Senhas: em breve elas não serão mais necessárias

usb-tokenAs senhas de computador precisam de um substituto o quanto antes – até o cara que as inventou acha que elas são um pesadelo. Há anos, diversas empresas vêm oferecendo soluções para acabar com as senhas, mas a falta de uma norma comum dificultava as coisas.

Agora, as novas especificações da FIDO (Fast IDentity Online) prometem “tornar a autenticação mais simples e mais resistente para todos”.

>>> Os erros comuns que enfraquecem a sua senha “forte”

A FIDO Alliance anunciou novos padrões sem senha para autenticação comum e em dois passos. Em outras palavras, toda a indústria de tecnologia agora tem um protocolo para deixar você acessar suas contas de forma segura, mas livre dos ******.

Qualquer aplicativo ou site terá um padrão para, no futuro, utilizar dispositivos (como tokens USB) ou dados biométricos (como impressões digitais) a fim de autenticar usuários.

Já é possível fazer login com pendrives (no caso do Google) ou com a impressão digital (em smartphones da Apple, Samsung e HTC), mas as novas normas devem fazer com que mais fabricantes, sites e empresas adotem isso.

Os membros da FIDO incluem gigantes da tecnologia como Google, Samsung e Lenovo; fabricantes de componentes como Qualcomm e Synaptics; empresas financeiras como Visa, MasterCard e PayPal; entre outros.

Ainda há mais trabalho a se fazer: eles vão implementar suporte a dispositivos Bluetooth e NFC no padrão que criaram, para que você não precise conectar fisicamente todo dispositivo de segurança.

Não está claro como será um mundo sem senhas, mas os novos padrões da FIDO vão nos preparar para ele. Hoje, estamos um passo mais próximos de acabar com o tormento das senhas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo Brasil

Google distribuirá recompensa a caçadores de bugs o ano inteiro

pwniumNão é novidade para ninguém que a Google recompensa bem aqueles a encontrarem falhas em seu navegador. Tanto que, anualmente, a empresa faz sua famosa conferência Pwnium, em que os hackers têm a chance de serem premiados pela descoberta.

O método, no entanto, acabava apresentando uma falha fatal: visto que essa era a única data para serem recompensados, os hackers preferiam apenas esperar até o ano seguinte para relatar suas descobertas. Isso, por consequência, mantinha falhas expostas por muito mais tempo do que necessário, além de deixar muitos participantes insatisfeitos pela falta de opções.

Pwnium o ano todo

Assim, a empresa veio anunciar, através do Chromium Blog, que vai seguir um método um pouco mais interessante. Primeiro, o evento deixou de ocorrer por apenas um dia no ano para simplesmente não ter fim. Segundo, agora não há um limite para os prêmios em dinheiro.

Resumindo: não é mais preciso ir até o evento para participar do programa de recompensas. Agora, tudo o que você tem que fazer é entrar em contato com o Programa de Recompensa a Vulnerabilidades do Chrome, relatar uma falha e, se confirmada, o prêmio é entregue. Assim, se você deseja ajudar a melhorar o serviço da Google, não há mais limitações para participar.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Europol derruba rede de malware que infectou 3,2 milhões de PCs

ramnit-botnetO Centro de Cibercrime Europeu (EC3) da Europol derrubou a infraestrutura de controle de uma rede zumbi criada por uma praga digital conhecida como “Ramnit”. Anunciada nesta terça-feira (24), a ação contou com a colaboração de agentes policiais da Alemanha, da Itália, da Holanda e do Reino Unido, além de auxílio da Microsoft, da Symantec e da Anubis Networks.

A praga digital surgiu em 2010 e estimativas apontam que 3,2 milhões de computadores foram infectados pelo vírus. A praga era distribuída em golpes por e-mail e sites invadidos ou criados por hackers para essa finalidade. O programa tinha ainda um comportamento de “vírus clássico”, parasitando arquivos executáveis.

De acordo com a Symantec, 3% dos sistemas contaminados estão localizados no Brasil. Índia (27%) e Indonésia (18%) são os países mais atacados pelo código.

A Europol redirecionou 300 endereços de internet para desmantelar a infraestrutura de controle do vírus. Com isso, os hackers não conseguem mais acessar os computadores infectados, nem receber as informações extraviadas.
Em 2011, com o vazamento do código fonte do vírus Zeus, o Ramnit passou a incorporar funcionalidades de espionagem e roubo de dados.

De acordo com a Symantec, o vírus é capaz de analisar o disco rígido em busca de arquivos que seriam enviados aos hackers. A praga monitora o acesso à web para alterar os sites visitados para solicitar informações extras, como o número do cartão de crédito. Uma ferramenta de remoção gratuita pode ser baixada no site da Symantec.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Google irá alertar usuário sobre sites suspeitos durante a busca

google_alertA partir de agora, o Chrome será capaz de exibir um aviso sobre a existência de malwares antes mesmo do domínio ser carregado, evitando que quaisquer arquivos maliciosos sejam arquivados em seu computador.

Esse novo sitema de alertas ajudará a reduzir a quantidade de malwares baixados e instalados sem consentimento do usuário, especialmente para sites que conseguem alterar as configurações do seu navegador, como alterar a página inicial ou até mesmo forçá-lo a baixar novos malwares.

Além disso, o Google também fez alterações em seu sistema de busca para esconder sites que contenham malwares. “O Google Search agora incorpora os sinais que identificam sites enganosos. Essa alteração reduz as chances do usuário ver esses sites em nossos resultados”, afirma a empresa em um post em seu blog de segurança.

Fonte: Canaltech

Superfish não afeta apenas computadores da Lenovo

superfishA revelação de que a Lenovo estava instalando um adware chamado Superfish em seus computadores novos antes que eles saíssem da fábrica está sendo considerada como um grande caso na história da TI. A descoberta alerta a Internet sobre a possibilidade de outras fabricantes também adotarem tal prática – e é exatamente isto que os pesquisadores de segurança apontam, segundo o site Pplware.

Ainda que a Lenovo tenha tratado de imediato em retirar o Superfish de seus computadores, de acordo com especialistas, o mesmo mecanismo de interceptação de tráfego utilizado pelo adware instalado pela fabricante chinesa também é usado em outros programas. O sistema que aplicava o desvio do tráfego dos computadores da Lenovo utiliza um proxy para interferir nas conexões HTTPS criptografadas criando autenticações falsas e o Superfish realiza este processo por meio da instalação de seu próprio certificado raiz no Windows a fim de assinar autenticações em sites legítimos.

Partindo deste mecanismo, hackers mal-intencionados possuem caminho aberto para realizar ataques como “men-in-the-middle” através de redes Wi-Fi públicas ou roteadores.

O que se sabe até agora é que sistemas similares ao Superfish são um problema de base de software e estão presentes em várias aplicações em inúmeros computadores em todo o mundo. As investigações realizadas por especialistas mostram que este software utiliza componentes de uma SDK denominada SSL Decoder/Digestor, desenvolvida pela empresa Komodia, de Israel. Este SSL Decoder/Digestor, no entanto, está presente em todas as aplicações da Komodia, que fornece componentes para outros softwares similares. Keep My Family Secure, Qustodio e o Kupira WebFilter são alguns dos softwares onde já foram identificados a presença do SLL Decoder/Digestor da Komodia.

Um comunicado de alerta de segurança feito pelo centro de investigação da Universidade Carnegie Mellon alerta para os problemas que o software da Komodia representa para os usuários. Apesar disso, ainda não é conhecida uma maneira para resolver o problema de maneira generalizada.

Com as descobertas para determinar o tamanho e a profundidade da questão, é possível dizer que o problema é muito maior do que se imaginava. Sistemas similares ao Superfish não apenas representam uma séria violação à privacidade e segurança, mas também colocam em xeque a confiança dos consumidores nas marcas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

OSX, iOS e Linux são mais vulneráveis que o Windows

os_vulnerabilitiesDe acordo com novos dados divulgados pelo National Vulnerability Database (NVD), OS X, iOS e Linux são mais vulneráveis que o Windows.

O NVD divulgou o número de vulnerabilidades reportadas em 2014 para cada um dos sistemas operacionais e o resultado compilado pelo blog GFI pode ser uma surpresa para quem acha que OS X e Linux são totalmente seguros.

Em 2014, o OS X teve 147 vulnerabilidades reportadas. Deste total, 64 são de alto risco e 67 são de médio risco. O iOS ficou em segundo lugar com 127 vulnerabilidades, sendo 32 delas de alto risco.

O Linux ficou em terceiro com 119 vulnerabilidades (24 de alto risco).

A versão mais recente do Windows, a 8.1, teve 32 vulnerabilidades reportadas. Deste total, 24 são de alto risco.

Já o Windows 7 e o Windows 8 tiveram 36 vulnerabilidades reportadas. Deste total, 25 são de alto risco no Windows 7 e 24 no Windows 8.

O Windows Server 2008 e o Windows Server 2012 tiveram 38 vulnerabilidades reportadas, sendo 26 de alto risco na versão 2008 e 24 na versão 2012.

No geral, o número de vulnerabilidades no banco de dados do NVD apresentou um grande crescimento em 2014.

Em 2013 o banco de dados do NVD tinha 4.794 vulnerabilidades registradas e em 2014 este número saltou para 7.038. O número de vulnerabilidades de alto risco é relativamente baixo, mas ainda assim, este crescimento no número geral é algo preocupante.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Chegou o Firefox 36 com suporte ao novo HTTP2

firefox_36A Mozilla acaba de lançar a versão final do Mozilla Firefox 36. A principal mudança da atualização é o suporte ao HTTP2, o novo padrão aprovado na última quarta-feira (18). Com ele é possível baixar vários arquivos em uma única conexão, garantindo mais velocidade de navegação na Internet.

Outras duas novidades são a sincronização das grades afixadas ao abrir novas guias. A nova versão do navegador desktop também não aceitará mais certificados assinados com chaves RSA de 1024 bits.
O update removeu a opção remota e passou a bloquear cifras RC4 inseguras sempre que possível. O desligamento forçado passará a mostrar o motivo do travamento antes de sair do programa. Ainda foram corrigidos erros como o logout inesperado do Facebook e Google, além de falhas de segurança.

A versão 36 para Windows está disponível para download aqui. Uma versão 64 bits para o sistema operacional da Microsoft ainda não foi lançada oficialmente pela Mozilla, mas a versão de testes mais recente pode ser encontrada em seu FTP*.

Quem instalou o Serviço de Manutenção junto com uma versão anterior do navegador deverá receber a atualização automaticamente.

Saiba mais sobre o navegador Firefox clicando aqui.

Agradecemos ao Davi e ao Domingos, colaboradores amigos do seu micro seguro, pelas referências dessa notícia.

Fontes: Techtudo e Baboo
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 529 outros seguidores