You Tube a caminho da criptografia completa de dados

youtube_conexaoO YouTube passou a ter 97% de todo o seu tráfego criptografado. O anúncio feito no blog da empresa e mostra que a plataforma de vídeos do Google chegou próxima aos serviços mais seguros da companhia, que incluem o Gmail e o Drive, que possuem 100% do seu conteúdo criptografado. De acordo com a empresa, o processo de aplicação do HTTPS existe há dois anos e que a marca de 97% demorou a ser alcançada por conta do tamanho do YouTube.

O processo de criptografia de conteúdo do YouTube inclui uma análise correta das requisições vindas de conexões não seguras e que são realizadas pelo seu sistema de segurança. Nesta mudança, é necessário que o serviço garanta que os usuários não fiquem sem acesso, o que é conseguido graças às várias plataformas que atuam juntas durante o processo.

O trabalho da equipe de segurança do site de vídeos para criptografar seu conteúdo foi longo e gradual por conta da enorme quantidade de tráfego gerado pelo portal. Além disso, muitos dispositivos diferentes acessam o YouTube, como smartphones, computadores e smart TVs, levando a companhia a testar a migração em cada um dos dispositivos.

Segundo Mountain View, o YouTube ainda não é 100% criptografado por conta de alguns dispositivos que não oferecem suporte completo ao HTTPS moderno. Ao longo do tempo, no entanto, a plataforma vai eliminar gradualmente as conexões não seguras para que os usuários possam consumir o conteúdo da maneira mais segura possível.

Com a alteração, o YouTube passa a ser o terceiro serviço mais seguro do Google, ficando a frente de serviços como o Maps, o Calendário e a plataforma de anúncios. Segundo a empresa, a intenção, com o passar do tempo, é que todos os seus serviços sejam criptografados utilizando HTTPS.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Canaltech e You Tube

Rússia assegura ter como “quebrar” criptografia do WhatsApp

criptografiaLembra que o WhatsApp diz e jura de pés juntos que nem a empresa, nem governos, nem ninguém mais pode ler as mensagens que são trocadas por meio do serviço? A Rússia deve se tornar uma exceção, tornando uma política de estado a coleta de chaves de criptografia que permitiriam interceptar mensagens para que elas possam ser lidas sem problemas.

O FSB, órgão que sucedeu a KGB com o declínio da União Soviética, anunciou que agora tem os meios para realizar a coleta destas chaves, que permitirão a leitura de conteúdo que seria incompreensível por causa da criptografia.

A Rússia, sob o comando de Vladimir Putin, tem adotado uma posição bastante radical em termos de privacidade e segurança de dados, com uma lei aprovada há um mês que requer uma “porta-dos-fundos” em criptografia entre outras regras que facilitam o trabalho de espionagem.

O alvo da lei era, especialmente, os aplicativos como o WhatsApp e o Telegram, que adotam uma criptografia de ponta-a-ponta que, em teoria, não poderia ser quebrada com facilidade. A lei pede uma punição de cerca de R$ 50 mil por não colaboração, mas não é muito claro com que frequência esta multa pode ser aplicada. Putin, no entanto, decidiu não ficar refém da cooperação das empresas e colocou a FSB para trabalhar também para “produzir as chaves de criptografia”.

Para piorar a situação, o governo é propositalmente pouco claro sobre a situação, e não diz como. As empresas também não se manifestam sobre o assunto, o que complica ainda mais a situação.

Anton Nesterov, um especialista russo, explicou ao Daily Dot algumas das ramificações da legislação, que obviamente não afeta apenas terroristas planejando atentados por meio dos aplicativos. Como não há explicação da lei, até mesmo empresas como Visa e Mastercard poderiam ser forçadas a compartilhar as chaves que protegem transações por cartões de crédito, entre outras implicações negativas.

Fonte: Olhar Digital

Criptografia do Android é frágil

CriptografiaO pesquisador Gal Beniamini está causando polêmica na internet. Recentemente, o especialista em segurança cibernética publicou um longo relatório em seu blog oficial para denunciar que o sistema de criptografia de disco (Full Disk Encryption ou FDE, no original em inglês) do Android não é seguro, pois é possível quebrá-lo com facilidade utilizando algumas ferramentas que o próprio Beniamini disponibilizou gratuitamente.

Inaugurado na versão 5.0 Lollipop do sistema operacional, o FDE é uma ferramenta criada para proteger todos os dados salvos no celular do usuário, impedindo o acesso não autorizado por parte de cibercriminosos ou agências de espionagem — a menos que eles tenham acesso à senha, ao PIN ou ao padrão de desbloqueio configurado pelo próprio cidadão. É a mesma coisa que a Apple insere em seu iOS e que o FBI queria contornar.

O problema é que, de acordo com Beniamini, é possível extrair a chave de criptografia do FDE do Android (que é guardada em uma área do sistema chamada TrustZone, ou zona de confiança, onde são executados processos sensíveis) e vazá-la para a memória legível do dispositivo móvel. A partir disso, basta usar ferramentas de brute force para tentar “adivinhar” a senha que, junto com a chave, retira a criptografia do gadget.

Um problema para a Qualcomm

Ao longo de seu complexo estudo, o pesquisador deixa claro também que a falha só existe no Qualcomm Secure Execution Environment (QSEE), um kernel criado pela própria Qualcomm que roda dentro do TrustZone para lidar com a chave de criptografia do FDE. Isso significa que somente os aparelhos equipados com um chipset Snapdragon estão sujeitos à brecha — ou seja, a maioria dos dispositivos atualmente disponíveis no mercado.

Beniamini também avisa que, embora um patch já tenha sido liberado entre janeiro e maio para corrigir o problema, ainda é possível realizar o downgrade para uma versão inferior do sistema para que a vulnerabilidade volte a existir. Ou seja, só estão realmente seguros os gadgets que já nasceram com a brecha devidamente corrigida — que são somente os smartphones lançados recentemente.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Messenger agora dispõe de criptografia ponta a ponta

face_messengerNesta sexta-feira (8), o Facebook começou a liberar o serviço de criptografia ponta-a-ponta para o Messenger. Com isso, os usuários terão as suas conversas protegidas. Vale notar que, em abril deste ano, o WhatsApp, que também pertence a companhia, adotou o mesmo sistema de segurança.

Porém, a forma usada pelo Facebook nos dois mensageiros é diferente. No WhatsApp, todas as mensagens enviadas recebem a camada adicional de proteção.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Oficina da Net

Mozilla explica criptografia de uma forma divertida

codemojiEmbora não fique explícito no dia a dia, quase todas as operações realizadas hoje internet não criptografadas, o que significa que dados interceptados por um terceiro podem não ter valor algum. A codificação está em todas partes, e é especialmente útil em mensageiros e outros serviços que lidam com dados pessoais.

Pensando em encontrar uma forma fácil de ensinar os conceitos básicos por trás da tecnologia, a Mozilla criou um mini game chamado Codemoji que explica, passo-a-passo, os princípios essenciais por trás de sistemas de criptografia. Além de aprender como um mecanismo simples de codificação funciona, você também poderá criar as suas próprias mensagens protegidas utilizando emojis.

Na janela da esquerda, você pode escrever a mensagem desejada. Em seguida, para embaralhar o texto, selecione o seu emoji favorito. O resultado aparecerá à direita, sendo que este será diferente para cada emoji que você escolher.

Obviamente, Codemoji não é um sistema seguro para você proteger suas mensagens mais importantes, mas o site é bastante divertido e didático e serve como um ótimo material educativo para todos aqueles interessados em compreender melhor como funciona a criptografia.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Apple deixa de criptografar núcleo do iOS, mas é bom para o sistema

AppleDesenvolvedores perceberam com surpresa que a versão beta do iOS 10 foi liberada com seu núcleo desprotegido pela criptografia que cobre todo o resto do sistema operacional. Mas, embora o fato tenha levantado a possibilidade de que a Apple tivesse cometido um erro primário, a empresa veio a público explicar que fez tudo de caso pensado.

“O cachê do kernel não contém qualquer informação do usuário, e ao deixá-lo sem criptografia somos capazes de otimizar a performance do sistema operacional sem comprometer a segurança”, contou um porta-voz ao ser questionado pelo TechCrunch.

O kernel gerencia a segurança e define até onde aplicativos podem se aprofundar dentro de iPhones e iPads. Em edições passadas do iOS, a Apple o manteve trancado, deixando os desenvolvedores no escuro.

A abertura, entretanto, não significa que o sistema ficará desprotegido. Na verdade, a intenção da Apple é justamente ser mais eficaz no combate a eventuais falhas do iOS, porque agora que os pesquisadores têm mais liberdade para fuçar no sistema, eles reportarão problemas mais rapidamente – o que culminará em correções também mais rápidas.

O movimento previne a Apple de passar por outro problema como aquela disputa recente com o FBI. Quando a companhia se recusou a invadir um iPhone, os investigadores pagaram para que uma empresa de hackers o fizesse. Com as falhas do sistema sendo tratadas de forma mais transparente, o mercado de hacking em torno do iOS tende a diminuir.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Facebook poderá oferecer opção de criptografar o messenger

Computer SecurityUsado por 900 milhões de pessoas, o aplicativo de mensagens instantâneas Messenger, do Facebook, pode estar prestes a se tornar mais seguro e privado. De acordo com o Guardian, a empresa está planejando trazer a opção de criptografia ponta-a-ponta ao aplicativo nos próximos meses.

Três pessoas cientes dos planos para o Messenger, confirmaram que, em breve, o app ganhará uma opção para criptografar as mensagens dos usuários. As mensagens criptografadas dificultam enormemente que seu conteúdo seja acessado ou lido por hackers ou quaisquer terceiros além do autor e do destinatário.

No entanto, segundo as fontes, o Facebook pretende deixar essa opção desligada por padrão no aplicativo. Isso porque a ativação dela faria com que alguns dos recursos dos aplicativos (como os “bots”) deixassem de funcionar, já que eles dependem da análise do conteúdo das mensagens. O aplicativo Allo, anunciado recentemente pelo Google, toma uma medida semelhante (e cai em problemas semelhantes).

Segurança ou funcionalidade?

Desde a briga da Apple com o FBI, a criptografia ponta-a-ponta se tornou um foco para as empresas de tecnologia. Ela permite que as empresas protejam a intimidade e o sigilo das comunicações de seus usuários, algo que os usuários valorizam bastante – ainda que isso faça com que as empresas às vezes tenham problemas com a lei, mesmo no Brasil.

Por outro lado, alguns dos recursos apreciados por usuários simplesmente não funcionam caso a criptografia ponta-a-ponta esteja ativada. O Google Assistant, do Allo, e os “bots” do Messenger, por exemplo, precisam conseguir entender o que o usuário escreveu para poder “conversar com ele. Isso exige que as mensagens passem pelos servidores da empresa para ser analisadas, algo incompativel com esse tipo de criptografia.

Interrogado pelo Guardian sobre o assunto, o Facebook não confirmou ou negou os rumores. A resposta da empresa foi a de que “não comenta sobre rumores ou especulação”. No entanto, é possível que em breve os usuários do aplicativo precisem escolher entre privacidade ou funcionalidades.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital