Correção da Intel para Meldown/Spectre é um…

Linus Torvalds é conhecido por ser um sujeito bastante sincero em suas colocações e, sobretudo, por ter sido o criador e um dos grandes desenvolvedores dos sistemas Linux. No último final de semana, outra vez ele voltou aos holofotes ao enviar uma mensagem em uma lista pública de emails a David Woodhouse, engenheiro da Amazon no Reino Unido.

O tema da conversa eram as correções aplicadas pela Intel para resolver os problemas conhecidos como Meltdown e Spectre, que atingem todos os processadores criados pela companhia ao longo dos últimos 10 anos. Para Linus, a fabricante está enfiando no pacote uma série de coisas desnecessárias e que, pior, não resolvem o problema de fato.

“Tudo isso é puro lixo”, escreveu Linus. “A Intel está realmente planejando fazer essa merda arquitetural? Alguém já disse a eles que eles estão loucos pra c******? Por favor, qualquer engenheiro da Intel que esteja aqui, converse com seus chefes. Se a alternativa for fazer um recall de um produto de duas décadas e dar a todos uma nova CPU gratuita, não seria maluquice”, prosseguiu o criador do Linux.

Um total e completo lixo

Torvalds critica a Intel por aparentemente incluir na lista de melhorias algumas questões que já haviam sido resolvidas e deixar de lado situações mais sérias. Com isso, ela passaria a impressão de que vários problemas estão sendo corrigidos, mas, na prática, não traria uma solução de fato para o contexto mais grave.

“Alguém não está dizendo a verdade aqui. Alguém está empurrando um completo lixo por razões incertas. Desculpe ter que apontar isso”, continua o criador do Linux. “Os pacotes são UM TOTAL E COMPLETO LIXO” afirma em caixa alta.

Linus Torvalds chama ainda de “idiotas” os responsáveis pelo design problemático das CPUs que favoreceram as falhas de segurança.

“Eles [a Intel] estão fazendo coisas literalmente insanas. Estão fazendo coisas que não fazem sentido. Isso faz os seus argumentos [de David Woodhouse] questionáveis e suspeitos. Os pacotes fazem coisas fora da sanidade”, esbraveja Torvalds. “Que p**** está acontecendo? Estão ignorando um problema muito pior, nomeadamente que toda a interface de hardware foi mal desenhada por idiotas.”

Posição da Intel

As mensagens foram trocadas na lista pública no último domingo (21) e a Intel já foi inteirada das críticas de Torvalds. “Nós tomamos a sério o feedback de nossos parceiros na indústria”, afirma a companhia em comunicado. “Estamos envolvidos de maneira ativa com a comunidade Linux, a qual inclui o Linus, visto que procuramos trabalhar juntos em soluções.”

Dado o tom da crítica de Linus e da amenidade da resposta da Intel, é possível sugerir que o criador do Linux sabe bem do que está falando e não está equivocado em se posicionar de maneira tão direta e assertiva contra as medidas tomadas pela fabricante neste caso. Sem dúvida, a empresa tem um longo caminho pela frente até que todos os problemas envolvendo Meltdown e Spectre sejam resolvidos.

Fonte: Tecmundo

Nem Apple ficou à salvo das falhas dos processadores Intel

Praticamente nenhum dispositivo do mercado está protegido das falhas de processadores Meltdown e Spectre, reveladas ao público nos últimos dias. Mas e quanto às plataformas da Apple? Bem, infelizmente elas não são uma exceção – mesmo que você não esteja em perigo imediato.

Em uma declaração oficial em seu post, a Maçã foi clara: “Todos os sistemas Mac e dispositivos iOS são afetados, mas não há exploits conhecidos impactando consumidores neste momento”, explicou ela. Mesmo assim, a empresa frisa a importância de evitar o download de fontes não-confiáveis.

Além disso, ela deixa claro que vários dos problemas em potencial relacionados ao Meltdown já teriam sido resolvidos com patches para iOS (11.2), macOS (10.13.2) e tvOS (11.2). Quanto ao Apple Watch? Segundo ela, não há com que se preocupar, já que o Meltdown não afeta o dispositivo. As brechas do Spectre, por sua vez, devem ser corrigidas com uma atualização para o Safari a ser lançada dentro dos próximos dias.

Em meio a tudo isso, ao menos a boa notícia é que as empresas preveem que a grande maioria das plataformas afetadas seja protegida da brecha dentro dos próximos dias.

Fonte: Tecmundo

As falhas de segurança do sistema Tizen

Há vários anos a maior desenvolvedora de smartphones, a Samsung, promove o sistema operacional Tizen. O experimento começou em 2013, quando o mercado viu a chegada de duas câmeras que funcionavam com ele. Depois vieram os smartwatches.
Em 2015, o Tizen foi lançado para smartphones, começando com o relativamente barato, Samsung Z1. Já no ano seguinte, a gigante coreana mudou todos as smart TVs para esse sistema. Finalmente, em 2017, durante a Consumer Electronics Show, máquina de lavar, um refrigerador e um aspirador de pó Tizen foram apresentados.

Atualmente, dez milhões de dispositivos, a grande maioria Smart TVs, usam o Tizen. Parece que a Samsung continuará a implementar e utilizar o mesmo sistema em outros bens de consumo eletrônicos, então a tendência é de um crescimento substancial.

O Tizen é seguro?

Eis a resposta: não, nem um pouco. No Security Analyst Summit 2017, o especialista em segurança Amihai Neiderman reportou 40 vulnerabilidades de 0-day – sim, aquelas desconhecidas, usadas para hackear dispositivos e tomar controle sobre eles. Especialmente terrível é que a lista inclui brechas de segurança na Tizen Store e Browser. A primeira detêm os privilégios mais elevados no sistema, de modo que as vulnerabilidades podem se posicionar como porta de entrada para malware nos dispositivos com esse SO.

“Encontrei 40 bugs distintos, que em sua maioria pareciam exploráveis. Em termos de vulnerabilidades, era como se fosse 2005 de novo, uma abundância de erros incompatível com tecnologias do presente” disse Neiderman. “No momento, o Tizen não está maduro suficiente, nem pronto para ser liberado ao público. Afirmo isso porque encontrei essas vulnerabilidades em poucas horas de pesquisa, alguém dedicado a investigá-lo encontrará muitas outras”.

Fonte: Kaspersky blog

Apps para guardar senhas com falhas de segurança: correção veio à tempo

SegurançaRecomendados por especialistas em segurança na internet, os gerenciadores de senhas são formas seguras de guardar seus dados de acesso a sites de redes sociais, páginas web e até mesmo internet banking. Era o que se pensava até que eles foram pegos com brechas de segurança que poderiam facilitar o vazamento das suas credenciais.

Um estudo publicado nesta semana por pesquisadores do Instituto Fraunhofer de Tecnologia de Segurança da Informação mostra que 9 apps Android populares que gerenciam senhas são vulneráveis a uma ou mais brechas de segurança.

Foram analisados os seguintes aplicativos: LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Informaticore’s Password Manager, F-Secure KEY, Keepsafe, e Avast Passwords.

Cada um deles tem entre 100 mil e 50 milhões de instalações em smartphones.

Fonte: Exame

Encontrar falhas no Android pode render boas recompensas ($$)

android_liderO Android Security Rewards Program (Programa de Recompensas de Segurança do Android, em tradução livre) sempre premiou pesquisadores, programadores e outros profissionais que encontrassem e reportassem detalhadamente falhas de segurança na última versão do Android.

No último ano, a dona do SO do robozinho gastou mais de US$ 550 mil (aproximadamente R$ 1,88 milhão) com 82 participantes. Pelo menos 15 especialistas receberam prêmios acima de US$ 10 mil (R$ 34 mil), mas a média foi um pouco mais modesta: US$ 2,2 mil (R$ 7.534) por pagamento, ou US$ 6,7 mil (R$ 22.946) por colaborador.

Pensando em tornar o seu programa cada vez mais atrativo, a Google decidiu recentemente aumentar o valor de algumas das recompensas. Quem encontrar vulnerabilidades que possam afetar remotamente a TrustZone ou o Verefied Boot embolsará US$ 50 mil (R$ 171 mil) – antes eram US$ 30 mil (R$ 102 mil).

Bugs que valem ouro

Bugs no kernel também aumentaram de valor, de US$ 20 mil (R$ 68 mil) para US$ 30 mil. A criadora do Android quer que os técnicos entreguem relatórios bem escritos e com provas de conceito que facilitem o trabalhado dos desenvolvedores que vão corrigir esses exploits. Quem cumprir esse requisito poderá embolsar mais 33% em seu prêmio.

Levando em consideração o grande número de problemas críticos que são descobertos e corrigidos com a ajuda do Android Security Rewards Program, a Google definitivamente sai no lucro ao incentivar a participação de cada vez mais pessoas. Afinal, exploits graves poderiam fazer a empresa perder milhões e ter que lidar com outros problemas legais.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Descobertas falhas graves de segurança em smartphones da LG

lgO Android é o sistema operacional mais utilizado nos dispositivos móveis e o eleito pelas marcas para integrarem os seus equipamentos.

Com uma capacidade grande de adaptação, tornou-se o ideal para as marcas usarem. O problema é que muitas vezes essa customização traz problemas, como foi agora descoberto na versão de Android que muitos smartphones LG estão utilizando.

Mesmo com todas as medidas de segurança que o Google implementa no Android, as alterações que os fabricantes lhe aplicam acabam criando novos pontos de falha, colocando em risco seus usuários.

É esta a realidade que dois pesquisadores da divisão móvel da Check Point descobriram nos equipamentos da LG e nas mudanças que a marca realizou no Android. A apresentação deste problema foi feita na conferência de segurança LayerOne, e tinha sido antes comunicada à LG, que trabalhou com os pesquisadores na busca de uma solução.

A falha é de tal forma grave que estes pesquisadores calculam que possa afetar um em cada cinco smartphones em utilização nos Estados Unidos.

Detalhando as falhas

Em termos práticos, estas duas falhas (CVE-2016-3117 e CVE-2016-2035) conseguem dar o controle dos dispositivos aos atacantes, que depois os podem usar para as atividades que bem entenderem.

No primeiro caso a falha está no serviço LGATCMDService e deixa que, sem controle, qualquer aplicativo que se ligue a ele. Daí para a frente é possível ler e alterar dados como o IMEI ou o MacAddress, bloquear ligações USB, reiniciar o telefone a qualquer momento, apagar dados ou, de forma simples, bloquear o telefone de forma permanente.

A segunda falha está relacionada com a capacidade de fazer SQL injection no protocolo WAP. Os atacantes podem alterar os links enviados por SMS e assim enviar para os smartphones links com publicidade ou que possam representar perigo para estes.

A LG foi informada destas falhas e deverá, muito em breve, lançar atualizações para os seus dispositivos de forma a corrigí-las. Nem sempre a culpa das falhas de segurança do Android é do Google, mas sim dos fabricantes que alteram este sistema operacional, como esse caso muito bem evidencia.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Ubuntu apresenta falhas de segurança

UbuntuOs 15 problemas encontrados foram corrigidos. Nenhum deles era de extrema gravidade, o mais sério deles, o CVE-2015-8767, que permite que o computador seja comandado remotamente.

Falhas de segurança foram identificadas no kernel (núcleo) do Ubuntu, que é desenvolvido pela Canonical. No total, 15 problemas estavam afetando as edições 12.04, 14.04 e 15.10 do sistema operacional.

A boa notícia é que eles podem ser corrigidos com uma atualização do componente. As falhas foram descritas em avisos de segurança do Ubuntu, que apresentam os riscos de continuar usando o sistema operacional sem a devida atualização. Os problemas foram descobertos por desenvolvedores e hackers de Linux.

A Canonical toma providências

Os 15 problemas encontrados foram corrigidos. Nenhum deles era de extrema gravidade, o mais sério deles, o CVE-2015-8767, que permite que o computador seja comandado remotamente, dando chances ao invasor de travar toda a máquina. As outras brechas não são consideradas portas de entrada para invasores, apenas permitem que informações possam ser surrupiadas por hackers. A Canonical esclarece que para corrigir o problema é necessário realizar a atualização do sistema.

O processo é bastante simples, basta que seja usado um comando dentro do Terminal para dar ordem de pedido do update: sudo apt-get update && sudo apt-get dist-upgrade O comando acima irá fazer com que se inicie o processo de atualização do Ubuntu. Assim, o sistema operacional irá buscar por pacotes atualizados em repositórios de confiança para vários aplicativos e recursos, bem como ampliar as modificações oficiais do kernel que são feitas pela Canonical.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Oficina da Net