Rússia assegura ter como “quebrar” criptografia do WhatsApp

criptografiaLembra que o WhatsApp diz e jura de pés juntos que nem a empresa, nem governos, nem ninguém mais pode ler as mensagens que são trocadas por meio do serviço? A Rússia deve se tornar uma exceção, tornando uma política de estado a coleta de chaves de criptografia que permitiriam interceptar mensagens para que elas possam ser lidas sem problemas.

O FSB, órgão que sucedeu a KGB com o declínio da União Soviética, anunciou que agora tem os meios para realizar a coleta destas chaves, que permitirão a leitura de conteúdo que seria incompreensível por causa da criptografia.

A Rússia, sob o comando de Vladimir Putin, tem adotado uma posição bastante radical em termos de privacidade e segurança de dados, com uma lei aprovada há um mês que requer uma “porta-dos-fundos” em criptografia entre outras regras que facilitam o trabalho de espionagem.

O alvo da lei era, especialmente, os aplicativos como o WhatsApp e o Telegram, que adotam uma criptografia de ponta-a-ponta que, em teoria, não poderia ser quebrada com facilidade. A lei pede uma punição de cerca de R$ 50 mil por não colaboração, mas não é muito claro com que frequência esta multa pode ser aplicada. Putin, no entanto, decidiu não ficar refém da cooperação das empresas e colocou a FSB para trabalhar também para “produzir as chaves de criptografia”.

Para piorar a situação, o governo é propositalmente pouco claro sobre a situação, e não diz como. As empresas também não se manifestam sobre o assunto, o que complica ainda mais a situação.

Anton Nesterov, um especialista russo, explicou ao Daily Dot algumas das ramificações da legislação, que obviamente não afeta apenas terroristas planejando atentados por meio dos aplicativos. Como não há explicação da lei, até mesmo empresas como Visa e Mastercard poderiam ser forçadas a compartilhar as chaves que protegem transações por cartões de crédito, entre outras implicações negativas.

Fonte: Olhar Digital

Hackers já conseguem quebrar autenticação em dois fatores

phishingPara o designer Grant Blakeman, pedidos não solicitados de reset de senha no Instagram eram algo comum. Ele era dono de uma conta altamente visada no serviço, que possui apenas as iniciais “gb” como login. A simplicidade fez com que ele se acostumasse a receber mensagens do tipo quase que diariamente. Como seu perfil na rede estava ligado ao Gmail e sua conta no Google, ele acreditava que a autenticação em duas etapas o manteria seguro de invasões. Nesta semana, ele descobriu estar errado.

Por meio de engenharia social e brechas de segurança encontradas em sistemas de terceiros, hackers conseguiram quebrar aquela que, até então, era considerada a única maneira totalmente segura de garantir que ninguém, jamais, acessaria sua conta. Agora, isso não é necessariamente verdade, e a culpada aqui é a operadora de telefonia de Blakeman.

No Ello, Blakeman detalhou a maneira pela qual ele acredita ter sido hackeado, apesar de ainda não possuir todos os detalhes – nem acreditar que, um dia, os terá. Seja como for, aparentemente, os criminosos conseguiram ativar um redirecionamento de chamadas em seu celular, enviando mensagens e ligações para outro aparelho que estava de posse deles. Assim, puderam receber o código de acesso à conta do Google e, dessa maneira, tomar controle do Instagram do designer.

A página continua no ar e, até o momento em que este texto foi escrito, nenhuma imagem foi retirada do ar. A conta “gb” permanece como está, mas não é mais de Blakeman, que está aguardando algum posicionamento do Facebook (dono do Instagram) sobre a questão. Sua operadora de telefonia não é citada no texto. Apenas o acesso à conta do Google foi restabelecido, já que seu e-mail e outros serviços ligados a ela não eram de interesse para os hackers.

O que impressiona nessa história toda foi o gigantesco trabalho dos criminosos para obter acesso a uma conta simplesmente devido ao valor de seu username. GB é uma sigla fácil, simples e que em inglês é a abreviação de Grã Bretanha. Ao mesmo tempo, o Instagram não é exatamente um serviço que permite que seus usuários ganhem dinheiro. No momento, o que se acredita é que os criminosos desejam vender o perfil para terceiros – talvez empresas que estejam interessadas em um link fácil e simples. No entanto, a publicação do caso na imprensa acaba invalidando esse fim.

O ocorrido lembra bastante também outra situação relatada em 2012, quando o jornalista da revista americana Wired, Mat Honan, perdeu sua conta no Twitter, que era simplesmente @mat. O método usado é parecido (engenharia social), mas neste caso a responsável foi a Apple, que deu informações confidenciais por telefone para os hackers, permitindo que eles ganhassem acesso ao Gmail do repórter. Parecia válida para os criminosos, mas que perdeu o sentido depois que inúmeras reportagens foram publicadas.

Nem tudo está perdido

Como aponta o site Make Use Of, o caso não significa que a autenticação em duas etapas é uma furada. Pelo contrário, ela ainda é um dos sistemas de proteção mais seguros em vigor. Por outro lado, a questão mostra que ela não é à prova de falhas e que especialistas dedicados podem sim conseguir acesso à sua conta mesmo com tal barreira colocada diante deles.

Tudo depende do quão visado se é. Se você, ao contrário de Blakeman ou Mat, não possui perfis de alto valor em redes sociais, nem é uma celebridade, dificilmente será hackeado desta maneira. Sendo gente como a gente, você provavelmente teria sua conta invadida por ex-namorados paranoicos ou “amigos” stalkers, e a não ser que um deles seja um hacker altamente treinado, você provavelmente está seguro.

Quem quer aumentar a própria segurança também tem opções. Uma delas é o Authy, um sistema que simplifica a autenticação em dois fatores concentrando tudo isso em um número de celular, realizando uma verificação adicional e evitando invasões. Além disso, vale a pena dar uma olhada também no 1Password, um agregador que gera senhas aleatórias para todos os seus serviços, ao mesmo tempo em que as mantém seguras em seu smartphone ou tablet, sem que ninguém mais as possa acessar.

O site indica também que se evite a utilização de contas de e-mail dedicadas apenas ao acesso a serviços. Caso elas sejam comprometidas, os hackers terão acesso a todas as suas contas em redes sociais. Crie um e-mail separado, com um login que ninguém poderia adivinhar, apenas para verificação e não o utilize para mais nada, mantendo-o em segredo. Assim, será mais difícil acessar os pedidos de troca de senha.

E, acima de tudo, use o bom senso. Modifique suas senhas periodicamente e desconfie de alterações ou tentativas de acesso não-autorizadas. Caso perceba qualquer irregularidade, altere o código imediatamente e ative todas as medidas de segurança que puder. Sempre é melhor prevenir do que remediar.

Agradecemos ao Davi, amigo colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

WPA2 é quebrado e coloca em risco redes Wireless

wpa2_brokenProtocolo de segurança wireless WPA2 é considerado o mais seguro atualmente

Um conjunto de 3 investigadores da Grécia e Reino Unido anunciaram recentemente que o Protocolo de segurança WPA2 – Wi-Fi Protected Access 2 é vulnerável. Segundo os investigadores, este protocolo que é considerado o mais seguro atualmente para redes domésticas, tem várias falhem que comprometem qualquer rede wireless configurada com este protocolo de segurança…e mais, a violação da rede pode ser feita de uma forma muito simples. Tal como o seu antecessor, o WPA, o WPA2 oferece mecanismos de autenticação e criptografia, garantindo a confidencialidade, autenticidade e integridade dos dados numa rede wireless.

Considerando a gravidade deste problema, os investigadores aconselham que a comunidade de investigadores comece desde já a pensar num sucessor do WPA2 (a que se referir que além do WPA Personal, que usa uma chave pré-partilhada (PSK), ainda existe a versão Enterprise que pode fazer uso de serviços externos de autenticação (ex. Radius ou Tacacs), mas que não é suportado pela maioria dos roteadores wireless domésticos.

Mas como é possível atacar uma rede configurada com WPA2+PSK?
De acordo com o que foi apresentado, os investigadores dizem que um “simples” ataque de força bruta, para descobrir a chave do WPA2 pode levar ao sucesso do ataque. No entanto, é importante referir que a complexidade do ataque aumenta com a dimensão da chave (PSK) escolhida.

No entanto, a grande vulnerabilidade do WPA2 está na fase de autenticação isto porque o uso do protocolo de segurança WPA2 obriga a que haja re-autenticações periódicas, para que a chave partilhada seja alterada. No entanto, os investigadores dizem que durante esse processo, os equipamentos acabam por ficar com portas abertas (temporariamente).

Como se proteger?
Tal como referido, uma chave de maior dimensão dificulta o ataque. Nesse sentido, os leitores com rede wireless devem mudar para o protocolo de segurança WPA2 que é o mais forte atualmente (apesar de agora se saber que é vulnerável), mas usem uma chave complexa e de grande dimensão. De referir que, o WPA2 suporta criptografia até 256 bits o que permite criar chaves até 63 caracteres.

Agradeço ao colaborador Domingos pela referência a essa notícia.

Fonte: pplware

Software que faz quebra de captchas sem interferência humana

captchaSequências de letras tortas, rabiscos e ilustrações utilizadas para provar que é usuário é humano foi codificada por computador

Uma startup de tecnologia disse recentemente que havia criado um software que funciona como um cérebro humano de uma maneira importante: ele consegue quebrar Captchas, as sequências de letras tortas e rabiscadas que websites empregam para que o usuário “prove que é humano”, como o fazem Yahoo! e outros.

A Vicarious, baseada em San Francisco, não desenvolveu o algoritmo para propósitos nefastos e nem para vendê-lo, disse o co-fundador da empresa D. Scott Phoenix.

Pelo contrário, disse Phoenix em uma entrevista por telefone. “Nós queríamos mostrar que podíamos dar o primeiro passo em direção a uma máquina que funciona como um cérebro humano, e que somos o melhor lugar no mundo para fazer pesquisa sobre inteligência artificial.”

A empresa não submeteu um paper descrevendo sua metodologia para uma publicação acadêmica, o que dificulta que especialistas de fora avaliem a alegação. A Vicarious oferece uma demonstração de sua tecnologia em vicarious.com.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: Estadão  e Vicarious