STJ exige abertura de dados do Gmail, mas Google diz ser “impossível” cumprir ordem

A Corte Especial do Superior Tribunal de Justiça (STJ) determinou nesta quarta-feira, 5, que o Google Brasil cumpra ordem judicial de quebra de sigilo das comunicações por e-mail. O caso corre sob sigilo judicial e diz respeito às comunicações feitas por um investigado de crimes, entre eles os de formação de quadrilha, corrupção passiva e ativa, fraude à licitação, lavagem de dinheiro, advocacia administrativa e tráfico de influência.

O Google diz ser “impossível” cumpir a ordem porque os dados estão armazenados nos Estados Unidos, por isso estão sujeitos à legislação americana, a qual considera ilícita a medida. A ministra Laurita Vaz, relatora da decisão, não aceita a justificativa da companhia. “Ora, o que se pretende é a entrega de mensagens remetidas e recebidas por brasileiros em território nacional, envolvendo supostos crimes submetidos induvidosamente à jurisdição brasileira”, assinalou, considerando “seríssimos” os fatos narrados no processo.

Com o prazo de dez dias para o cumprimento da ordem, sob pena de multa diária de R$ 50 mil, o Google indicou a via diplomática para a obtenção dessas informações com menção ao acordo de assistência judiciária em matéria penal em vigor entre o Brasil e os Estados Unidos (Decreto 3.810/2001). Por meio da assessoria de imprensa, o Google afirmou que não é a primeira vez que a empresa recebe este tipo de solicitação. “O Google reconhece sua responsabilidade de auxiliar as autoridades em seus esforços para combater o crime, mas precisamos fazê-lo nos termos do Tratado de Assistência Judiciária Mútua entre o Brasil e os Estados Unidos (MLAT). O Tratado estabelece o processo aplicável para a requisição do conteúdo de mensagens eletrônicas e já foi utilizado pelo Brasil diversas vezes”, diz o comunicado enviado à TI Inside Online.

“Nenhum obstáculo material”

Na decisão, Laurita destacou que a ordem pode ser perfeitamente cumprida em território brasileiro. “Nenhum obstáculo material há para que se viabilize o acesso remoto aos dados armazenados em servidor da empresa Google pela controlada no Brasil, atendidos, evidentemente, os limites da lei brasileira”, afirmou. Como foi submetida às leis brasileiras, a companhia deve se submeter a essa legislação, não podendo invocar leis americanas para se esquivar do cumprimento de requisição judicial. “Não se pode admitir que uma empresa se estabeleça no país, explore o lucrativo serviço de troca de mensagens por meio da internet – o que lhe é absolutamente lícito –, mas se esquive de cumprir as leis locais.”

Notícia atualizada dia 06.06.2013, às 16h17

fonte tiinside

Publicado em Internacional, Leis | Com a tag , | Comentários desativados

Centro Brasileiro de Perícia deverá lançar um chat com garantia de confidencialidade

O CBP – Centro Brasileiro de Perícia, deverá lançar um chat, para garantir que as pessoas possam trocar informações sem correr o risco de ter a conversa bisbilhotada.

As recentes notícias de que a Microsoft poderia estar espionando as mensagens do Skype não é nenhuma surpresa para nós, informou Paulo Cesar Breim, diretor do Centro Brasileiro de Perícia. Nas diversas perícias que fizemos, tivemos a oportunidade de constatar que os programas de chat são muito vulneráveis e não existe garantia que os criadores “guardem segredo” das conversas. Isso vale também para os softwares de celular, incluindo o BBM da Blackberry.

John Douglas Rowell, sócio de Paulo Breim, acrescenta: Vamos disponibilizar um servidor (auditável) que utilize softwares open source, com camada de autenticação e criptografia, sem armazenamento das mensagens que trafegam entre um usuário e outro.
Qualquer usuário poderá utilizar esse serviço de forma gratuita.

O CBP já está aceitando email de pessoas interessadas em ter uma conta com segurança.

Publicado em Notícias | Com a tag , , | Comentários desativados

Microsoft pode estar “espionando” suas mensagens no Skype

A empresa verifica regularmente o conteúdo das mensagens enviadas por meio do serviço em busca de sinais de fraude, mas o que é feito com as informações dessas verificações é desconhecido

Se você tem quaisquer expectativas sobre a privacidade de suas comunicações no Skype, você pode querer reavaliá-las. A Microsoft parece estar “espionando” as mensagens do seu serviço por razões de segurança, de acordo com o Ars Technica.

A empresa verifica regularmente o conteúdo das mensagens enviadas por meio do serviço em busca de sinais de fraude, mas o que é feito com as informações dessas verificações – se são armazenadas indefinidamente ou destruídas – é desconhecido.

Achados semelhantes foram publicados pela The H Security na semana passada. “O Skype usa varredura automatizada dentro de mensagens instantâneas para identificar mensagens indesejadas e endereços de sites que tenham sido previamente marcados como spam, fraude ou phishing”, disse o porta-voz da empresa, James Blamey, por e-mail.

No entanto, a H Security afirmou que a Microsoft parece estar deixando as URLs HTTP intocadas durante a verificação de URLs HTTPS. URLs HTTPS são normalmente ligadas a sites seguros, e não a spam.

A descoberta pela Ars Technica e pelo pesquisador de segurança independente, Ashkan Soltani, levanta questões sobre a privacidade das comunicações no Skype.

É também uma potencial bomba para a Microsoft, que tem mantido uma grande campanha de marketing – chamada de “Scroogled” – que ataca a verificação do conteúdo das mensagens do Gmail pelo Google, para direcionar os anúncios a leitores dessas comunicações webmail.

O que isso significa
O que essas descobertas recentes querem dizer é que os usuários do Skype já não podem esperar que os seus chats e chamadas sejam privadas, disse Solvani.

“A expectativa era de que o que eu escrevo para você, será somente para você”, disse ele à PCWorld. “No entanto, esta descoberta mostra que a Microsoft é capaz de monitorar isso.”

Além disso, uma vez que a empresa coleta dados de uma mensagem, não está claro o que ela faz com eles. Também não é conhecido o local onde os dados estão sendo reunidos. “Se eles estão monitorando URLs no bate-papo, o que mais eles podem monitorar? Eles podem gravar todas as suas conversas?”, disse Solvani.

Se for esse o caso, continuou, a Microsoft poderia ser obrigada por um governo a ativar o monitoramento de um usuário, caso suspeite de alguma irregularidade.

“Até agora, não tínhamos dados para mostrar que a Microsoft tem essa capacidade”, disse ele. “Agora temos.”

Um pouco de história
A segurança de privacidade do Skype foi questionada no início deste ano por uma série de grupos de direitos civis, incluindo a Frontier Foundation e Reporters without Borders.

“Muitos de seus usuários contam com o Skype para proteger suas comunicações – sejam eles ativistas que operam em países governados por regimes autoritários, sejam jornalistas que se comunicam com fontes sensíveis, ou usuários que desejam conversar em particular com parceiros de negócios, familiares ou amigos”, escreveram os grupos em uma carta aberta, dirigida ao Skype e a funcionários da Microsoft.

A carta continua: “é lamentável que esses usuários, e aqueles que os aconselham sobre as melhores práticas de segurança, trabalhem em face às declarações persistentemente pouco claras e confusas sobre o sigilo das conversas do Skype e, em particular, sobre o acesso que os governos e terceiros têm a dados do usuário e de comunicação.”

Esta última revelação sobre o Skype não fará as questões em torno da privacidade e de segurança no sistema mais claras.

John P. Mello Jr., PC World / EUA

Publicado em Internacional, Notícias | Comentários desativados

Falhas em firmware de roteador permitem a cracker “espionar” vítima

Se você usa câmeras de vídeo IP da D-Link, pode querer prestar atenção a isso. Tais dispositivos, usados para vigilância, têm vulnerabilidades no firmware que poderia permitir a um cracker interceptar o fluxo de vídeo, de acordo com pesquisadores de segurança.

A empresa de segurança Core Security, especializada em detecção de vulnerabilidade e pesquisa, publicou na segunda-feira (29) detalhes sobre cinco falhas encontradas no firmware da D-Link, que é implementado em pelo menos 14 produtos da empresa.

A D-Link fabrica uma variedade de câmeras conectadas à Internet e as vende para empresas e consumidores. Os dispositivos podem gravar imagens e vídeos e ser controlados por meio de paineis de controle web. Transmissões ao vivo pode ser vistas em alguns dispositivos móveis.

Um dos modelos mais vulneráveis​​, o DCS-5605/DCS-5635, tem um recurso de detecção de movimento – que a D-Link recomenda em seus marteriais de marketing para uso em bancos, hospitais e escritórios.

Os pesquisadores da Core Security identificaram que era possível acessar, sem autenticação, um fluxo de vídeo ao vivo via RTSP (protocolo de streaming em tempo real), bem como uma saída ASCII de um fluxo de vídeo nos modelos afetados. O RTSP é um protocolo de nível de aplicação para a transferência de dados em tempo real, de acordo com a Internet Engineering Task Force.

Os pesquisadores também encontraram um problema no painel de controle web, que permitiria a um cracker dar comandos arbitrários. Em outra falha, as credenciais de login fortemente codificadas no firmware da D-Link “efetivamente serve como um backdoor, que permite que atacantes remotos acessem o stream de vídeo RTSP”, disse a Core Security em comunicado.

Os detalhes técnicos estão descritos em um post no fórum Full Disclosure, juntamente com uma lista dos produtos afetados conhecidos, alguns deles eliminados pela D-Link.

A empresa de segurança notificou a D-Link sobre o problema em 29 de março, de acordo com um registro da interação das duas companhias anexado à postagem no Full Disclosure.

A D-Link teria informado que os patches estavam prontos e seriam liberados “nos próximos dias” no seu site. No entanto, a empresa não respondeu imediatamente a pedidos para comentar sobre o caso e não ficou claro a partir de fórum de suporte da empresa, se as atualizações de firmware foram liberadas ao público.

A Core Security creditou seus pesquisadores Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria e Fernando Miranda por encontrar os problemas.

Jeremy Kirk,

Publicado em Notícias | Com a tag | Comentários desativados

Grupo chinês ataca empresas de jogos online e rouba certificados digitais

A equipe de especialistas da Kaspersky Lab divulgou na quinta-feira (11) a descoberta de uma campanha de espionagem virtual realizada pela organização cibercriminosa conhecida como “Winnti”. De acordo com o relatório, o grupo tem atacado empresas do setor de jogos online desde 2009 e continua em atividade.

O objetivo do Winnti é roubar certificados digitais assinados por fornecedores legítimos de software, além de roubar propriedade intelectual, inclusive o código fonte de projetos de jogos online.

O primeiro incidente que chamou atenção para as atividades maliciosas do grupo ocorreu em 2011, quando foi detectado um Cavalo de Troia em um grande número de computadores de usuários finais em todo o mundo. A ligação evidente entre os computadores infectados era que todos eles foram usados para jogar um conhecido jogo online.

Logo após o incidente, surgiram informações de que o programa malicioso que tinha infectado as máquinas fazia parte de uma atualização regular do servidor oficial da empresa de jogos. Os usuários infectados e participantes da comunidade de jogos suspeitaram que o editor do game estava instalando o malware para espionar seus clientes. Contudo, mais tarde ficou claro que o programa malicioso foi instalado nos PCs dos jogadores por acidente e que, na verdade, os cibercriminosos visavam a própria empresa de jogos.

Como resposta, o editor do jogo de computador, proprietário dos servidores que disseminaram o malware solicitou à Kaspersky Lab que analisasse o programa malicioso. O vírus consistia em uma biblioteca DLL compilada para ambientes Windows de 64 bits que usava um drive malicioso com uma assinatura digital válida. Tratava-se de uma ferramenta de administração remota (RAT) totalmente funcional, que dava aos invasores a possibilidade de controlar os computadores das vítimas sem o conhecimento dos usuários.

Esse foi o primeiro Trojan identificado para a versão de 64 bits do Windows com uma assinatura digital válida.

Os especialistas da Kaspersky Lab começaram a analisar a campanha do Winnti e descobriram que mais de 30 empresas do setor de games foram afetadas pelo grupo, sendo que a maioria delas era formada por companhias de desenvolvimento de software que produziam jogos de vídeo games online no sudeste da Ásia.

No entanto, também foram identificadas vítimas na Alemanha, nos Estados Unidos, no Japão, na China, na Rússia, no Brasil, no Peru e na Bielorrússia.

Além da espionagem industrial, os especialistas da Kaspersky Lab identificaram três esquemas principais de monetização que poderiam ser usados pelo grupo Winnti para gerar lucros ilegais:

• A manipulação da acumulação de pontos no jogo, como “moedas” ou “ouro”, que são usados pelos jogadores para converter o dinheiro virtual em dinheiro real;
• O uso do código-fonte roubado dos servidores de jogos online para buscar vulnerabilidades nos jogos, com o intuito de facilitar e acelerar a manipulação e acumulação das moedas sem levantar suspeitas;
• O uso do código-fonte roubado dos servidores de jogos online para implementar seus próprios servidores pirata;

O grupo Winnti ainda está ativo e a investigação da Kaspersky Lab continua em andamento. A equipe de especialistas da empresa tem trabalhado em conjunto com a comunidade de segurança de TI, o setor de jogos online e autoridades de certificação para identificar outros servidores infectados, auxiliando ainda na revogação dos certificados digitais roubados.

Fonte: idgnow

Publicado em Hacker, Internacional | Com a tag , , , , | Comentários desativados

TSE rejeita pedido do Google e mantém processo contra a companhia

O Tribunal Superior Eleitoral negou a retirada do processo aberto contra o diretor geral do Google Brasil, Edmundo Luiz Pinto Balthazar. O caso data do ano passado, com ordem da justiça da Paraíba após a companhia se negar a retirar um vídeo do YouTube, considerado ofensivo pelo então candidato à prefeitura de Campina Grande Romero Rodrigues (PSDB).

No último sábado, 23, o departamento jurídico do Google enviou um pedido de questionamento da responsabilidade criminal no caso. Na visão da companhia, como o material foi suspenso do ar alguns dias depois da decisão judicial, não há razões para que o processo contra o escritório no Brasil seja mantido.

Em nota, a assessoria do Google Brasil afirmou que “não há motivos para persecução criminal” porque a ordem judicial de remoção de conteúdo já havia sido cumprida. Assim, no entendimento da empresa, “não houve qualquer desobediência por seus executivos”. Com informações da Agência Brasil.

fonte ttinside

Publicado em Notícias | Com a tag , | Comentários desativados

Cibercriminosos usam Neymar, Fuleco e Copa 2014 para ataque phishing

A empresa de segurança Kaspersky Lab alerta os usuários para cibercriminosos que estão se aproveitando da Copa 2014 para usá-la como tema em ataques phishing.

Esse tipo de ataque consiste no envio de e-mails que contêm um link ou anexo malicioso. O objetivo de cibercriminos é convencer a vítima a clicar no link (que a redirecionará a um site arbitrário) ou abrir o anexo, para poder roubar dados pessoais ou credenciais bancárias.

Segundo o analista sênior de malware da Kaspersky no Brasil, Fabio Assolini, as mensagens maliciosas utilizam de conhecidos truques de promoções para atrair as vítimas: são prêmios em dinheiro, televisores e até mesmo ingressos para os jogos. “O objetivo final é clonar cartões de crédito”, diz o Assolini.

Diversas empresas brasileiras são usadas nos e-mails para dar “credibilidade” à mensagem e, assim, atrair mais usuários. “Para tentar enganar as vítimas com maior facilidade, as mensagens brasileiras estão usando nomes de personalidades conhecidas do público, como o jogador Neymar, o apresentador de TV Rodrigo Faro e o próprio mascote oficial do evento, o Fuleco”, afirma o analista.

De acordo com Assolini, o golpe consiste no envio de um e-mail que induz o usuário a visitar um site arbitrário para se cadastrar em uma suposta promoção. Para isso, são solicitados dados do cartão de crédito da vítima.”Mas os ataques não se limitam ao phishing e diversos golpes trazem vírus bancários prometendo ingressos para a Copa. A Copa das Confederações, que será realizada em junho e que já tem ingressos à venda, também é tema desses ataques”, alerta Assolini.

O especialista sugere que, para não cair em golpes como esses, o usuário deve visitar sites das empresas participantes para se certificar de que a promoção é mesmo válida. “Em caso de dúvida, use o telefone ou canais de contato oficiais da empresa para se certificar”.

Além disso, não se cadastre em sites que solicitam o número do cartão de crédito completo, juntamente com o código de verificação (que se encontra atrás do cartão). “Todos os sites falsos pedem isso. Se essa informação for informada, o cartão será clonado”, diz Assolini.

E fique atento às URLs das supostas promoções. Abaixo alguns domínios identificados pela Kaspersky, mas que, segundo a empresa, já foram encerrados:

http://www.copa2014sorteios.com/

http://www.copacielo2014.com/

http://faturazerocopadomundocadastramento.com.br

http://www.promocaodacopaamericabrasilfaturazro.com.br

http://programacopafaturazero.com/

http://portalprogramafaturazero.com/credencie-se/

https://promocaosuperpremios.websiteseguro.com/

http://www.copa-2014cielo-brasil.com.br/

http://200.98.129.239/neymar/

http://187.109.161.24/COPA/index.php

http:///www.promocaobrasil2014mundial.com.br

fonte:Tissiane Vicentin

Publicado em Hacker, Vírus | Com a tag , , | Deixar um comentário

Ataque hacker contra Evernote obriga usuários a reiniciarem senhas

O aplicativo de produtividade Evernote está obrigando todos os seus 50 milhões de usuários a mudarem suas senhas depois de um ataque hacker ao seu sistema.

O cracker conseguiu acesso aos nomes de usuário, endereços de e-mail e senhas. Embora as senhas sejam criptografadas, a companhia implementou uma redefinição de senha, por precaução, disse a Evernote em um comunicado no blog da empresa.

Ainda de acordo com a companhia, não há evidência de que o cibercriminoso chegou a acessar os conteúdos de usuários, nem que conseguiu acessar informações de pagamento.

A “atividade suspeita” que a Evernote detectou e bloqueou foi uma aparente “tentativa coordenada” de invadir áreas de segurança de seu serviço, disse a empresa no post.

“Depois de acessar o site, você será solicitado a digitar uma nova senha. Uma vez que redefinir sua senha em evernote.com, você terá que digitar a nova senha em outros aplicativos Evernote que utiliza. Também estamos liberando atualizações para vários de nossos aplicativos para facilitar o processo de mudança de senha. Portanto, por favor, verifique se há atualizações nas próximas horas”, diz a Evernote.

A empresa é a mais recente vítima de uma série recente de incidentes contra empresas de tecnologia de alto perfil, incluindo a Apple, Microsoft, Twitter e Facebook. O porta-voz do Evernote, Ronda Scott, declarou por email no sábado que o ataque “seguiu um padrão similar” a outros crimes cibernéticos cometidos na últimas semanas contra outras companhias de Internet. Mas a Evernote não acredita que os hackers tenham se aproveitado de um bug no Java para invadir os sistemas da companhia.

“Em nova investigação de segurança, não encontramos provas de que algum conteúdo armazenado no Evernote tenha sido acessado”, disse a empresa na nota publicada em seu site.

“Também não temos nenhuma prova de que informações sobre pagamento de clientes Evernote Premium e Evernote Business tenham sido acessadas”, acrescentou.

A Evernote faz aplicações gratuitas e pagas, que podem ser acessados por meio de navegadores web, dispositivos móveis e computadores desktop.

Fonte: Juan Carlos Perez

Publicado em Sem categoria | Com a tag , , | Deixar um comentário

Crackers roubam mundialmente mais de 1 terabyte em dados por dia

Analistas descobriram uma megaoperação hacker que rouba cerca de 1 terabyte de dados diariamente, segundo um relatório da empresa de segurança de Internet Team Cymru, divulgado na quarta-feira (27/2). As informações foram publicadas pelo The Verge.

Segundo o site, dentre as vítimas desse ciberataque estão instalações acadêmicas, militares e uma grande empresa de buscas. O relatório não identificou quem estaria por trás da megaoperação, mas, considerando a quantidade de recursos utilizados, os responsáveis seriam patrocinados pelo governo, segundo afirmou o diretor da Team Cymru, Steve Santorelli. “Esse é um ciberroubo em escala industrial”, disse em entrevista ao The Verge. Santorelli também é ex-detetive da Scotland Yard.

O relatório feito pela Team Cymru segue o mesmo padrão do estudo realizado pela empresa de segurança Mandiant – que detalhou como um grupo de cibercriminosos chineses invadiram redes de computadores de diversas grandes companhias dos EUA durante anos, com o objetivo de roubar informações sigilosas.

Mesmo sendo um grande inimigo, especialistas afirmam que a China é apenas mais um peão dessa ciberguerra. Dezenas de outras ameaças recaem sobre os Estados Unidos, e tem sido assim por algum tempo, segundo o diretor-assistente do Centro de Cibersegurança de Baltimore da Universidade de Maryland, Richard Forno. “Todo mundo está culpando os chineses e essa não é uma resposta estratégica. Nós deveríamos estar questionando o porquê a China teve esse tipo de acesso por tanto tempo. O que estamos fazendo de errado? A atitude é: ‘como ousa?’, mas se você está preocupado com fogo, então por que construir uma casa feita de madeira?”

Segundo Sartorelli, o esquema é sem precedentes e o que preocupa mais é o quão bem-sucedido ele foi e a quantidade de dados que foram roubados.

A Team Cymru identificou que o grupo de cibercriminosos por trás do golpe usa uma rede de 500 servidores para surrupiar informações de companhias no mundo todo. De acordo com o relatório, os crackers teriam iniciado o esquema em 2010, visando interesses comerciais.

Entre as vítimas estariam uma operação de mineração de grande porte da Austrália, agências governamentais da Europa Oriental e da Ásia, além de embaixadas estrangeiras e nacionais.

De acordo com analistas e pesquisadores da área, redes de computadores são atacadas diariamente por cibercriminosos, espiões e ciber terroristas. Softwares são projetados especialmente para ajudar crackers a assumir o controle de sistemas de computadores. Qualquer um poderia ser o culpado pelas invasões – embora a China tenha ganhado as manchetes de jornais no mundo todo nos últimos dias.

Segurança falha
Segundo o fundador da empresa de segurança Crowdstrike, a estratégia das empresas é baseada em uma proteção passiva. “Imagine que construímos um castelo com paredes altas. O que está acontecendo é que nossos adversários estão construindo muros ainda maiores, com uma fração do custo. Estamos fazendo dessa forma há três décadas, mas a situação só está piorando”, disse ele ao The Verge.

Os Estados Unidos têm pleno conhecimento de que como está não pode continuar. Tanto é que recentemente o presidente Barack Obama autorizou um novo projeto para proteger o governo e empresas contra ciberataques. Ainda assim, como tem mostrado a história ao longo dos anos, dificilmente haverá um lugar 100% seguro.

O buraco é mais embaixo
O problema maior, apontado pelo site, é que softwares como Java e Flash se tornaram parte vital da Internet atual, e seus desenvolvedores não estão dando tanta atenção a atacantes quanto deveriam. Está se tornando cada vez mais rotineiro invasões a grandes empresas como Facebook, Twitter, Apple e Microsoft atualmente.

Programas antivírus também possuem a sua parcela de culpa. Segundo o diretor de inteligência de segurança da Akamai, Josh Corman, os métodos menos eficazes de segurança são os que mais dão lucro. “Se tudo o que fazemos é encher os bolsos de pessoas que têm o menor impacto, então estamos perdendo recursos. Eu não estou dizendo que não há valor nisso. Só estou dizendo que devemos olhar para a eficácia desses métodos”, disse em entrevista ao site.

O que fazer então para implementar uma proteção mais robusta e eficaz?

Segundo Alperovitch, da Crowdstrike, a tecnologia por si só não seria o suficiente. Ciberdefesas devem, sim, ter a intervenção do governo para que obtenham resultado significativo. Além disso, o especialista é a favor da administração de Obama atingir a China e outras ameaças com sanções comerciais, e ações civis ou processos criminais.

Na opinião de Forno, o governo deveria retirar infraestruturas vitais da Web e impor tarifas sobre produtos que são conhecidamente derivados de dados roubados. “Eu argumentei que precisamos construir uma comoção nacional para uma estratégia cibernética”, disse ao The Verge. “Precisamos estabelecer um compromisso semelhante ao que o país fez com o Projeto Manhattan (esforço dos EUA para construir a bomba atômica). Nós realmente temos que fazer o que é necessário.”

Fonte: idg

Publicado em Sem categoria | Com a tag , | Deixar um comentário

Falha no Google expõe fraqueza na autenticação de dois fatores

Uma falha crítica recentemente descoberta no processo de autenticação de dois fatores para acessar os muitos serviços do Google reflete os riscos que esse mecanismo apresenta quando amplamente implantado. A Duo Security reportou a vulnerabilidade nesta semana, depois de notificar a gigante e dar tempo para que ela fosse corrigida.
O processo de autenticação de dois fatores permite o acesso de determinados dispositivos às contas de usuários do Google, para que não seja necessário logar com uma senha todas as vezes que eles queiram acessar os serviços online da companhia.
Por conta do duplo processo (que inclui senha e dispositivo) ser amplamente utilizado, o Google teve que fazer algumas compensações a fim de garantir conforto ao usuário.
Essas compensações eram esperadas, dada a forma como o Google está gradualmente transformando o seu ambiente de uma coleção de aplicativos individuais (cada um com seu próprio processo de autenticação), a um sistema único que funciona em todos os seus serviços, disse o co-fundador e diretor de tecnologia da Duo Security, Jon Oberheide.
“Implantar uma única infraestrutura, uma plataforma de login único, não é uma tarefa fácil”, disse.
Senhas de acesso
Um compromisso que o Google assumiu foi a criação de uma “senhas específicas para aplicações”, ou ASPs, disse a Duo Security. A empresa foi forçada a introduzir ASPs porque nem todas as aplicações que têm acesso à informação de contas de um usuário suportam o seu esquema de autenticação de dois fatores.
Alguns exemplos dessas aplicações incluem clientes de e-mail como o Outlook, Mail (da Apple) e o Thunderbird, clientes de chat e aplicativos de calendário.
Para obter esses aplicativos, a empresa criou uma página em que os usuários poderiam ir para gerar um ASP que autenticaria a aplicação e permitiria que ela continuasse a acessar os dados do usuário. As pessoas tinham que copiar e colar a senha gerada pelo Google em seus aplicativos.
Infelizmente para os usuários, o ASP também poderia ser usado para acessar quase todas as propriedades web do Google, incluindo as configurações de conta – onde algumas modificações dariam ao cracker controle completo, disse o engenheiro de segurança da Duo Security, Adam Goodman, no blog da empresa.
Garantindo a segurança
Em 21 de fevereiro, o Google liberou uma correção para permitir que apenas as pessoas que usam o processo de verificação de dois fatores regular pudessem ter acesso às configurações de segurança sigilosas.
O problema deixou os usuários do Google vulneráveis a ataques de phishing, em que um e-mail de spam redireciona destinatários a um site para enganá-los a divulgarem suas senhas.
Além disso, as pessoas que usam as mesmas senhas em vários sites também estariam vulneráveis, já que os crackers que invadem um banco de dados de senhas em um site muitas vezes as utilizam para invadir contas de outros serviços.
Como o Google gerou um ASP difícil de ser lembrado, era altamente improvável que as pessoas o utilizariam em outros sites, disse a Duo Security. No entanto, um invasor pode criar malwares capazes de encontrar e extrair um ASP no sistema de um usuário. “Além disso, aplicativos thick-client, o consumo primário de ASPs, são notoriamente conhecidos pela verificação fraca de certificados SSL, que permitem que ASPs sejam capturados via MitM [ataques man-in-the-middle]”, disse Goodman.
Enquanto a correção do Google reforça o seu processo de segurança de dois fatores, a Duo Security recomenda ir além e restringir, tanto quanto possível, os privilégios de ASPs individuais.
No entanto, dado o ambiente complexo do Google, ASPs provavelmente sempre terão acesso a mais de um serviço. “Com a autenticação de dois fatores, é difícil de acertar”, disse Oberheide. “Até mesmo o Google, com toda sua sabedoria e habilidade, pode cometer erros.”

Fonte: Antone Gonsalves, CSO / EUA

Publicado em Sem categoria | Com a tag , | Deixar um comentário