-

Geral

Chip (Cartão SIM) habilitado com Tor garante comunicação anônima

Postado em Atualizado em

chip-cartao-sim-habilitado-com-tor-garante-comunicacao-anonima-1200x600

Se você achou que iria ver a rede Tor sendo usada somente em navegadores ou computadores, se enganou. Um Chip para ser usado em smartphones, garante total anonimato total, eis que surge a Onion3G da Brass Horn.

Embora a tecnologia tenha facilitado a vida em geral, ela tornou as coisas muito menos privadas. Como resultado, você precisa ser mais cuidadoso quando estiver navegando online, pois é muito difícil manter a privacidade hoje em dia. É até possível que seu provedor de ISP ou VPN esteja mantendo um registro de tudo o que você faz online.

Então, como protegemos nossa privacidade online? A Brass Horns Communications, um provedor de serviços de internet sem fins lucrativos sediada no Reino Unido que se concentra em serviços de privacidade e anti-vigilância, tem uma resposta para isso. Atualmente, a empresa está testando um cartão SIM (Chip) que roteará seus dados automaticamente por meio do Tor, garantindo a privacidade online e evitando a vigilância.

Rede Tor

Para quem não sabe, o Tor (originalmente conhecido como The Onion Router) é um software gratuito que permite a comunicação anônima. Tor direciona o tráfego da Internet através de uma rede de computadores gratuita e operada por voluntários em todo o mundo, para ocultar a localização e o uso de usuários de qualquer pessoa que realize vigilância de rede ou análise de tráfego. Enquanto o Tor protege a privacidade do usuário, ele não esconde o fato de que alguém está usando o Tor. O método mais comum pelo qual as pessoas acessam o Tor é pelo Tor Browser Bundle no desktop, ou com o aplicativo Orbot no Android.

O fundador da Brass Horn, Gareth Llewelyn, disse ao site Motherboard que seu empreendimento é “colocar o dedo do meio na filtragem móvel, vigilância em massa”.

De acordo com o site de serviço Onion3G da Brass Horn , diz que “O projeto Onion3G é uma rede fechada entre seu dispositivo 3G/MiFi/modem e as pontes Brass Horn Comms Tor, isso pode fazer a coleta de Registros de Conexão à Internet menos eficazes ”.

Ele também revela que é um provedor de telefonia móvel mais seguro, pois emite apenas “endereços IP privados para pontos de extremidade remotos que, se vazados, não o identificarão nem à Brass Horn Communications seu atual ISP”.

Chip (Cartão SIM) Onion3G

O Chip (Cartão SIM) da Brass Horn Onion3G só tem conectividade 3G. Para usar este cartão SIM dedicado ao Tor, é necessário instalar o aplicativo Orbot no dispositivo. É importante lembrar que somente os aplicativos que possuem um recurso de proxy, como o Twitter, são compatíveis. Além disso, está disponível apenas para usuários do Android.

O cartão Tor-SIM custará £ 2,00 por mês para uma conta pré-paga. Além disso, será cobrado £ 0,025 por Megabyte (MB) utilizado pela rede. As recargas de crédito podem ser realizadas a qualquer momento usando um cartão de crédito como Visa, Mastercard ou criptomoedas como Bitcoin, ZCash ou Monero.

Prestação de serviço

Atualmente, o serviço é oferecido apenas no Reino Unido e é provável que seja disponibilizado ao público em 2019. Os interessados em participar da fase beta podem encontrar mais informações aqui. E não há nenhuma informação de que essa tecnologia estará chegando ao Brasil, que é um dos maiores consumidores de Chip (Cartão SIM) por pessoa, aqui os usuários possuem mais de 1 chip, o que pode ser muito interessante para este mercado que esta apenas começando, mas que precisa de testes.

FONTE: sempreupdate.com.br

Anúncios

Por que os nerds usam Linux?

Postado em Atualizado em

Este tipo de pergunta é algo como “Ei, eu espero que você não se importe, mas… por que você é vegetariano?”. Alguns podem não ter resposta, muitos têm muitas razões diferentes, mas vou listar os motivos que eu acho mais do que suficientes para mim, e com a intuição de que também serão os motivos de uma boa parte dos nerds, técnicos e profissionais de informática.

Uma boa razão para usar Linux é ter o prazer de dizer que não usa Windows quando alguém lhe pedir para ir a sua casa consertar seu computador e você não saber o motivo do problema. Você pode dizer que não sabe de Windows e não pode consertar. Sempre encontramos um Windows irrecuperável, pirateado, cheio de vírus, adware, malware e tudo o mais, com dados importantes que o usuário não quer perder, mas, naturalmente, não fez cópia, e um monte de aplicativos instalados. Depois deste quadro sombrio, só nos resta dizer: “Desculpe, amigo, não conheço o Windows, eu uso Linux”.

Outra razão pela qual nós usamos Linux é o tempo que podemos investir para aprender Informática. Um dia você aprende quatro comandos de terminal, um dia você aprende como acessar o disco, no outro dia como matar um processo, etc. Ao longo dos anos você percebe que você conheceu um monte de coisas, você é capaz de instalar um servidor web e um servidor de email, você sabe quais são as portas e você sabe como bloquear, desbloquear, você aprende o que é um firewall, e você pode começar a dizer que você sabe como o computador funciona por dentro. No Windows, esse tempo é desperdiçado, com um sistema escuro que não nos permite ver o que está acontecendo, que reage de forma inesperada para as nossas tentativas de consertá-lo, e quando você menos espera não podemos fazer mais nada, e só uma formatação completa do sistema resolve. Tentar aprender com o RegEdit ou o Dr. Watson no Windows é uma tarefa impossível, porque amanhã o Vista ou o Windows 7 virá com novas técnicas que irão mudar completamente o sistema, fazendo ajustes ainda mais ocultos e escondidos. Então você tenta aprender tudo de novo e de novo, gira e gira em torno de um sistema que nunca mostra o que está acontecendo.

Outra razão é, naturalmente, a segurança. Não perco tempo em instalar antivírus no Linux, antimalware, antispyware e anti-tudo. Nosso sistema não consome recursos extras para analisar todos os pacotes que viajam através da placa de rede. Nosso sistema permite uma melhor utilização da largura de banda, melhor navegação na Internet e está livre de vírus sem antivírus. Existem 6 milhões de vírus catalogados para Windows, contra mil para Linux. As distribuições já saem vacinadas. E quando é lançado um vírus para Linux, maldosamente, horas depois todas as distribuições já estão vacinadas. Aquilo que para alguns pode ser um recurso interessante, para mim é motivo mais do que suficiente para escolher o Linux, já que eu gasto 80% do tempo a navegar na Internet ou usar aplicativos online, com a garantia de que tudo está funcionando corretamente, sem ferramentas de sistema ANTI-TUDO sugando os recursos da minha máquina para protegê-la demais. Sem dúvida o Linux é o ideal para navegar na Internet, e não devemos esquecer que muitos usuários compram um computador apenas para se conectar à Internet.

Linux é mais compatível. Esta declaração, que a priori parece estranha, é explicada quando você conhece o Linux e conhece os formatos de arquivos padrão, e também aqueles que são livres. Primeiro, por que no Linux o Open Office abre todos os arquivos, como o DOC e DOCX do Windows, mas o Office do Windows não abre ODF, que é um formato aprovado pela norma internacional ISO durante anos? Comece a ver como existem formatos de arquivos livres para quase tudo, desde o desenho vetorial, música, imagens, textos, documentos… e todos os formatos livres são incompatíveis no Windows, especialmente em ferramentas da Microsoft, sendo comumente utilizados em outros sistemas operativos e em uma infinidade de ferramentas.

Portanto, é incompatível o Windows, e não o Linux. O Windows só suporta formatos proprietários e bloqueia formatos livres para se tornarem incompatíveis. É inaceitável que, após 10 anos de existência do OGG, arquivos como uma alternativa livre para o formato MP3 proprietário, você não é capaz de abrí-lo no Windows Vista. A Microsoft não teve tempo para incorporar o codec livre durante todos esses anos? O mesmo acontece com o SVG, o ODF, o PDF e uma grande coleção de arquivos que o Windows ainda se esforça para bloquear. Vemos também que o Linux pode ler e gravar em discos rígidos FAT16, FAT32 e NTFS do Windows, enquanto o Windows só pode ler discos de Windows.

Outro motivo que nos convida a usar o Linux é a grande atividade que existe na rede. Usuários que percebem as grandes vantagens do software livre, que não ficam à mercê das grandes empresas, se tornam muito ativos na rede tentando ajudar outros usuários que começam com software livre, resolvendo dúvidas e problemas, outros usuários estão participando de fóruns, escrevem blogs, etc. Assim, este grande banco de dados de conhecimento que é a rede só cresce para compensar qualquer falta de meios no momento da programação de aplicações. Usar o Linux faz você se sentir parte de uma comunidade ativa, de apoio, envolvidos e informados, faz você se sentir orgulhoso de pertencer a um grupo de abnegados e comprometidos com o desenvolvimento sustentável da Internet e da computação em geral. Ser um usuário Linux faz você se sentir bem.

Com Linux não se tem surpresas. Uma vez funcionando nossa placa de TV, o nosso scanner ou modem, já está funcionando para sempre. Com Linux não se tem surpresas onde um dia pára de funcionar este ou aquele elemento, ou de repente, sem motivo aparente, acontecem “coisas estranhas” ou falhas, ou o que funcionou ontem, não funciona hoje, sem tocar em nada. Essas coisas são do Windows. Linux é robusto e, quando tocamos em um arquivo de configuração, se algo pára de funcionar, você consegue recuperar o arquivo de configuração para deixar como estava. Nada fica quebrado. Tudo isso nos convida a tornarmos empenhados em aprender enquanto outros nos recomendam alterar configurações em blogs e tentar, e quando fazemos isso não paramos de adaptar o Linux para o nosso gosto pessoal. Ou seja, pode ser reconfortante resolver em minutos o inesperado e ter sempre o nosso Linux 100% e sem telas azuis.

Com Linux perdemos menos tempo. No Windows, você perde muito tempo para fazer determinadas tarefas. Como muitas vezes precisamos de ferramentas que podem ser encontradas na rede, instalamos, testamos, se não faz o que precisamos, desinstalamos e continuamos tentando. Quando a ferramenta de que precisamos não faz o que queremos porque é uma demonstração, temos de encontrar um crack e rezar para que funcione. Depois de feito tudo isso, nós cumprimos o nosso objetivo, mas temos depois que remover todo o lixo que instalamos, rezando sempre para que nosso sistema não fique cheio de malwares. No Linux, muitas vezes o que precisamos é feito com um par de comandos que estão em um blog. Um para fazer o download da ferramenta e o outro para fazer o trabalho que nós queremos. Além disso, nada é pirata, tudo é livre. Podemos deixar no computador de forma pacífica para o caso de precisar novamente no futuro.

No Windows também perdemos muito tempo reiniciando. É incrível como muitas vezes você tem que reiniciar o Windows, não só quando você instala qualquer coisa, mas também quando você acha que algo está errado, ou quando um aplicativo pára de responder. Além disso, a instalação de aplicativos é lenta e muitas vezes elas têm mais funcionalidades do que precisamos. No Windows você se acostuma a usar megasuites completas de funções para executar tarefas simples. No Linux, as ferramentas são instaladas em segundos e na maioria das vezes fazem o que precisamos, de maneira fácil, com menus intuitivos, devido um extremo esforço colaborativo de muitas pessoas com excelente eficiência.

O Linux é executado de forma mais suave. Depois de um tempo usando o Linux, quando você perder o medo e quando você parar para fazer uma pausa inconsciente ao mover arquivos ou fazer determinadas tarefas, percebemos que o Linux roda muito mais suave. Não apenas na manipulação de arquivos e aplicações em simultâneo, mas em tudo. Linux sempre responde ao que dizemos, mesmo quando o cursor mostra o estado de espera. Após este tempo, quando voltamos para o Windows percebemos que o sistema operacional é totalmente pesado e chato com o usuário.

O Linux também se comporta melhor quando temos muitas coisas abertas. Tocador de música, um outro sistema operacional virtualizado, downloads em massa, navegador… com uma percentagem incrivelmente baixa de consumo de CPU. Por outro lado, gostaria também que alguém me explicasse por que o Windows XP roda melhor virtualizado no Linux. Definitivamente, o kernel Linux é mais sofisticado e lida com multitarefas muito melhor.

Linux não incomoda. Quando nos tornamos usuários avançados de PC, ficamos extremamente chateados quando a máquina resolve nos dizer o que fazer. Se você escolher “reiniciar mais tarde”, é apenas isso, queremos reiniciar mais tarde. Nós não queremos que uma aplicação esteja constantemente nos lembrando que temos de reiniciar pois sabemos que temos que reiniciar.

Também não gostamos de instalar um mensageiro, que instala 500 funcionalidades, anúncios, guias de comunicação com outras aplicações web e outras coisas que fazem o seu computador parecer ter vida própria só para enviar uma linha de mensagem para um amigo. É irritante quando o SO decide por nós, é ruim não poder desinstalar um Messenger antigo, é chato não poder desinstalar o Explorer, ou ao desabilitar as coisas, posteriormente, serem ativadas automaticamente de novo. Queremos o sistema operacional para responder aos nossos cliques e não para si mesmo. Também é irritante um SO estar constantemente nos perguntando se temos a certeza de que nós queremos fazer alguma coisa.

Aplicativos cada vez mais pesados. No Windows, embora você tenha a vantagem de possuir aplicativos mais sofisticados e que fazem um monte de coisas, muitas vezes esses recursos também são um fardo que, longe de ser uma vantagem, são uma séria desvantagem. Será que para redimensionar uma imagem, escrever um email ou enviar uma mensagem instantânea você precisa instalar um aplicativo de 300Mb? Incluir um navegador e uma conexão com bancos de dados ODBC e 200 componentes, conectores e tocadores multimídia, além de publicidade é irritante e ineficaz. Será que todas as aplicações precisam disso tudo para fazer algo tão simples? No Linux temos aplicativos que fazem apenas o que queremos, sem muito peso e sem muitas frescuras. Isso não significa que o Linux não pode fazer tarefas complexas, uma vez que existem aplicativos para todos os gostos.

No Linux, os dados não ficam obsoletos. Aqueles que usaram Windows durante anos têm visto que diversas ferramentas se tornam obsoletas. Hoje, muitas empresas ainda sofrem com este problema, pois a empresa dona do sistema, de código fechado, decide suspender a aplicação e ainda cobra fortunas para migração de dados. No Linux isso não acontece, não só porque o código-fonte do aplicativo é público, mas também porque no Linux usamos formatos abertos que permitem que os dados facilmente migrem para aplicações mais modernas. No Linux não existem empresas interessadas em fazer com que a sua versão fique desatualizada para ganhar mais dinheiro na atualização.

FONTE: guiadohacker

Urna Eletrônica

Postado em

proxy.duckduckgo.com

Carta aberta de resposta à participação do TSE no Nerdcast 626

Após ouvir o “Nerdcast 626: Como funciona o Brasil: Urna Eletrônica” nós sentimos a necessidade de esclarecer alguns pontos discutidos. Como este não é nosso primeiro email esperamos passar pelo filtro do Azaghal e, consequentemente, atingir uma parte da audiência que ouviu o cast original. Como a comunidade científica não dispõe dos mesmos recursos de marketing que um grande orgão governamental, contamos com o apoio de pessoas que tenham o conhecimento técnico para informar e educar os leigos que são extremamente vulneráveis em um processo eleitoral puramente digital. Acreditamos que audiência do Jovem Nerd é o público ideal por ser composta por pessoas técnicas e críticas.

É importante salientar que o ponto defendido por nós, e por grande parte da comunidade científica, não é o abandono dos avanços da urna eletrônica. O que defendemos é a necessidade de se adicionar uma forma de auditoria não relacionada ao meio digital. O voto impresso não é uma lembrança para ser levado para casa, tampouco algo que fere o sigilo de voto, e sim, uma forma para qualquer cidadão, leigo ou não, auditar e verificar sua participação no nosso processo eleitoral.

Supor que os mecanismos existentes são suficientes para garantir a transparência e a corretude de uma eleição são uma falácia conhecida por qualquer desenvolvedor de software. Durante todas as edições dos Testes Públicos de Segurança foram encontradas falhas na urna, sendo que em 2017 foi demonstrada a mais grave: o comprometimento completo da integridade do software da urna. Nossa demonstração mostrou a possibilidade de se alterar o software de qualquer maneira desejada, sem restrições. Esse tipo de falha tem impacto tão relevante que grandes empresas como Paypal pagam até US$ 100.000,00 por uma prova de conceito – e eles não pedem que você demonstre que é possível transferir saldo entre contas, basta mostrar que você consegue executar um “Hello world” no servidor do Paypal ;-).

Outro ponto importante diz respeito à auditoria de código. Se realmente fosse possível escrever código 100% correto e detectar bugs apenas por auditoria de código, todo investimento realizado em testes de software seria um desperdício (o que não é a realidade que vemos nas empresas). Existem diversos casos de bugs que foram descobertos mais de 10 anos após serem introduzidos em softwares de código aberto (que são auditados por milhares de pessoas, e não por dezenas como a urna).

Por fim, o modelo de urna utilizado no Brasil foi abandonado por quase todos os países que já o utilizaram. A maioria desses países migraram para equipamentos que permitem a auditoria independente de software pelo uso de um registro físico. Argumentar que o Brasil tem uma grande área e complexidade não é suficiente, uma vez que países como a Índia conseguiram adotar este tipo de tecnologia com sucesso. A transparência e auditabilidade de uma eleição são requisitos (e não características desejáveis) para uma democracia forte e justa.

Encorajamos todos os ouvintes a lerem nosso relatório (em inglês / em português) e o relatório oficial do TSE para tirar suas próprias conclusões, lembrando que se trata de um sistema crítico em operação há mais de duas décadas. Terminamos este email com o detalhamento a respeito de cada tópico discutido no Nerdcast 626 e links para o material relevante.

Sobre automação das eleições e urnas desconectadas da Internet

Sem dúvida houve progresso com a introdução da urna eletrônica em se eliminar fraudes de pequena escala na apuração de cédulas eleitorais. O resultado frequentemente ignorado é que esse risco terminou por se concentrar, com escala massivamente ampliada, em um seleto grupo de programadores que trabalha na Justiça Eleitoral. E não precisaria ser assim — daí nossas frequentes críticas e sugestões. Atualmente, um fraudador interno que trabalha no TSE tem acesso privilegiado ao software de votação, infraestrutura de totalização e todos os demais componentes do sistema. Observe que o custo e impacto de fraudes montadas com manipulação de votos individuais é muito diferente de manipular o software de votação diretamente. Felizmente as urnas eletrônicas não foram projetadas para se conectar à Internet, mas continuam conectados os computadores de desenvolvedores do TSE e os sistemas de transmissão do software de votação e de resultados, logo ataques remotos não podem ser totalmente descartados.

Sobre o voto impresso

Como o Nerdcast 626 foi gravado em Maio, a decisão do STF de suspender o voto impresso não foi contemplada, mas é importante abordá-la.

O voto impresso é uma prova conferível pelo eleitor e passível de auditoria pelo cidadão leigo de que o sistema está se comportando de maneira honesta durante a votação. Ele não traz de volta os problemas que existiam com as cédulas de papel. O próprio protótipo divulgado pelo TSE em artigo científico revisado por pares mostra que cada registro físico do voto recebe uma assinatura digital da urna eletrônica para autenticação. Assim, torna-se possível detectar ataques não-especializados que ocorriam de forma impune na época da votação em cédulas, como acrescentar, trocar ou subtrair papéis.

É irônica a decisão de suspender o voto impresso alegando que ele pode ser substituído pelo Registro Digital do Voto (RDV). Ao passo que a afirmação de que o voto impresso prejudicaria o sigilo do voto não passa de uma mera suspeita infundada, o prejuízo ao sigilo causado pelo RDV é um fato amparado por evidências científicas. O RDV é um segundo arquivo gerado pela urna que, em vez de conter os totais, contém uma lista de votos embaralhados. O grande problema do RDV é que o arquivo é produzido pelo software de votação que procura proteger, sendo também afetado caso o software de votação seja adulterado. Caso a adulteração seja realizada no software, qualquer recontagem do RDV irá produzir o mesmo resultado fraudulento. Como não serve para recontagem, o RDV termina existindo apenas para fragilizar o sigilo do voto, como demonstramos nos testes de segurança de 2012.

Sobre voto eletrônico em outros países

A adoção de voto eletrônico sem registro físico dos votos está rapidamente sumindo do planeta. O único país a insistir no equívoco em escala nacional é o Brasil. O último país a corrigir esse equívoco foi a Índia, que começou seu piloto de introdução do voto impresso em 2014, após uma demonstração da equipe do professor Halderman interferir com o funcionamento do software de uma única urna. Note que, após demonstrarmos um ataque análogo no Brasil, porém com poder de amplificação para 50 urnas por cartão manipulado, não sensibilizamos as autoridades brasileiras da forma como o professor Halderman sensibilizou as indianas. Aparentemente, apenas 7 de um total de 50 Estados dos EUA utilizam máquinas sem registro físico do voto adquiridas há mais de uma década, havendo enorme pressão da comunidade técnica local para que esses equipamentos sejam abandonados. Até o ex-presidente Clinton manifestou-se a respeito, dada a urgência da questão. França e Itália chegaram a adotar voto eletrônico no início do século em projetos pilotos já abandonados e eleições municipais, gerando na ocasião uma boa dose de controvérsia. Há várias fontes que facilmente contradizem as alegações dos entrevistados de que outros países utilizam urnas similares às brasileiras. O único país da Europa que utiliza máquinas de votar em escala considerável é a Bélgica, mas todas com registro físico do voto.

Sobre os testes de segurança

A alegação de que especialistas não conseguiram violar a segurança do equipamento nos testes do TSE é completamente falsa. Foram quatro edições até hoje e, em todas elas, surgiu alguma vulnerabilidade afetando importantes propriedades de segurança do equipamento. Falhas cada vez mais graves foram descobertas ao longo do tempo, à medida que os participantes familiarizavam-se com o sistema e aprendiam a contornar as restrições dos testes. Para citar algumas dessas restrições, são apenas três dias para examinar dezenas de milhões de linhas de programação, e é proibido anotar trechos de código em papel ou usar as próprias máquinas (tomando enorme tempo para preparar um ambiente de trabalho). Há recursos que ainda persistem fora de escopo dos testes mesmo após funcionar em produção por 10 anos, como a identificação biométrica. Mesmo com esses obstáculos, os testes têm detectado vulnerabilidades e erros de projeto, sem exigir conhecimento além do trivial para um profissional de segurança.

  • Na edição de 2009, um pesquisador independente mostrou como quebrar o sigilo do voto com a captura de frequências de rádio emitidas pelas diferentes teclas da urna.
  • Na edição de 2012, primeira com acesso ao código-fonte, Diego Aranha coordenou o time que mostrou como quebrar o sigilo do voto de autoridades ou seções eleitorais inteiras utilizando apenas informação pública para recuperar os votos de maneira ordenada. O time também detectou falhas em outros mecanismos de segurança, como compartilhamento massivo e armazenamento inseguro de segredos para proteção do sistema (as chaves criptográficas). Para uma analogia com o mundo real, considere um cadeado que imediatamente perde sua segurança caso a chave seja roubada. No caso da urna, o segredo estava armazenado no próprio código-fonte, de forma análoga a embaixo do tapete.
  • A próxima edição aconteceu apenas anos mais tarde, em 2016, quando investigadores mostraram como adulterar resultados de eleições em pequena escala utilizando o Sistema de Apuração, acionado em caso de contingência para digitação manual de resultado parcial da urna. Este foi o primeiro ataque com sucesso à integridade dos resultados.
  • A maior surpresa estava reservada para 2017, quando duas equipes alcançaram objetivos inéditos. Peritos da Polícia Federal conseguiram recuperar chaves criptográficas ao inicializar o sistema em uma máquina virtual. O nosso time, composto por Diego Aranha (Unicamp), Pedro Barbosa (UFCG), Thiago Cardoso, Caio Lüders (UFPE) e Paulo Matias (UFSCar), explorou uma série de vulnerabilidades para executar software malicioso na urna e adulterar o comportamento do software de votação, que é muito mais grave que um ataque contra a integridade dos resultados. Injetamos pequenos programas de nossa autoria para demonstrar as diversas implicações dessa capacidade de ataque, como violar o sigilo do voto de eleitores específicos, inserir mensagens na tela para fazer boca de urna, e interferir com o armazenamento dos votos. Chegamos a escrever um programa para desviar votos entre candidatos e a demonstrar seu funcionamento em um simulador de urna nos últimos minutos dos testes, porém não foi permitido que testássemos a carga desse programa no hardware real da urna, procedimento que leva cerca de 1 hora. Nossa abordagem foi pensada para um fraudador que captura os cartões de memória que instalam software nas urnas antes das eleições, sabendo que cada cartão instala até 50 máquinas. Uma das vulnerabilidades utilizadas foi o armazenamento inseguro de segredos, detectado lá em 2012 e ainda não totalmente resolvido.

Por fim, vale ressaltar que o Brasil não é o único país a realizar testes de segurança, com experiências menos restritas já observadas na Alemanha (sistema de totalização) e na Voting Village da DEFCON (à qual o TSE inclusive assistiu no ano passado). É bem verdade que os testes da DEFCON são promovidos por iniciativa independente do governo, mas isso só é possível pois lá o cidadão comum possui livre acesso ao equipamento utilizado nas eleições e pode adquiri-lo comercialmente, o que não ocorre no Brasil.

Sobre os testes de confirmação

Em Maio, foram realizados os chamados “testes de confirmação”. Vale lembrar que o edital dos testes não permitia procurar novas falhas durante essa etapa, apenas repetir os procedimentos que haviam obtido sucesso nos testes de Novembro. Nossa equipe nem ao menos chegou a repetir esses procedimentos, limitando-se a ler o código fonte e opinar a respeito das modificações implementadas pelo TSE, por uma série de motivos: apenas 1 dia de testes com a equipe desfalcada por 2 membros; só poderíamos repetir o ataque de decifração dos cartões de memória se houvéssemos levado para o TSE equipamento de bancada de eletrônica, cuja necessidade não prevíamos antes de sermos informados a respeito da decisão do TSE de mover chaves criptográficas do código-fonte para o hardware; o TSE recusou a possibilidade de demonstrarmos em hardware real o ataque de desvio de votos na versão vulnerável do sistema examinada em Novembro, apesar de admitir, em ofício, que era conclusão lógica e natural da capacidade de adulterar o software.

Sobre a possibilidade de auditar o código-fonte

Mesmo com todas as restrições e a impossibilidade de se fazer uma análise de segurança completa do sistema, os testes produzem relatórios dos problemas encontrados, com recomendações de ajuste. Desta forma, a equipe de desenvolvimento do TSE tenta determinar qual o melhor modo de mitigar ou resolver os problemas. Ainda assim, algumas falhas são estruturais e exigem esforço importante de reformulação, que às vezes toma anos. Também não há garantia de que a correção persistirá, já que o desenvolvimento continua até bem perto da eleição, passando pela janela em que os partidos políticos podem inspecionar o código. Nada impede que existam outras vulnerabilidades mais graves ou que correções sejam acidentalmente revertidas. Esta é a natureza de qualquer software, e é por isso que a comunidade técnica não acha boa ideia realizar eleições utilizando apenas programas de computador, situação agravada pela necessidade de auditar dezenas de milhões de linhas de código (“linha a linha”, segundo o TSE). Segundo nosso levantamento em 2017, a base de código do software que vai na urna possui 24 milhões de linhas de código. Mesmo que apenas 5% dessa base seja crítica, por receber, processar e armazenar votos individuais; ou implementar mecanismos de segurança, ainda restam mais de 1 milhão de linhas de código. Perdão, mas nenhuma equipe especializada é capaz de verificar que esse volume inteiro de código funciona corretamente e resiste a tentativas de manipulação. E mesmo que o código-fonte do software seja “blindado” por uma assinatura digital antes da votação, conforme alegado pelo TSE, continua extremamente simples para um fraudador interno introduzir trechos de código na fase de compilação, após a inspeção dos partidos e antes das eleições acontecerem.

O TSE alega que o objetivo dos testes não é um desafio, mas um esforço de colaboração. Gostaríamos então de entender por que as chaves criptográficas foram deliberadamente apagadas da base de código antes dos testes de 2017 começarem, sendo apresentada uma versão incompleta para os investigadores, “para aumentar o desafio”, nas palavras de um dos técnicos responsáveis. Por que houve então a introdução, ainda que apenas na edição de 2016, de um Termo de Sigilo que obrigava investigadores a guardar segredos por toda a vida? Importante também explicar porque os resultados são sempre divulgados de maneira desonesta, muitas vezes em espaços que não oferecem a possibilidade do contraditório, como a própria alegação anterior de que especialistas não conseguem violar barreiras de segurança durante os testes. O papel dos testes já ficou muito claro: convidar especialistas apenas para justificar a versão oficial de que o sistema é seguro e exemplo para o mundo, e qualquer posição discordante é tratada com hostilidade.

Sobre o sistema ser auditável

Além das vulnerabilidades já encontradas, há um problema ainda maior, que termina ofuscado. Conforme demonstrado na tentativa inconclusiva de auditoria após a eleição de 2014, o sistema de votação falha em uma de suas principais finalidades: provar para a sociedade que o resultado está correto. Eventuais auditorias ficam restritas a especialistas que precisam examinar toneladas de arquivos produzidos pelas urnas, sem a garantia de que funcionaram honestamente. O grande problema é que uma fraude minimamente sofisticada em escala razoável, especialmente se montada com colaboração interna, pode terminar indetectável.

Nossa posição

Defendemos que o modelo atual de votação eletrônica adotado no Brasil seja gradualmente transicionado para um sistema que produza registro físico do voto conferível pelo eleitor, seja nos moldes propostos pelo artigo publicado pelo TSE ou por algum dos projetos alternativos que vem sendo discutidos pela comunidade acadêmica. O que não podemos é depositar fé que o sistema atual seja suficientemente seguro, dadas as evidências técnicas em contrário, e adiar indefinidamente uma mudança, como vem acontecendo desde 2009, em uma batalha infindável entre o Legislativo e o Judiciário.

Grupo 1 participante nos Testes Públicos de Segurança 2017

@dfaranha, @pedroysb, @tncardoso, @caioluders, @thotypous

FONTE: UrnaEletrônica

ProtonVPN agora tem servidores no Brasil

Postado em

O ProtonVPN, serviço de VPN criptografado, ganhou nesta sexta-feira (28) seus primeiros servidores na América do Sul: são quatro, todos localizados no Brasil, o que leva a empresa para 26 países. Dos mesmos criadores do ProtonMail, a VPN promete não limitar o consumo de dados e proteger a privacidade dos usuários.

protonvpn-700x251

A VPN está disponível em quatro modalidades. Na gratuita, só é possível se conectar a servidores em três países (Estados Unidos, Japão e Países Baixos). A partir do plano Basic (US$ 4 por mês), a velocidade de download é mais alta, é possível utilizar P2P e todos os países são liberados.

Mesmo no plano gratuito, o ProtonVPN garante que protege os usuários — não há registro ou compartilhamento de logs de acesso, e as conexões são criptografadas com AES-256. Para os assinantes, a empresa diz que possui alguns de seus servidores em um “datacenter suíço alojado em um antigo bunker militar a 1.000 metros abaixo dos Alpes”.

Em comunicado, a dona do ProtonMail afirma que “ao expandir sua rede para o Brasil, o ProtonVPN tornará as conexões seguras e privadas universalmente acessíveis à comunidade sul-americana”. Na prática, se você estiver no Brasil, poderá proteger sua privacidade se conectando em servidores mais próximos, com latência mais baixa; no exterior, será possível acessar conteúdos nacionais com bloqueio de localização.

Os servidores brasileiros do ProtonVPN já estão disponíveis para todos os usuários dos planos Basic (US$ 4 por mês), Plus (US$ 8 por mês) e Visionary (US$ 24 por mês, incluindo o ProtonMail). Há aplicativos para Windows, macOS, Linux, Android e iOS.

FONTE: Tecnoblog ProtonVPN

Backup de mensagens no Google Drive não é criptografado, afirma WhatsApp

Postado em

03100935641019-t1200x480

Na metade do último mês, o WhatsApp anunciou que entrou em acordo com a Google para que os backups de mensagens salvos no Google Drive não consumam espaço da franquia de cada usuário. A novidade é interessante, afinal permite a você salvar suas conversas sem ocupar os preciosos gigabytes oferecidos gratuitamente pela Google.

Contudo, uma outra informação é preciso ser levada em conta se você quer salvar as mensagens desta forma: elas não serão criptografadas — e quem confirma isso é o próprio WhatsApp na sua página oficial.

“Importante: arquivos de mídia e mensagens dos quais você fizer backup usando o Google Drive não ficam protegidos pela criptografia de ponta a ponta do WhatsApp”, registra a seção de perguntas e respostas sobre como realizar um backup usando o Google Drive.

Whatsapp

Desativar o backup de mensagens do WhatsApp no Drive pode ser uma saída.

Parece um tanto quanto contraditório que o WhatsApp ofereça a criptografia das mensagens como um de seus principais recursos e, ao mesmo tempo, “desproteja” as mensagens que ficam armazenadas no Google Drive. Entretanto, vale lembrar que o backup é visto como um recurso extra oferecido pelo serviço de mensagens, não como uma ferramenta central do app.

Talvez, a saída mais indicada seja, então, desativar o backup. Para fazer isso, acesse as configurações do WhatsApp e vá em Conversas > Backup de conversas > Fazer backup no Google Drive e selecione a opção “Nunca”.

FONTE: Tecmundo

Serpentes peçonhentas brasileiras

Postado em Atualizado em

 

11517543

As serpentes são animais pertencentes ao Filo Chordata, Classe Reptilia e Ordem Squamata. Possuem corpo alongado, desprovido de patas e recoberto por escamas; e a temperatura corporal varia de acordo com o ambiente, sendo, por isso, classificadas como animais ectotérmicos. Muitas são venenosas sem, no entanto, serem consideradas peçonhentas, já que esta classificação implica que tenham condições de inocularem este veneno.

“Em nosso país existem mais de 370 espécies de serpentes, distribuídas em dez famílias: Anomalepididae, Leptotyphlopidae, Typhlopidae, Aniliidae, Tropidophiidae, Boidae, Viperidae, Elapidae, Colubridae e Dipsadidae. Destes indivíduos, os pertencentes às famílias Viperidae e Elapidae são os peçonhentos. ”

Serpentes da família Viperidae são as jararacas, surucucus e cascavéis. Estas possuem fosseta loreal: um orifício localizado entre o olho e a narina da serpente, semelhante a uma narina.

cropped-bothrops-jararaca-da-seca-fosseta-loreal-pupila-vertical-1

 

O par de dentes para inoculação de veneno dos indivíduos desta família é longo, dianteiro e curvado para trás – se movimentando para frente no momento do bote; enquanto os demais são poucos e pequenos. Este tipo de dentição é chamado solenóglifa. Estes animais, assim como jiboias, salamantas e dormideiras, possuem a pupila com fenda.

Cascavéis possuem, no fim da cauda, uma estrutura semelhante a um chocalho. Surucucus, nesta região, têm escamas eriçadas e um pouco salientes. No caso das jararacas, a ponta da cauda é normal. Estas últimas também têm, como padrão para identificação, escamas com desenhos semelhantes a “v” invertidos, ou ganchos de telefone.

rabocobra

Serpentes da família Elapidae são as corais verdadeiras. Apesar de não possuírem a fosseta loreal, apresentam um padrão de cor característico: vermelho, preto e branco ou amarelo. A dentição é do tipo proteróglifa: dentes inoculadores dianteiros, fixos, pequenos e que pouco se destacam entre os demais.

micrurus_lemniscatus

OFIDISMO

O nome dado a acidentes envolvendo serpentes chama-se ofidismo. Em nosso país, a ocorrência anual destes eventos é de aproximadamente quinze casos a cada cem mil habitantes, com maior frequência nos meses quentes e chuvosos do ano. Medidas como: não andar descalço em ambientes propícios para ocorrência de serpentes, ter cuidado ao manipular lixo e entulho e manter quintais e casa limpos, são essenciais para evitar este problema.

Acidentes envolvendo jararacas são campeões no ranking: aproximadamente 90% dos casos. O veneno destas espécies tem ação inflamatória aguda (proteolítica), coagulante e hemorrágica, e pode provocar necrose. Já o das cascavéis é neurotóxico, e provoca visão dupla, dores musculares, urina de cor escura e dificuldades respiratórias. É o que apresenta maior letalidade, geralmente com morte causada por insuficiência renal. Surucucus apresentam veneno neurotóxico e coagulante, provocando braquicardia, hipotensão, diarreia e hemorragias. E, finalmente, o das corais verdadeiras, apresenta ação neutotóxica, provocando visão dupla, dilatação da pupila, dores musculares e insuficiência respiratória.

Em caso de acidentes, o indivíduo não deve fazer torniquetes e tampouco sugar o veneno. Lavar com água e sabão o local afetado, manter a região o mais imóvel possível e procurar imediatamente por auxílio médico, a fim de receber o soro antiofídico, são as medidas corretas.

Aprenda a identificar corretamente Serpentes Peçonhentas

FONTE:  Brasilescola  Youtube

Chrome 67 tem proteção contra Meltdown e Spectre

Postado em

chrome-logo-header

As vulnerabilidades Meltdown e Spectre foram descobertas pelo laboratório de segurança do Google chamado Project Zero, essa descoberta foi feita no inicio desse ano de 2018 e desde então causou uma corrida para o desenvolvimento de exploits para exploração por parte dos hackers, e correções de segurança por parte da Intel e empresas responsáveis por sistemas operacionais como Microsoft, Apple e Fundações mantenedoras de distribuições Linux. Tanto a falha de segurança Meltdown quanto Spectre estão presentes a nível de Hardware, mais precisamente nos processadores Intel, por esse motivo uma correção completa só veio com o lançamento da nova linha de processadores Intel, para a linha antiga e quando eu digo antiga estou falando de 2000 até o inicio de 2018, a única solução para corrigir o problema é via software, com patches de segurança lançados pela Microsoft e Intel, como essas soluções são a nível de software e não hardware, os processadores podem apresentar uma queda de desempenho.

Ao explorar a falha Meltdown e Spectre, um hacker ou cracker é capaz de ter acesso a uma área da memória do processador, que é utilizada pelo Kernel do sistema operacional para armazenar dados sigilosos como por exemplo senhas, obviamente essa área não deveria ser acessível a aplicações em nível de usuário, com isso é possível descobrir senhas de campos ocultos em aplicações e sites.

Como foi dito no inicio dessa matéria, apesar da falha de segurança estar no hardware, é possível utilizar algumas técnicas via software para evitar que essas informações sejam acessadas, pensando exatamente nisso, a equipe do Google resolveu implementar uma proteção contra o Meltdown e Spectre na versão 67 do navegador Chrome. Essa proteção consiste na técnica de “isolamento de site“, onde Chrome irá carregar cada site em seu próprio processo, dessa forma, domínios e subdomínios de um mesmo site como por exemplo google.com e maps.google.com serão carregados no mesmo processo, com isso mesmo que um site ignore a política de mesma origem, não será possível roubar os dados de outro site.

Apesar de ser uma boa proteção extra contra meltdown e spectre, ao carregar cada site em um processo único, acarretará em um aumento de aproximadamente 10% no uso da memória por parte do Chrome, além disso, segundo o próprio Google, a API do Chrome utilizada por desenvolvedores, não são totalmente compatíveis com o isolamento de sites, o que pode fazer com que aplicações não funcionem corretamente.

Fonte:mundodoshackers