-

Geral

Urna Eletrônica

Postado em

proxy.duckduckgo.com

Carta aberta de resposta à participação do TSE no Nerdcast 626

Após ouvir o “Nerdcast 626: Como funciona o Brasil: Urna Eletrônica” nós sentimos a necessidade de esclarecer alguns pontos discutidos. Como este não é nosso primeiro email esperamos passar pelo filtro do Azaghal e, consequentemente, atingir uma parte da audiência que ouviu o cast original. Como a comunidade científica não dispõe dos mesmos recursos de marketing que um grande orgão governamental, contamos com o apoio de pessoas que tenham o conhecimento técnico para informar e educar os leigos que são extremamente vulneráveis em um processo eleitoral puramente digital. Acreditamos que audiência do Jovem Nerd é o público ideal por ser composta por pessoas técnicas e críticas.

É importante salientar que o ponto defendido por nós, e por grande parte da comunidade científica, não é o abandono dos avanços da urna eletrônica. O que defendemos é a necessidade de se adicionar uma forma de auditoria não relacionada ao meio digital. O voto impresso não é uma lembrança para ser levado para casa, tampouco algo que fere o sigilo de voto, e sim, uma forma para qualquer cidadão, leigo ou não, auditar e verificar sua participação no nosso processo eleitoral.

Supor que os mecanismos existentes são suficientes para garantir a transparência e a corretude de uma eleição são uma falácia conhecida por qualquer desenvolvedor de software. Durante todas as edições dos Testes Públicos de Segurança foram encontradas falhas na urna, sendo que em 2017 foi demonstrada a mais grave: o comprometimento completo da integridade do software da urna. Nossa demonstração mostrou a possibilidade de se alterar o software de qualquer maneira desejada, sem restrições. Esse tipo de falha tem impacto tão relevante que grandes empresas como Paypal pagam até US$ 100.000,00 por uma prova de conceito – e eles não pedem que você demonstre que é possível transferir saldo entre contas, basta mostrar que você consegue executar um “Hello world” no servidor do Paypal ;-).

Outro ponto importante diz respeito à auditoria de código. Se realmente fosse possível escrever código 100% correto e detectar bugs apenas por auditoria de código, todo investimento realizado em testes de software seria um desperdício (o que não é a realidade que vemos nas empresas). Existem diversos casos de bugs que foram descobertos mais de 10 anos após serem introduzidos em softwares de código aberto (que são auditados por milhares de pessoas, e não por dezenas como a urna).

Por fim, o modelo de urna utilizado no Brasil foi abandonado por quase todos os países que já o utilizaram. A maioria desses países migraram para equipamentos que permitem a auditoria independente de software pelo uso de um registro físico. Argumentar que o Brasil tem uma grande área e complexidade não é suficiente, uma vez que países como a Índia conseguiram adotar este tipo de tecnologia com sucesso. A transparência e auditabilidade de uma eleição são requisitos (e não características desejáveis) para uma democracia forte e justa.

Encorajamos todos os ouvintes a lerem nosso relatório (em inglês / em português) e o relatório oficial do TSE para tirar suas próprias conclusões, lembrando que se trata de um sistema crítico em operação há mais de duas décadas. Terminamos este email com o detalhamento a respeito de cada tópico discutido no Nerdcast 626 e links para o material relevante.

Sobre automação das eleições e urnas desconectadas da Internet

Sem dúvida houve progresso com a introdução da urna eletrônica em se eliminar fraudes de pequena escala na apuração de cédulas eleitorais. O resultado frequentemente ignorado é que esse risco terminou por se concentrar, com escala massivamente ampliada, em um seleto grupo de programadores que trabalha na Justiça Eleitoral. E não precisaria ser assim — daí nossas frequentes críticas e sugestões. Atualmente, um fraudador interno que trabalha no TSE tem acesso privilegiado ao software de votação, infraestrutura de totalização e todos os demais componentes do sistema. Observe que o custo e impacto de fraudes montadas com manipulação de votos individuais é muito diferente de manipular o software de votação diretamente. Felizmente as urnas eletrônicas não foram projetadas para se conectar à Internet, mas continuam conectados os computadores de desenvolvedores do TSE e os sistemas de transmissão do software de votação e de resultados, logo ataques remotos não podem ser totalmente descartados.

Sobre o voto impresso

Como o Nerdcast 626 foi gravado em Maio, a decisão do STF de suspender o voto impresso não foi contemplada, mas é importante abordá-la.

O voto impresso é uma prova conferível pelo eleitor e passível de auditoria pelo cidadão leigo de que o sistema está se comportando de maneira honesta durante a votação. Ele não traz de volta os problemas que existiam com as cédulas de papel. O próprio protótipo divulgado pelo TSE em artigo científico revisado por pares mostra que cada registro físico do voto recebe uma assinatura digital da urna eletrônica para autenticação. Assim, torna-se possível detectar ataques não-especializados que ocorriam de forma impune na época da votação em cédulas, como acrescentar, trocar ou subtrair papéis.

É irônica a decisão de suspender o voto impresso alegando que ele pode ser substituído pelo Registro Digital do Voto (RDV). Ao passo que a afirmação de que o voto impresso prejudicaria o sigilo do voto não passa de uma mera suspeita infundada, o prejuízo ao sigilo causado pelo RDV é um fato amparado por evidências científicas. O RDV é um segundo arquivo gerado pela urna que, em vez de conter os totais, contém uma lista de votos embaralhados. O grande problema do RDV é que o arquivo é produzido pelo software de votação que procura proteger, sendo também afetado caso o software de votação seja adulterado. Caso a adulteração seja realizada no software, qualquer recontagem do RDV irá produzir o mesmo resultado fraudulento. Como não serve para recontagem, o RDV termina existindo apenas para fragilizar o sigilo do voto, como demonstramos nos testes de segurança de 2012.

Sobre voto eletrônico em outros países

A adoção de voto eletrônico sem registro físico dos votos está rapidamente sumindo do planeta. O único país a insistir no equívoco em escala nacional é o Brasil. O último país a corrigir esse equívoco foi a Índia, que começou seu piloto de introdução do voto impresso em 2014, após uma demonstração da equipe do professor Halderman interferir com o funcionamento do software de uma única urna. Note que, após demonstrarmos um ataque análogo no Brasil, porém com poder de amplificação para 50 urnas por cartão manipulado, não sensibilizamos as autoridades brasileiras da forma como o professor Halderman sensibilizou as indianas. Aparentemente, apenas 7 de um total de 50 Estados dos EUA utilizam máquinas sem registro físico do voto adquiridas há mais de uma década, havendo enorme pressão da comunidade técnica local para que esses equipamentos sejam abandonados. Até o ex-presidente Clinton manifestou-se a respeito, dada a urgência da questão. França e Itália chegaram a adotar voto eletrônico no início do século em projetos pilotos já abandonados e eleições municipais, gerando na ocasião uma boa dose de controvérsia. Há várias fontes que facilmente contradizem as alegações dos entrevistados de que outros países utilizam urnas similares às brasileiras. O único país da Europa que utiliza máquinas de votar em escala considerável é a Bélgica, mas todas com registro físico do voto.

Sobre os testes de segurança

A alegação de que especialistas não conseguiram violar a segurança do equipamento nos testes do TSE é completamente falsa. Foram quatro edições até hoje e, em todas elas, surgiu alguma vulnerabilidade afetando importantes propriedades de segurança do equipamento. Falhas cada vez mais graves foram descobertas ao longo do tempo, à medida que os participantes familiarizavam-se com o sistema e aprendiam a contornar as restrições dos testes. Para citar algumas dessas restrições, são apenas três dias para examinar dezenas de milhões de linhas de programação, e é proibido anotar trechos de código em papel ou usar as próprias máquinas (tomando enorme tempo para preparar um ambiente de trabalho). Há recursos que ainda persistem fora de escopo dos testes mesmo após funcionar em produção por 10 anos, como a identificação biométrica. Mesmo com esses obstáculos, os testes têm detectado vulnerabilidades e erros de projeto, sem exigir conhecimento além do trivial para um profissional de segurança.

  • Na edição de 2009, um pesquisador independente mostrou como quebrar o sigilo do voto com a captura de frequências de rádio emitidas pelas diferentes teclas da urna.
  • Na edição de 2012, primeira com acesso ao código-fonte, Diego Aranha coordenou o time que mostrou como quebrar o sigilo do voto de autoridades ou seções eleitorais inteiras utilizando apenas informação pública para recuperar os votos de maneira ordenada. O time também detectou falhas em outros mecanismos de segurança, como compartilhamento massivo e armazenamento inseguro de segredos para proteção do sistema (as chaves criptográficas). Para uma analogia com o mundo real, considere um cadeado que imediatamente perde sua segurança caso a chave seja roubada. No caso da urna, o segredo estava armazenado no próprio código-fonte, de forma análoga a embaixo do tapete.
  • A próxima edição aconteceu apenas anos mais tarde, em 2016, quando investigadores mostraram como adulterar resultados de eleições em pequena escala utilizando o Sistema de Apuração, acionado em caso de contingência para digitação manual de resultado parcial da urna. Este foi o primeiro ataque com sucesso à integridade dos resultados.
  • A maior surpresa estava reservada para 2017, quando duas equipes alcançaram objetivos inéditos. Peritos da Polícia Federal conseguiram recuperar chaves criptográficas ao inicializar o sistema em uma máquina virtual. O nosso time, composto por Diego Aranha (Unicamp), Pedro Barbosa (UFCG), Thiago Cardoso, Caio Lüders (UFPE) e Paulo Matias (UFSCar), explorou uma série de vulnerabilidades para executar software malicioso na urna e adulterar o comportamento do software de votação, que é muito mais grave que um ataque contra a integridade dos resultados. Injetamos pequenos programas de nossa autoria para demonstrar as diversas implicações dessa capacidade de ataque, como violar o sigilo do voto de eleitores específicos, inserir mensagens na tela para fazer boca de urna, e interferir com o armazenamento dos votos. Chegamos a escrever um programa para desviar votos entre candidatos e a demonstrar seu funcionamento em um simulador de urna nos últimos minutos dos testes, porém não foi permitido que testássemos a carga desse programa no hardware real da urna, procedimento que leva cerca de 1 hora. Nossa abordagem foi pensada para um fraudador que captura os cartões de memória que instalam software nas urnas antes das eleições, sabendo que cada cartão instala até 50 máquinas. Uma das vulnerabilidades utilizadas foi o armazenamento inseguro de segredos, detectado lá em 2012 e ainda não totalmente resolvido.

Por fim, vale ressaltar que o Brasil não é o único país a realizar testes de segurança, com experiências menos restritas já observadas na Alemanha (sistema de totalização) e na Voting Village da DEFCON (à qual o TSE inclusive assistiu no ano passado). É bem verdade que os testes da DEFCON são promovidos por iniciativa independente do governo, mas isso só é possível pois lá o cidadão comum possui livre acesso ao equipamento utilizado nas eleições e pode adquiri-lo comercialmente, o que não ocorre no Brasil.

Sobre os testes de confirmação

Em Maio, foram realizados os chamados “testes de confirmação”. Vale lembrar que o edital dos testes não permitia procurar novas falhas durante essa etapa, apenas repetir os procedimentos que haviam obtido sucesso nos testes de Novembro. Nossa equipe nem ao menos chegou a repetir esses procedimentos, limitando-se a ler o código fonte e opinar a respeito das modificações implementadas pelo TSE, por uma série de motivos: apenas 1 dia de testes com a equipe desfalcada por 2 membros; só poderíamos repetir o ataque de decifração dos cartões de memória se houvéssemos levado para o TSE equipamento de bancada de eletrônica, cuja necessidade não prevíamos antes de sermos informados a respeito da decisão do TSE de mover chaves criptográficas do código-fonte para o hardware; o TSE recusou a possibilidade de demonstrarmos em hardware real o ataque de desvio de votos na versão vulnerável do sistema examinada em Novembro, apesar de admitir, em ofício, que era conclusão lógica e natural da capacidade de adulterar o software.

Sobre a possibilidade de auditar o código-fonte

Mesmo com todas as restrições e a impossibilidade de se fazer uma análise de segurança completa do sistema, os testes produzem relatórios dos problemas encontrados, com recomendações de ajuste. Desta forma, a equipe de desenvolvimento do TSE tenta determinar qual o melhor modo de mitigar ou resolver os problemas. Ainda assim, algumas falhas são estruturais e exigem esforço importante de reformulação, que às vezes toma anos. Também não há garantia de que a correção persistirá, já que o desenvolvimento continua até bem perto da eleição, passando pela janela em que os partidos políticos podem inspecionar o código. Nada impede que existam outras vulnerabilidades mais graves ou que correções sejam acidentalmente revertidas. Esta é a natureza de qualquer software, e é por isso que a comunidade técnica não acha boa ideia realizar eleições utilizando apenas programas de computador, situação agravada pela necessidade de auditar dezenas de milhões de linhas de código (“linha a linha”, segundo o TSE). Segundo nosso levantamento em 2017, a base de código do software que vai na urna possui 24 milhões de linhas de código. Mesmo que apenas 5% dessa base seja crítica, por receber, processar e armazenar votos individuais; ou implementar mecanismos de segurança, ainda restam mais de 1 milhão de linhas de código. Perdão, mas nenhuma equipe especializada é capaz de verificar que esse volume inteiro de código funciona corretamente e resiste a tentativas de manipulação. E mesmo que o código-fonte do software seja “blindado” por uma assinatura digital antes da votação, conforme alegado pelo TSE, continua extremamente simples para um fraudador interno introduzir trechos de código na fase de compilação, após a inspeção dos partidos e antes das eleições acontecerem.

O TSE alega que o objetivo dos testes não é um desafio, mas um esforço de colaboração. Gostaríamos então de entender por que as chaves criptográficas foram deliberadamente apagadas da base de código antes dos testes de 2017 começarem, sendo apresentada uma versão incompleta para os investigadores, “para aumentar o desafio”, nas palavras de um dos técnicos responsáveis. Por que houve então a introdução, ainda que apenas na edição de 2016, de um Termo de Sigilo que obrigava investigadores a guardar segredos por toda a vida? Importante também explicar porque os resultados são sempre divulgados de maneira desonesta, muitas vezes em espaços que não oferecem a possibilidade do contraditório, como a própria alegação anterior de que especialistas não conseguem violar barreiras de segurança durante os testes. O papel dos testes já ficou muito claro: convidar especialistas apenas para justificar a versão oficial de que o sistema é seguro e exemplo para o mundo, e qualquer posição discordante é tratada com hostilidade.

Sobre o sistema ser auditável

Além das vulnerabilidades já encontradas, há um problema ainda maior, que termina ofuscado. Conforme demonstrado na tentativa inconclusiva de auditoria após a eleição de 2014, o sistema de votação falha em uma de suas principais finalidades: provar para a sociedade que o resultado está correto. Eventuais auditorias ficam restritas a especialistas que precisam examinar toneladas de arquivos produzidos pelas urnas, sem a garantia de que funcionaram honestamente. O grande problema é que uma fraude minimamente sofisticada em escala razoável, especialmente se montada com colaboração interna, pode terminar indetectável.

Nossa posição

Defendemos que o modelo atual de votação eletrônica adotado no Brasil seja gradualmente transicionado para um sistema que produza registro físico do voto conferível pelo eleitor, seja nos moldes propostos pelo artigo publicado pelo TSE ou por algum dos projetos alternativos que vem sendo discutidos pela comunidade acadêmica. O que não podemos é depositar fé que o sistema atual seja suficientemente seguro, dadas as evidências técnicas em contrário, e adiar indefinidamente uma mudança, como vem acontecendo desde 2009, em uma batalha infindável entre o Legislativo e o Judiciário.

Grupo 1 participante nos Testes Públicos de Segurança 2017

@dfaranha, @pedroysb, @tncardoso, @caioluders, @thotypous

FONTE: UrnaEletrônica

Anúncios

ProtonVPN agora tem servidores no Brasil

Postado em

O ProtonVPN, serviço de VPN criptografado, ganhou nesta sexta-feira (28) seus primeiros servidores na América do Sul: são quatro, todos localizados no Brasil, o que leva a empresa para 26 países. Dos mesmos criadores do ProtonMail, a VPN promete não limitar o consumo de dados e proteger a privacidade dos usuários.

protonvpn-700x251

A VPN está disponível em quatro modalidades. Na gratuita, só é possível se conectar a servidores em três países (Estados Unidos, Japão e Países Baixos). A partir do plano Basic (US$ 4 por mês), a velocidade de download é mais alta, é possível utilizar P2P e todos os países são liberados.

Mesmo no plano gratuito, o ProtonVPN garante que protege os usuários — não há registro ou compartilhamento de logs de acesso, e as conexões são criptografadas com AES-256. Para os assinantes, a empresa diz que possui alguns de seus servidores em um “datacenter suíço alojado em um antigo bunker militar a 1.000 metros abaixo dos Alpes”.

Em comunicado, a dona do ProtonMail afirma que “ao expandir sua rede para o Brasil, o ProtonVPN tornará as conexões seguras e privadas universalmente acessíveis à comunidade sul-americana”. Na prática, se você estiver no Brasil, poderá proteger sua privacidade se conectando em servidores mais próximos, com latência mais baixa; no exterior, será possível acessar conteúdos nacionais com bloqueio de localização.

Os servidores brasileiros do ProtonVPN já estão disponíveis para todos os usuários dos planos Basic (US$ 4 por mês), Plus (US$ 8 por mês) e Visionary (US$ 24 por mês, incluindo o ProtonMail). Há aplicativos para Windows, macOS, Linux, Android e iOS.

FONTE: Tecnoblog ProtonVPN

Backup de mensagens no Google Drive não é criptografado, afirma WhatsApp

Postado em

03100935641019-t1200x480

Na metade do último mês, o WhatsApp anunciou que entrou em acordo com a Google para que os backups de mensagens salvos no Google Drive não consumam espaço da franquia de cada usuário. A novidade é interessante, afinal permite a você salvar suas conversas sem ocupar os preciosos gigabytes oferecidos gratuitamente pela Google.

Contudo, uma outra informação é preciso ser levada em conta se você quer salvar as mensagens desta forma: elas não serão criptografadas — e quem confirma isso é o próprio WhatsApp na sua página oficial.

“Importante: arquivos de mídia e mensagens dos quais você fizer backup usando o Google Drive não ficam protegidos pela criptografia de ponta a ponta do WhatsApp”, registra a seção de perguntas e respostas sobre como realizar um backup usando o Google Drive.

Whatsapp

Desativar o backup de mensagens do WhatsApp no Drive pode ser uma saída.

Parece um tanto quanto contraditório que o WhatsApp ofereça a criptografia das mensagens como um de seus principais recursos e, ao mesmo tempo, “desproteja” as mensagens que ficam armazenadas no Google Drive. Entretanto, vale lembrar que o backup é visto como um recurso extra oferecido pelo serviço de mensagens, não como uma ferramenta central do app.

Talvez, a saída mais indicada seja, então, desativar o backup. Para fazer isso, acesse as configurações do WhatsApp e vá em Conversas > Backup de conversas > Fazer backup no Google Drive e selecione a opção “Nunca”.

FONTE: Tecmundo

Serpentes peçonhentas brasileiras

Postado em Atualizado em

 

11517543

As serpentes são animais pertencentes ao Filo Chordata, Classe Reptilia e Ordem Squamata. Possuem corpo alongado, desprovido de patas e recoberto por escamas; e a temperatura corporal varia de acordo com o ambiente, sendo, por isso, classificadas como animais ectotérmicos. Muitas são venenosas sem, no entanto, serem consideradas peçonhentas, já que esta classificação implica que tenham condições de inocularem este veneno.

“Em nosso país existem mais de 370 espécies de serpentes, distribuídas em dez famílias: Anomalepididae, Leptotyphlopidae, Typhlopidae, Aniliidae, Tropidophiidae, Boidae, Viperidae, Elapidae, Colubridae e Dipsadidae. Destes indivíduos, os pertencentes às famílias Viperidae e Elapidae são os peçonhentos. ”

Serpentes da família Viperidae são as jararacas, surucucus e cascavéis. Estas possuem fosseta loreal: um orifício localizado entre o olho e a narina da serpente, semelhante a uma narina.

cropped-bothrops-jararaca-da-seca-fosseta-loreal-pupila-vertical-1

 

O par de dentes para inoculação de veneno dos indivíduos desta família é longo, dianteiro e curvado para trás – se movimentando para frente no momento do bote; enquanto os demais são poucos e pequenos. Este tipo de dentição é chamado solenóglifa. Estes animais, assim como jiboias, salamantas e dormideiras, possuem a pupila com fenda.

Cascavéis possuem, no fim da cauda, uma estrutura semelhante a um chocalho. Surucucus, nesta região, têm escamas eriçadas e um pouco salientes. No caso das jararacas, a ponta da cauda é normal. Estas últimas também têm, como padrão para identificação, escamas com desenhos semelhantes a “v” invertidos, ou ganchos de telefone.

rabocobra

Serpentes da família Elapidae são as corais verdadeiras. Apesar de não possuírem a fosseta loreal, apresentam um padrão de cor característico: vermelho, preto e branco ou amarelo. A dentição é do tipo proteróglifa: dentes inoculadores dianteiros, fixos, pequenos e que pouco se destacam entre os demais.

micrurus_lemniscatus

OFIDISMO

O nome dado a acidentes envolvendo serpentes chama-se ofidismo. Em nosso país, a ocorrência anual destes eventos é de aproximadamente quinze casos a cada cem mil habitantes, com maior frequência nos meses quentes e chuvosos do ano. Medidas como: não andar descalço em ambientes propícios para ocorrência de serpentes, ter cuidado ao manipular lixo e entulho e manter quintais e casa limpos, são essenciais para evitar este problema.

Acidentes envolvendo jararacas são campeões no ranking: aproximadamente 90% dos casos. O veneno destas espécies tem ação inflamatória aguda (proteolítica), coagulante e hemorrágica, e pode provocar necrose. Já o das cascavéis é neurotóxico, e provoca visão dupla, dores musculares, urina de cor escura e dificuldades respiratórias. É o que apresenta maior letalidade, geralmente com morte causada por insuficiência renal. Surucucus apresentam veneno neurotóxico e coagulante, provocando braquicardia, hipotensão, diarreia e hemorragias. E, finalmente, o das corais verdadeiras, apresenta ação neutotóxica, provocando visão dupla, dilatação da pupila, dores musculares e insuficiência respiratória.

Em caso de acidentes, o indivíduo não deve fazer torniquetes e tampouco sugar o veneno. Lavar com água e sabão o local afetado, manter a região o mais imóvel possível e procurar imediatamente por auxílio médico, a fim de receber o soro antiofídico, são as medidas corretas.

Aprenda a identificar corretamente Serpentes Peçonhentas

FONTE:  Brasilescola  Youtube

Ganhe Bitcoin: CryptoTab a extenção do Google Chrome que “Paga” bitcoin

Postado em Atualizado em

cryptotab-mineração

É fato que a mineração de criptomoedas no seu navegador é um pouco controversa, mas algumas empresas estão tentando transformá-la em um negócio legítimo. O CryptoTab é um desses projetos.

CryptoTab é no mínimo intrigante

É sempre bom ver empresas tentando transformar um desenvolvimento negativo em algo positivo. O CryptoTab está tentando atrair uma atenção positiva para o setor de mineração no navegador. Dada toda a atenção negativa que esta indústria recebeu ultimamente, é normal que as pessoas hesitem quando projetos como esses são lançados. O ceticismo é uma coisa boa no setor de criptomoedas, por razões óbvias.

O objetivo do CryptoTab é permitir que os usuários ganhem Bitcoin em seu navegador Chrome. Embora isso pareça uma solução conveniente, todos concordarão que minerar Bitcoin com uma CPU não lhe renderá uma quantidade razoável de dinheiro. A maioria dos usuários ganhará quantidades fracionadas de BTC, estamos falando de satoshis, o que significa a menor unidade de um Bitcoin, oito dígitos atrás do decimal.

Mesmo assim, há pessoas que acham esse um empreendimento que vale a pena. Tudo o que eles precisam fazer é deixar o navegador Chrome em execução no computador enquanto estiver ligado. Para essas pessoas, vai soar como se elas estivessem gerando Bitcoin de graça. Na verdade os computadores consumirão um pouco mais de eletricidade do que o normal. Esse custo extra pode nem mesmo ser compensado pela quantidade de Bitcoins que os usuários ganharão usando esse serviço.

Embora o modelo de negócios do CryptoTab pareça ser perfeitamente legítimo, parece que os usuários precisarão convidar outras pessoas antes que possam realmente receber algum dinheiro. Com um programa de referidos de dez níveis, ao que tudo indica a maioria dos ganhos virá das pessoas que eles conseguirem atrair. No entanto,  como os usuários não estão investindo “ativamente” dinheiro algum, eles ainda receberão uma pequena porcentagem dos ganhos de outras pessoas. Este modelo de negócio ainda levantará muitas dúvidas.

De acordo com o site, a equipe está executando sua própria operação de mineração Bitcoin. A medida que mais pessoas começarem usar a extensão do Google Chrome. É um modelo de negócios intrigante. Afinal de contas, há muito dinheiro por aí.

Como não custa nada para usar, esse diferencial tornou o CryptoTab mais atraente. É um serviço interessante para ficar de olho, mas também é necessário esclarecer algumas dúvidas.

Fontes: Guia do Bitcoin  e  CryptoTab

Chrome 67 tem proteção contra Meltdown e Spectre

Postado em

chrome-logo-header

As vulnerabilidades Meltdown e Spectre foram descobertas pelo laboratório de segurança do Google chamado Project Zero, essa descoberta foi feita no inicio desse ano de 2018 e desde então causou uma corrida para o desenvolvimento de exploits para exploração por parte dos hackers, e correções de segurança por parte da Intel e empresas responsáveis por sistemas operacionais como Microsoft, Apple e Fundações mantenedoras de distribuições Linux. Tanto a falha de segurança Meltdown quanto Spectre estão presentes a nível de Hardware, mais precisamente nos processadores Intel, por esse motivo uma correção completa só veio com o lançamento da nova linha de processadores Intel, para a linha antiga e quando eu digo antiga estou falando de 2000 até o inicio de 2018, a única solução para corrigir o problema é via software, com patches de segurança lançados pela Microsoft e Intel, como essas soluções são a nível de software e não hardware, os processadores podem apresentar uma queda de desempenho.

Ao explorar a falha Meltdown e Spectre, um hacker ou cracker é capaz de ter acesso a uma área da memória do processador, que é utilizada pelo Kernel do sistema operacional para armazenar dados sigilosos como por exemplo senhas, obviamente essa área não deveria ser acessível a aplicações em nível de usuário, com isso é possível descobrir senhas de campos ocultos em aplicações e sites.

Como foi dito no inicio dessa matéria, apesar da falha de segurança estar no hardware, é possível utilizar algumas técnicas via software para evitar que essas informações sejam acessadas, pensando exatamente nisso, a equipe do Google resolveu implementar uma proteção contra o Meltdown e Spectre na versão 67 do navegador Chrome. Essa proteção consiste na técnica de “isolamento de site“, onde Chrome irá carregar cada site em seu próprio processo, dessa forma, domínios e subdomínios de um mesmo site como por exemplo google.com e maps.google.com serão carregados no mesmo processo, com isso mesmo que um site ignore a política de mesma origem, não será possível roubar os dados de outro site.

Apesar de ser uma boa proteção extra contra meltdown e spectre, ao carregar cada site em um processo único, acarretará em um aumento de aproximadamente 10% no uso da memória por parte do Chrome, além disso, segundo o próprio Google, a API do Chrome utilizada por desenvolvedores, não são totalmente compatíveis com o isolamento de sites, o que pode fazer com que aplicações não funcionem corretamente.

Fonte:mundodoshackers

Facebook compartilhou dados dos usuários com fabricantes de celulares

Postado em

social_network_76532_640-5392644

Com o escândalo da Cambridge Analytica, o vazamento maciço de dados de pelo menos 87 milhões de usuários do Facebook para essa empresa britânica, já ficou claro que os usuários não detêm o controle de sua privacidade. Agora vem à tona um novo golpe: o Facebook permitiu que pelo menos 60 fabricantes de dispositivos eletrônicos, entre as quais Samsung, Apple e Blackberry, tivessem acesso aos dados pessoais de seus usuários, segundo publicou The New York Times.

Os fabricantes podem ignorar as preferências dos usuários em matéria de privacidade e acessar dados pessoais como relacionamentos (se está casado, por exemplo), a religião, as opções políticas ou a participação em eventos. De acordo com esse artigo, os fabricantes de celulares também podem obter informações dos contatos do usuário, embora ele não tenha dado permissão para compartilhá-los com terceiros.

As empresas, entre as quais se encontram Amazon, Apple, Blackberry, Microsoft e Samsung, teriam se beneficiado do acesso a esses dados durante os últimos 10 anos, antes que os aplicativos do Facebook estivessem disponíveis para a totalidade dos smartphones, segundo informaram fontes da tecnológica ao jornal. O objetivo dos acordos com os fabricantes era permitir o desenvolvimento de ferramentas para o bom uso da plataforma, como o sistema de mensagens instantâneas ou os botões de curtir. Apesar de o Facebook ter cancelado em abril alguns desses acordos, outros permanecem ativos, segundo o jornal norte-americano comprovou.

Após a erupção do caso Cambridge Analytica, Mark Zuckerberg afirmou que depois de detectar em 2014 o uso que vinha sendo feito dos dados pessoais dos usuários, em 2015 proibiu que os desenvolvedores recolhessem informações deles e de seus “amigos”. Mas a empresa não estendeu essa restrição aos fabricantes de celulares e tablets.

“Não podemos esquecer que o Facebook é uma empresa de dados que permite aos desenvolvedores terem acesso a eles para conseguir que o usuário tenha uma experiência melhor. Não concebem fazer isso de outra forma, embora normas como a antiga Lei de Proteção de Dados espanhola estipulem que os desenvolvedores têm de usar bases de dados falsas”, afirma Paloma Llaneza, advogada especializada em novas tecnologias e líder do grupo jurídico do centro de estudos de ISMS Forum, o principal evento de segurança da informação que é realizado na Espanha. O atual Regulamento Geral de Proteção de Dados, uma norma europeia que entrou em vigor em 25 de maio, estabelece que o desenvolvimento de novos produtos deve ser feito com o menor impacto possível na privacidade dos usuários.

No entanto, o Facebook afirmou que esses acordos com os fabricantes não violam suas políticas de privacidade porque o uso que podem fazer dos dados “é muito limitado” e está estipulado no contrato. Porta-vozes da plataforma disseram que não têm conhecimento de nenhum caso de abuso ou mau uso dessas informações pessoais. A companhia de tecnologia considera esses fabricantes “extensões” do Facebook a “serviço” de seus usuários. “Esses acordos funcionam de modo muito diferente dos que temos com desenvolvedores de apps que usam nossa plataforma”, declarou Ime Archibong, vice-presidente do Facebook, a The Times.

Para Borja Adsuara, advogado especializado em direito digital e membro da comissão de Propriedade Intelectual do Ministério da Educação da Espanha, é uma demonstração a mais da forma de proceder do Facebook: solicitar permissões genéricas sem especificar a finalidade. “Será preciso analisar se existem consequências legais, mas desde já reforça a quebra de confiança e o tratamento desleal para com os usuários.” Com a nova norma de proteção de dados europeia, nenhuma empresa pode operar com informações pessoais sem o consentimento livre e informado da parte afetada.

Um porta-voz da Apple afirmou ao jornal norte-americano que o acesso aos dados privados do Facebook lhes possibilitou desenvolver ferramentas que permitem aos usuários postar fotos na rede social sem a necessidade de abrir o aplicativo no celular, entre outras opções. A Apple garantiu que seus aparelhos não voltaram a ter acesso a esses dados desde setembro.

Usher Lieberman, porta-voz da Blackberry, afirmou em um comunicado que sua empresa só usa os dados do Facebook para permitir aos clientes terem acesso aos serviços de mensagens da plataforma. “Não extraímos nem coletamos os dados no Facebook de nossos clientes A Blackberry sempre se dedicou a proteger os dados dos usuários, e a não tirar proveito deles”, disse. A Samsung e a Amazon não quiseram se pronunciar.

Em uma audiência na Comissão Europeia há apenas duas semanas, Zuckerberg declarou que em 2017 sua empresa bloqueou 200 aplicativos que recolhiam dados e reconheceu que “levará tempo para fazer as mudanças necessárias” para salvaguardar os dados dos usuários. O líder belga dos liberais, Guy Verhofstadt, lhe perguntou “como gostaria de ser lembrado”: como um gigante da tecnologia ao estilo de Bill Gates e Steve Jobs, ou o gênio que criou o monstro digital que destruiu nossas democracias?” Isso ainda está para ser visto.

FONTE: EL PAÍS