Faltam provas nas alegadas acusações contra a Kaspersky

Uma reportagem com fontes anônimas do jornal norte-americano “Wall Street Jornal” colocou ainda mais lenha na fogueira das acusações do governo dos Estados Unidos contra o antivírus russo Kaspersky. Segundo a reportagem, o antivírus teria sido uma peça-chave na obtenção de informações sigilosas da Agência de Segurança Nacional (NSA) e resultado de uma provável colaboração entre a inteligência do governo russo e a empresa de segurança.

O problema é que a reportagem não explica como isso aconteceu. E há diversas explicações para o fato, mesmo que o antivírus russo tenha realmente tido algum papel no incidente. De acordo com o “Journal”, um colaborador da NSA levou arquivos para um computador externo à agência, e esse computador tinha o antivírus da Kaspersky Lab instalado. Com uma suposta “ajuda” do antivírus, espiões russo tiveram acesso aos arquivos.

O primeiro detalhe que chama atenção é o ano em que o caso ocorreu: 2015. O ano de 2015 guarda dois fatos marcantes para a Kaspersky Lab.

Em fevereiro daquele ano, a empresa revelou a existência do “Equation Group” – um grupo de hackers altamente sofisticado que realiza ataques de espionagem e tinha até um “supervírus” capaz de contaminar os chips de discos rígidos. Hoje, o Equation Group é abertamente ligado à NSA por muitos especialistas.

Alguns meses depois, em junho, a Kaspersky Lab veio a público com a informação de que a empresa sofreu uma invasão altamente sofisticada de um grupo ligado ao governo de algum país. Sem citar nomes, a empresa disse ainda que poderia haver um elo entre quem atacou a empresa e os criadores do vírus “Duqu”. O vírus Duqu, por sua vez, teria vínculo com o Stuxnet, que seria uma obra da Agência Central de Inteligência (CIA), dos Estados Unidos.

Esses fatos indicam que autoridades americanas já estariam descontentes com a Kaspersky Lab em 2015.

Além disso, há explicações plausíveis e benignas para o incidente. Antivírus podem, às vezes, enviar informações sobre arquivos presentes no computador dos usuários para um servidor central. Essas informações ajudam a empresa a criar vacinas preventivas e impedir que o ataque se dissemine a outros clientes.

Como a Kaspersky Lab já tinha conhecimento das ferramentas da NSA desde o início do ano, muitos programas da agência seriam naturalmente detectados pelo antivírus. E isso poderia fazer com que o antivírus transmitisse esses dados para os servidores da Kaspersky Lab no momento em que eles fossem detectados no sistema do colaborador. Trata-se de uma operação normal de vários programas antivírus, incluindo o Windows Defender, que faz parte do Windows 10.

Outro detalhe é que, se a Kaspersky Lab já tinha conhecimento sobre as ferramentas da NSA, ela não teria que roubá-las novamente do colaborador.

Finalmente, é possível que espiões russos tenham se aproveitado de falhas no antivírus para realizar a invasão no sistema do colaborador. Mas isso, mesmo sendo verdade, não prova por si só que a Kaspersky Lab teve intenção de colaborar com as autoridades russas. Todos os programas de computador possuem vulnerabilidades, e isso inclui os antivírus.

Até o momento, o caso contra a Kaspersky Lab se resume a alguns e-mails trocados entre executivos da empresa – que não demonstram nada fora da relação entre uma empresa e seus clientes – e fontes anônimas que não trouxeram e nem sequer citaram qualquer prova. Acusações carentes de prova são sempre um problema, mas acusações dos Estados Unidos contra a Kaspersky Lab – a primeira companhia a expor os detalhes do aparato de espionagem norte-americano – são ainda mais suspeitas.

Apesar da falta de evidências, porém, a Kaspersky Lab já está sofrendo censura nos Estados Unidos. O uso do antivírus está proibido nos sistemas da esfera federal e é provável que governos estaduais e municipais sigam a orientação. Empresas, por cautela, podem acabar fazendo o mesmo – e, se isso ocorrer, já há quem aponte para a possibilidade de a companhia russa deixar os Estados Unidos.

Agradecemos ao Augusto e ao Igor, colaboradores amigos do seu micro seguro, por fazerem referência a essa polêmica envolvendo a Kaspersky.

Fonte: G1

Porque a troca periódica de senhas pode não ser uma ideia tão boa

SenhasMisture letras, números e caracteres especiais. Nada de usar sequências como “123456” e “abcdef”. Não menos importante: troque a sua senha regularmente. Você certamente conhece essas recomendações. Mas a última está sendo questionada: para a Comissão Federal de Comércio (FTC, na sigla em inglês), que regula práticas comerciais nos Estados Unidos, a troca periódica de senhas pode, na verdade, enfraquecer a segurança.

O tweet foi visto por Lorrie Cranor, professora de ciência da computação da Universidade Carnegie Mellon que assumiu o departamento de tecnologia da FTC no início do ano. Ela estranhou a mensagem porque não concorda com a prática sugerida: Cranor vê a recomendação de trocar de senhas periodicamente mais como uma superstição do que um reforço na segurança.

É uma postura polêmica. Especialistas em segurança digital recomendam a troca periódica de senha por diversas razões. A principal delas é coibir o acesso não autorizado a serviços: um invasor pode descobrir a senha da sua conta na empresa que você trabalha e acessá-la discretamente para obter dados confidenciais, por exemplo. Trocando a combinação, esse acesso não autorizado é interrompido.

Na prática

Duvidando do real benefício dessa prática, Cranor conversou com outros especialistas em tecnologia e segurança da FTC para tratar da questão. Ela saiu dessas conversas com a missão de dar mais detalhes sobre o assunto. Os resultados da pesquisa ficaram dentro do esperado pela professora, mesmo assim, são um tanto chocantes.

Cranor e equipe usaram como base um estudo de 2010 realizado pela Universidade da Carolina do Norte que analisou hashes criptográficas de contas expiradas de 10 mil alunos e funcionários da instituição. Todas passaram por processos periódicos de troca obrigatória de senha a cada três meses, que é o padrão estabelecido na maioria das empresas.

Os pesquisadores perceberam com a análise que, de modo geral, os usuários tendem a mudar a senha fazendo uma reciclagem da combinação anterior. Assim, a senha tArheels#1 acaba sendo mudada para taRheels#1, depois para tarheels#11 e por aí vai.

Perceba que, em todas as mudanças, apenas um detalhe ou outro da combinação foi alterado. Isso acontece por duas razões: a primeira é que é bem mais fácil memorizar uma senha levemente alterada do que uma completamente nova; a segunda é que as pessoas se irritam de ter que mudar de senha periodicamente (Lorrie Cranor mesmo odeia a obrigatoriedade de troca a cada 60 dias imposta pela FTC) e, portanto, facilitam ao máximo esse processo.

De todo modo, a senha foi alterada, o que deve impedir a ação de quem a usava às escondidas, certo? Aí que está o problema: o padrão de alteração é tão previsível que os pesquisadores conseguiram desenvolver um algoritmo capaz de “adivinhar” a mudança efetuada.

No final das contas, Cranor concluiu que a mudança periódica de senhas é uma barreira muito pequena para invasores em potencial. Mesmo que haja regras que dificultem a reciclagem de uma combinação, a alteração pode ser tão estressante que o usuário irá anotá-la em um papel ou usar como base uma palavra de fácil memorização, o que também pode comprometer a segurança.

Apesar disso, a FTC não está recomendando abertamente que a troca periódica de senha seja abandonada. Ainda não. Mais estudos são necessários. No momento, a divulgação do levantamento de Lorrie Cranor chama atenção para a necessidade de discussões sobre o assunto e a priorização de outras práticas de segurança.

Nesse sentido, recomendações como misturar letras maiúsculas e minúsculas com números e caracteres especiais continuam valendo com força, assim como não aplicar combinações óbvias. Para quem tem dificuldades com isso, fica a dica: usar gerenciadores de senhas pode ser uma excelente opção.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecnoblog

A polêmica sobre a adoção da criptografia

criptografiaOs eventos terroristas que acontecerem no mundo recentemente levantaram novamente um debate a respeito da criptografia. Por um lado, há o governo solicitando que os dispositivos sejam menos protegidos por serviços codificados. Já do outro lado da moeda, as empresas de tecnologia defendem que seria muito perigoso se as pessoas utilizassem serviços sem qualquer tipo de criptografia para proteger suas informações.

A ironia da questão é que ambos os lados afirmam reivindicar a questão da segurança, tanto nacional como pessoal. Do ponto de vista do governo, há um senso comum. Ele precisa saber se alguém está planejando um ataque, ou, caso já tenha acontecido, ter acesso facilitado para provas e indícios que podem levar suspeitos aos tribunais. Para os governantes, a forte criptografia que as empresas estão implementando, a maioria desencadeada pelas denúncias de espionagem de Edward Snowden, tem prejudicado seus objetivos. Eles afirmam que a criptografia tem custado vidas.

A opinião das empresas de tecnologia é oposta ao dos governantes. Elas afirmam que, ao enfraquecer a criptografia, além do acesso fácil dado ao governo, diversos cibercriminosos iriam se aproveitar de várias brechas de segurança. É sabido que, se o governo tem uma chave especial para ter acesso a redes e dispositivos criptografados, será apenas uma questão de tempo para que criminosos também consigam o acesso. Este é o principal argumento utilizado pelo Conselho da Indústria de Tecnologia da Informação, que reúne diversas companhias como Twitter, Facebook, Google, Microsoft, Apple e Samsung.

“A criptografia é uma ferramenta de segurança que dependemos todos os dias para impedir os criminosos de acessar nossas contas bancárias, proteger nossos carros e aviões de serem tomados por hacks maliciosos e preservar nossa segurança. Enfraquecer a criptografia ou criar backdoors em dispositivos criptografados deixaria os usuários vulneráveis a bandidos, o que causaria sérios danos”, segundo informa um trecho da declaração do conselho das empresas.

Dito isto, alguns poderiam afirmar que a posição das entidades de tecnologia defendem seus serviços que, em muitos casos, precisam da privacidade para conseguir clientes. De qualquer forma, uma solução para essa questão não parece ser algo fácil de encontrar.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Polêmica à vista: alerta na rede sobre um backdoor no Windows 8

backdoorDepois de a China ter banido o Windows 8 dos computadores de órgãos governamentais – como anunciado no início do ano depois que a Microsoft acabou com o suporte ao Windows XP – vem da Alemanha uma nova polêmica com o sistema operacional mais conhecido no planeta. Um relatório patrocinado pelo governo indicaria risco de backdoor no programa.

A conclusão estaria em um relatório com alerta para que agências públicas e mesmo empresas não usem o Windows 8. A alegação é de que seria possível explorar a vulnerabilidade para controlar computadores de forma remota. A notícia correu a partir de um site alemão, Zeit Online, que sugeriu que o governo da Alemanha via problemas no sistema operacional.

A preocupação do departamento de segurança da informação do governo da Alemanha seria com chips chamados de Trusted Platform Module, ou TPM, que armazenam chaves criptográficas utilizadas para verificação da integridade do sistema operacional e arquivos de aplicações – tendo como objetivo a prevenção a malwares ou rootkits.

Esses chips nasceram há cerca de uma década com uma coalizão de empresas de tecnologia – AMD, Cisco, HP, IBM, Intel, além da própria Microsoft – e exigem sistemas operacionais compatíveis para funcionar. Na prática, trata-se do armazenamento de chaves criptográficas no hardware até que os softwares precisem deles.

Daí que o departamento de segurança da informação tenha “explicado” que a preocupação é com o uso combinado do Windows 8 e o chip TPM pois poderia causar “perda do controle sobre o sistema operacional e o hardware utilizado”. Nesse sentido, computadores envolvidos com infraestruturas críticas – como água, eletricidade e gás – “podem enfrentar novos riscos”.

Agradeço ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital