    • Os responsáveis por um ciberataque de ransomware em sistemas de 22 cidades do Texas estão solicitando coletivamente um resgate total de US$ 2,5 milhões para liberar os dados das prefeituras afetadas. Segundo o Houston Chronicle, um dos prefeitos, da cidade de Keene, já se recusou a pagar pelo resgate. ?
      Os ataques envolvem bloqueio de acesso a um sistema de computador até que o resgate seja pago. O Departamento de Recursos de Informação do Texas está investigando o caso com a ajuda do FBI e do Departamento de Segurança Interna, mas a suspeita é que o ataque tenha partido de um esforço coordenado de uma única pessoa ou grupo.
      O estado não divulgou os nomes das cidades afetadas e não forneceu detalhes sobre o método de ataque, ou se já houve pagamento de resgate. Apenas as cidades de Keene e a de Borger admitiram publicamente que estavam entre as 22 agências atacadas.
    • O pesquisador de segurança Truman Kain apresentou na Defcon, em Las Vegas, um sistema que transforma as câmeras retrovisoras do Tesla em um sistema que detecta, rastreia e armazena placas de veículos e rostos ao longo do tempo. De acordo com o Wired, é possível instalar um computador que se encaixa no console central dos automóveis Tesla conectando-o à porta USB do painel do carro e transformando as câmeras embutidas em um sistema de vigilância, chamado Surveillance Detection Scout. 
      A ferramenta usa um software de reconhecimento de imagem de código aberto para automaticamente criar um alerta na tela do Tesla e no telefone do usuário. Caso ele detecte repetidamente a mesma placa de licença, o usuário será avisado. Além disso, quando o carro está estacionado, o sistema pode rastrear rostos próximos para ver quais aparecem repetidamente. Segundo Kain, a intenção é oferecer um aviso de que alguém pode estar preparado para roubar o carro, adulterá-lo ou invadir a casa do motorista.
      O protótipo do Surveillance Detection Scout funciona capturando e analisando o vídeo das três câmeras do Tesla — duas nos espelhos laterais e uma direcionada para frente — por meio de um mini-computador Nvidia Jetson Xavier de US$ 700. A rede neural de código aberto utilizada no sistema é a Darknet, enquanto o ALPR Unconstrained é utilizado para reconhecimento de placas de licença, e o Facenet, para rastreamento de faces. Os programas estão disponíveis gratuitamente no Github. 
      A invenção obviamente acarreta preocupações com privacidade, mas o pesquisador enfatizou em sua apresentação que a ferramenta é útil para os proprietários do Tesla, transformando o carro em uma estação de vigilância. Um pouco de paranóia, talvez, ou apenas uma válida preocupação com segurança? ?‍♀️
    • Se você achou que Matrix acabou na trilogia, vem aí uma boa notícia. O filme que retrata um universo programado e que cria a ilusão de um mundo real pode ganhar uma quarta parte. A publicação americana Variety divulgou que a diretora Lana Wachowski está planejando escrever e dirigir o quarto filme da sequência, com Keanu Reeves e Carrie-Anne Moss como Neo e Trinity. O filme produzido pela Warner Bros. Pictures e distribuído pela Village Roadshow Pictures.
      Os três filmes anteriores - "Matrix", "Matrix Reloaded" e "The Matrix Revolutions" - coletivamente renderam mais de US$ 1,6 bilhão nas bilheterias mundiais. O primeiro "Matrix" fez aniversário de 20 anos este ano. A Warner tenta há dois anos trazer o quarto filme ao cinema, mas um atraso em relação à produção de direitos diminuiu o ritmo do projeto. Ainda não se sabe como será o roteiro e de que maneira o papel de Morpheus será retratado. 
      Matrix está na lista do Mente Binária que reúne de filmes, séries e documentários que envolvam especificamente o tema informática. Veja os outros que fazem parte dessa lista!
    • A Trend Micro descobriu uma variante do MyKings que além de ser uma botnet, minera criptomoedas e instala também um bootkit para persistência para se manter instalado na máquina infectada e “sobreviver” à reboots. A empresa de segurança divulgou texto, em inglês, explicando o funcionamento do malware detectado durante o processo de integração de serviços de Detecção e Resposta Gerenciada de uma empresa de produtos eletrônicos na região Ásia-Pacífico. 
      As atividades suspeitas detectadas eram relacionadas ao EternalBlue, também conhecida por ter sido utilizada nos ataques WannaCry. A variante de malware estava escondida no sistema da empresa em 2017, cerca de dois anos antes de ser descoberta, o que dificulta determinar a carga real do MyKings. Além disso, houve alteração constante dos seus alvos e métodos de infecção, incluindo diferentes tipos de malware, como um backdoor, um minerador de criptomoedas e um cavalo de tróia — trojan. Ele também usa vários mecanismos de persistência, dificultando a remoção da máquina infectada.
      A ameaça, extremamente avançada, exige know-how especializado para ser desenvolvida, e o fato de ter um bootkit nesse malware sugere que o investimento em seu desenvolvimento foi alto — logo, o retorno deve ser alto também. O MyKings já infectou mais de 500 mil máquinas e minerou o equivalente a US$ 2,3 milhões no início de 2018, segundo a Trend Micro. Os dados regionais de 2017 mostram que a maioria dos ataques foram na região Ásia-Pacífico. Seria botnet + minerador + persistência avançada uma nova tendência para os malwares? ?
    • O Google anunciou recentemente que iniciou um processo de substituição de senhas para verificação de identidade online de usuário do Android. O anúncio, segundo a Forbes, foi feito pelo engenheiro de software da empresa, Dongjing He, e o gerente de produtos, Christian Brand. As senhas serão substituídas por identificação biométrica, via digitais, ou bloqueio de tela em alguns serviços do Google.
      Pela primeira vez, o Google permitirá que as mesmas credenciais biométricas sejam usadas por aplicativos Android nativos e serviços da web. Para isso, será necessário registrar a impressão digital apenas uma vez no smartphone e utilizá-la para acessar os apps e serviços, mas isso ainda será limitado apenas ao Gerenciador de Senhas do Google. O lançamento será  feito para dispositivos Android Pixel, mas o serviço também estará disponível para Android 7+, podendo atingir 1,7 bilhão de pessoas.
      O conceito de eliminar senhas é semelhante ao que a Microsoft sinalizou que iria introduzir a 800 milhões de usuários do Windows 10 com a tecnologia de autenticação online FIDO2 — Fast Identity Online. A FIDO2 é um conjunto de padrões que permitem logins apoiados por uma forte segurança criptográfica, e as mudanças do Google vêm "como resultado de anos de colaboração entre o Google e muitas outras organizações da FIDO Alliance e do W3C", disse o anúncio da empresa. ?
×
×
  • Criar Novo...