Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Bruna Chieco
      Uma falha dupla no macOS foi encontrada pela empresa de segurança Trend Micro, que divulgou na semana passada que a vulnerabilidade, causada por uma brecha no componente de memória da AMD, pode facilitar atacantes a executar códigos maliciosos em sistemas com privilégios administrativos. 
      A falha recebeu o código CVE-2019-8635 e na verdade abrange duas vulnerabilidades: uma no método discard_StretchTex2Tex e outra no processamento de tokens de banda lateral em uma classe da AMD Radeon chamada AMDRadeonX400_AMDSIGLContext, que é usada para renderizar gráficos nos computadores com macOS. No primeiro caso, a vulnerabilidade permite que o atacante execute um código malicioso na área do usuário. Já no segundo, há uma vulnerabilidade double-free (liberar uma área de memória duas vezes) no processamento de sideband tokens na mesma classe de componentes AMD. A vulnerabilidade permite que atacantes locais executem código arbitrário em instalações afetadas do sistema operacional macOS. 
      As duas falhas são semelhantes, e nos dois casos o invasor deve primeiro obter a capacidade de executar código com poucos privilégios no sistema-alvo. A única diferença entre as explorações é a função a ser aproveitada. No fim, a memória do dispositivo é compartilhada. Os atacantes podem usar a vulnerabilidade double-free para atacar sistemas macOS sem patches e comprometer máquinas com privilégios elevados. A Apple forneceu uma correção para o problema por meio de uma atualização de segurança disponível para o macOS Mojave 10.14.4. Atualizem seu macOS o mais rápido possível! ?‍♀️
    • No dia 23 de Junho de 1912, há 107 anos atrás, nascia o inglês Alan Turing. Aos 21 anos, se formou em matemática em Cambridge, tendo recebido uma menção honrosa por ser o primeiro da classe. Emociono-me enquanto escrevo isso: eu com 21 anos tava procurando bares e festas. ?‍♂️
      Durante a segunda guerra mundial, Turing, aos 26, decidiu tentar quebrar a criptografia da máquina alemã Enigma, utilizada para encriptar mensagens entre as várias bases alemãs, liderando o departamento miliar inglês conhecido Hut 8. Ainda em 39, Turing quebrou a criptografia da Enigma, um feito fundamental para a derrota da Alemanha Nazista e o fim da guerra. Por que? Nas palavras dele: "Porque ninguém estava fazendo nada em relação a isso e eu poderia fazer" - emociono-me de novo aqui.
      Seu conceito de "Máquina de Turing" foi fundamental para a ciência da computação que conhecemos hoje. De forma bastante resumida, se uma linguagem de programação é Turing complete, dizemos que esta pode ser utilizada para resolver qualquer problema computacional. É o caso de linguagens como C, Python, Ruby, JavaScript e praticamente todas as outras. Qualquer problema algorítmico pode ser resolvido com qualquer uma delas, em tese.
      O trabalho na área de criptologia continuou e Alan seguiu beneficiando o mundo inteiro com sua genialidade, até que em 1952, aos 39 anos, foi preso sob acusação de "indecência" por ter tido relações afetivas com Arnold Murray. É simples assim. Um homem beijar outro homem era crime na Inglaterra na época e Alan foi condenado a escolher entre castração química ou prisão. Escolhido a primeira, recebeu hormônios para redução de libido por cerca de um ano.
      Em meio há inúmeros textos, sites e livros que contam parte de sua história, vale o destaque para o filme de fácil acesso "O Jogo da Imitação":
      O tratamento funcionou: Turing ficou impotente e a feminização de seu corpo era visível. Aos 41 anos, se matou ingerindo uma dose letal de cianeto injetada na metade de uma maçã, assim como encena "Branca de Neve", seu conto de fadas predileto.
      A ideia ignorante de diferença pôs um fim às contribuições de Alan, mas estas deixaram um legado: hoje temos a oportunidade de reconhecer nossa igualdade através de sua história. Somos livres para não investirmos mais nessas crenças de diferenças e à isso, em nome de toda a equipe do Mente Binária, agradecemos por seu trabalho, por sua existência, por seu espírito hacker. Hacker é isso. É não aceitar o que se é imposto, mas não faz sentido.
    • As empresas de telecomunicação brasileiras têm até o início de julho para implementar uma lista nacional e única de consumidores que não querem receber chamadas de telemarketing. A exigência da Agência Nacional de Telecomunicações (Anatel), que divulgou comunicado no dia 13 de junho, se estende aos serviços de telefonia, TV por assinatura e internet oferecidos pela Algar, Claro/Net, Nextel, Oi, Sercomtel, Sky, TIM e Vivo. 
      A medida é complementar à implementação de mecanismos que já haviam sido propostos pelas próprias prestadoras de serviço. Em março, as empresas se comprometeram a implementar, até setembro, um código de conduta e mecanismos de autorregulação das práticas de telemarketing, incluindo uma lista de “não perturbe”. O Procon também possui um sistema de cadastro para bloqueio do recebimento de ligações de telemarketing e pode impor sanções no caso de transgressão ou violação das regras por parte das empresas do setor.
      Além da lista, as companhias devem, dentro do mesmo prazo, criar e divulgar amplamente um canal por meio do qual o consumidor possa manifestar o seu desejo de não receber as ligações. A partir do momento que o consumidor optar pelo não recebimento das chamadas, as empresas em questão não poderão mais efetuar ligações telefônicas com o objetivo de oferecer seus pacotes ou serviços de telecom para os números registrados na lista nacional a ser criada. ?
    • A Huawei está se movimentando para registrar oficialmente a marca do seu sistema operacional próprio, o "Hongmeng", para substituir o Android. De acordo com o CNet, a gigante chinesa já iniciou o movimento no Peru e pretende estender para diversos países. A empresa também contesta o banimento dos Estados Unidos em relação ao uso do sistema operacional. Em maio, o Google bloqueou a Huawei de suas atualizações do Android, embora o Departamento de Comércio dos Estados Unidos tenha concedido uma licença geral de três meses para atualizar os dispositivos existentes.
      Os aparelhos da Huawei rodam atualmente com Android e a empresa declarou que não tinha planos imediatos de lançar um sistema operacional próprio, somente se o Android fosse permanentemente removido de seus dispositivos. A companhia chinesa enviou um memorando à Comissão Federal de Comunicações, órgão regulador de telecomunicações dos Estados Unidos, contestando o banimento. 
      Os equipamentos de rede da Huawei foram colocados na lista negra pelo governo dos Estados Unidos sob alegações de preocupações com a segurança nacional. O governo americano afirma que a Huawei mantém relações estreitas com o governo chinês, o que a empresa negou. Segundo a carta da Huawei, forçar operadoras de redes a eliminar e substituir seus equipamentos existentes representaria uma ameaça maior à estabilidade e segurança da rede.
    • A China pode estar desenvolvendo um sistema operacional customizado que virá para substituir o Windows em meio às tensões políticas que o país enfrenta contra os Estados Unidos. De acordo com o site ZDNet, a informação não foi confirmada pelos canais de imprensa oficiais do governo chinês, mas foi reportada pela revista militar Kanwa Asian Defence, baseada no Canadá. A reportagem diz que as autoridades militares chinesas não querem simplesmente migrar de Windows para Linux, e sim desenvolver um sistema operacional próprio.
      A iniciativa foi motivada principalmente pelas informações de que os Estados Unidos possuem um grande arsenal de ferramentas de hacking que pode afetar desde smart TVs até servidores Linux, roteadores e sistemas operacionais comuns como Windows e macOS. As informações foram reveladas nos vazamentos promovidos por Edward Snowden, Shadow Brokers, e o Vault7, que detalharam as atividades da Agência de Segurança Nacional dos Estados Unidos (NSA) e da CIA em relação a vigilância eletrônica e atividades cibernéticas.
      Desde esses vazamentos, a China planejaria adotar um sistema operacional personalizado que dificulta a espionagem dos agentes estrangeiros sobre as operações militares chinesas. Essa tarefa seria executada por um novo grupo chamado "Internet Security Information Leadership Group", que responderia diretamente ao Comitê Central do Partido Comunista Chinês, segundo as publicações.
    • Cibercriminosos estão avançando nas suas técnicas de ataque a informações de organizações que, por outro lado, enfrentam dificuldades em encontrar profissionais qualificados para garantir a segurança de seus dados. Segundo informações compiladas pelo site DarkReading, phishing e engenharia social foram os métodos mais utilizados para comprometimento de informações de empresas em 2018, servindo como porta de entrada para atacantes em mais de 60% dos ciberataques realizados em ambientes de nuvem e pontos de venda, além de ter sido utilizada em 46% das violações de redes corporativas e internas. 
      A publicação ainda mostra que as vulnerabilidades dentro das empresas aumentam conforme o volume de dados cresce exponencialmente e de maneira descentralizada, dificultando a garantia de uma proteção mais otimizada. Dados do IDC mostram que o volume de dados mundial deve crescer em dez vezes até 2025, chegando a 163 zettabytes, principalmente por meio da proliferação da inteligência artificial, Internet das Coisas e outras tecnologias machine-to-machine de empresas. Isso significa que haverá uma superfície de ataque maior, com novos vetores e mais pontos de vulnerabilidade para as organizações protegerem.
      Diante desses desafios, as empresas enfrentam ainda uma dificuldade que é comum no ambiente corporativo ao redor do mundo: encontrar profissionais de cibersegurança bem qualificados e reter esses talentos. Um estudo da (ISC)² Cybersecurity Workforce Study com dados de 2018 mostra que há escassez de quase 3 milhões de trabalhadores na área de segurança cibernética globalmente. Nos Estados Unidos, uma empresa leva de três a seis meses para preencher uma posição nessa área.
      Para tentar reduzir esse gap entre demanda das empresas e profissionais qualificados no mercado de segurança, é recomendável treinamentos para quem atua na área de segurança. O Mente Binária oferece treinamentos gratuitos para que todos possam acessar um conteúdo tão importante e atual, e que está sendo extremamente necessário em organizações mundialmente. Veja nossos treinamentos aqui!
    • A Microsoft divulgou recentemente a versão final de seu baseline de segurança para o Windows 10 versão 1903 (também conhecido por "19H1") e Windows Server versão 1903. Entre as principais alterações está a remoção da necessidade do usuário redefinir suas senhas periodicamente. Segundo a própria Microsoft, apesar da segurança das senhas ser problemática, já que normalmente elas são muito fáceis de prever, quando usuários são obrigados a alterar essas senhas, as redefinições incluem pequenas alterações nas senhas já existentes - isso quando o usuário não esquece a senha. ?
      Eles detectaram que há alternativas melhores do que políticas de expiração de senhas para garantir maior segurança, como imposição de listas de senhas proibidas e autenticação de vários fatores, mas elas não podem ser expressas ou aplicadas nas bases de configuração de segurança recomendadas pela Microsoft. A empresa, então, decidiu remover essa configuração por verificar que não é uma estratégia de segurança completa para o gerenciamento de credenciais do usuário. "A expiração periódica de senha é uma mitigação antiga e obsoleta, de valor muito baixo, e não acreditamos que valha a pena para nossa baseline impor qualquer valor específico a isso. Ao removê-la de nossa baseline, as organizações podem escolher o que melhor atende às suas necessidades", diz a Microsoft no comunicado.
      A National Cyber Security Centre (NCSC), divisão de cibercrime do Governo do Reino Unido, apoiou a decisão da Microsoft e recomendou a usuários que desejam melhorar sua segurança a se concentrarem no uso de senhas fortes, diferentes, implementando a autenticação de dois fatores (2FA). Eles recomendam ainda o uso de um gerenciador de senhas para ajudar.
      Há dois anos, lançamos um vídeo no Papo Binário sobre a autenticação de dois fatores que você pode assistir aqui. ?
×
×
  • Criar Novo...