Em memória de Giordani Rodrigues

Publicado em Sexta - 12 de Janeiro de 2007 | por Luiz Celso

Mês de Bugs da Apple acumula até agora 10 brechas no sistema Mac OS X

Uma campanha de um mês conduzida por dois pesquisadores independentes de segurança para revelar falhas de segurança em produtos da Apple até agora resultou em apenas 10 vulnerabilidades publicamente divulgadas - e diversas outras prestes a serem anunciadas.

Informações sobre exploração das falhas também foram divulgadas junto a detalhes dos códigos para comprometer o sistema, em muitos casos por ataques remotos.

As descobertas são parte do Mês de Bugs da Apple (do inglês, MoAB), lançado em 1º de janeiro pelos pesquisadores de segurança Kevin Finisterre e LMH.

O objetivo da empreitada, idêntica às campanhas Mês dos Bugs em Kernels e Mês dos Bugs em Browser em 2006, é aumentar a consciência sobre questões de segurança em produtos da Apple, de acordo com Finisterre.

(A empresa) cria comerciais alegando segurança e o usuário acha que está vestindo uma armadura, afirma Finisterre por e-mail. Na realidade, não existe falta de bugs no Mac OS X tanto do ponto de vista da plataforma como da aplicação.

Finisterre disse que enquanto apenas 10 falhas foram publicadas até agora, ele já perder a conta do número de brecha que foram descobertas como parte do MoAB. Descobrir uma abundância de bugs não foi um problema mesmo, mas nem todas são facilmente exploráveis.

De acordo com ele, diversas brechas derivam da inadequada documentação da Apple para várias Interfaces para Programação de Aplicações (do inglês, API) relacionadas a funções comumente usadas para reproduzir mensagens de erro. Diversos desenvolvedores estão usando mal as funções e isto está levando para situações de potencial risco, escreveu.

Dave Marcus, pesquisador de segurança e diretor de comunicações da McAfee Avert Labs, disse que o esforço para encontrar bugs da Apple parece estar aumentando preocupações com questões de segurança na plataforma.

Até agora, no entanto, nenhuma das brechas divulgadas teve tanto impacto no mercado, disse Marcus.

Na verdade, as únicas falhas dignas de atenção são uma afetando o Quicktime que permite execução de código arbitrário e uma brecha no Adobe que afeta diversos ambientes operacionais, incluindo o Mac OS X, disse ele. Ambas são interessantes por que afetam produtos amplamente usados, afirma.

A decisão de Finisterre e de LMH é revelar publicamente falhas antes de dar à Apple a chance de corrigi-las aumentou o risco para usuários, afirmou ele. Mas os esforços de um ex-engenheiro da Apple chamado Landon Fuller para corrigir as questões descobertas está mitigando alguns dos riscos, acrescentou.

Fuller não respondeu imediatamente aos pedidos para comentar a história, mas suas correções para as falhas estão sendo publicadas em seu site.

A própria Apple não divulgou qualquer correção para as vulnerabilidades e não discute como responderia ao movimento. Em um anúncio por e-mail, uma porta-voz da companhia disse que a Apple tem um ótimo histórico de divulgar correções para potenciais brechas de segurança antes de afetarem os usuários, não elaborou o argumento.

O anúncio também afirmou que a Apple classifica como bem-vindas sugestões para melhorar a segurança da plataforma Mac.

Esforços como o Mês de Bugs da Apple podem ser úteis para aumentar a consciência do usuário sobre problemas de segurança em plataformas como Mac OS X, disse Charles King, analista da consultoria Pund-IT.

A Apple historicamente teve menos problemas com brechas de segurança do que a plataforma Wintel, com a contestação de alguns experts de segurança, que alegam que a base da Apple é menor, afirmou King.

Um esforço concentrado para encontrar falhas em seus softwares pode forçar a Apple a prestar mais atenção à segurança - assim como a própria Microsoft teve que fazê-lo, afirmou.

Ao mesmo tempo, cuidados precisam ser tomados para que tais iniciativas não acabem expondo desnecessariamente usuários a riscos, disse King. Existe uma linha fina entre o serviço público e a publicidade descarada.
Leia mais...

Internet Explorer no seu Linux

Publicado em Sexta - 12 de Janeiro de 2007 | por Luiz Celso

Rode o navegador da Microsoft no seu sitesma operacional Linux.
Leia mais...

Especialista em segurança da informação será cargo promissor em 2007

Publicado em Quinta - 11 de Janeiro de 2007 | por Luiz Celso

Especialista em segurança da informação. Para o site FindTheRightSchool, este será um dos profissionais mais procurados pelo mercado de Tecnologia da Informação (TI) em 2007.

A valorização da função é resultado do crescente uso de serviços de mensagens instantâneas (IM, da sigla em inglês) como ferramenta de comunicação corporativa.

De acordo com a American Management Association (AMA) e o ePolice Institute, 35% dos funcionários norte-americanos usam programas de IM no local de trabalho, dos quais 50% usam softwares gratuitos baixados da internet. Apesar de a prática ser comum, apenas 31% das empresas têm algum tipo de norma para o uso desses programas.

Segundo uma pesquisa da Akonix Systems, fornecedora de serviços de IM para empresas, um terço dos usuários já sofreram alguma ameaça via mensagem instantânea no trabalho. Foi constatado pela companhia que, em 2006, houve 15% mais ataques através de IM entre seus clientes que no ano anterior.

A expectativa é de que o número de novas pragas (como programas espiões, worms, vírus e outros códigos maliciosos) continue a crescer fortemente. Entre 2005 e 2006, o avanço foi de 92%, e para este ano, a perspectiva é a mesma.

Dessa forma, a preocupação das empresas deve se intensificar nesse sentido e impulsionar a busca por profissionais qualificados para garantir segurança no uso dos programas de IM.

De acordo com o Bureau of Labor Statistics (Agência de Estatísticas de Trabalho), a demanda por empregos de TI deve crescer mais rapidamente que a média, em relação a outras áreas, até o ano de 2014.
Leia mais...

Adobe divulga correção para falha crítica no Adobe Reader e Acrobat

Publicado em Quinta - 11 de Janeiro de 2007 | por Luiz Celso

A Adobe Systems divulgou uma atualização de segurança para corrigir um vulnerabilidade de script em múltiplos sites nas versões 7.0.8 e anteriores dos softwares Adobe Reader e Acrobat.

Nesta terça-feira (09/01), a companhia também publicou um boletim de segurança detalhando novidades no lado dos servidores para que donos de sites podem usar para prevenir que páginas sejam seqüestradas usando o vulnerabilidades, divulgada na semana passada.

As atualizações são divulgadas menos de uma semana após duas pesquisadores de segurança na Itália descobrirem uma falha no Adobe Reader chamada Open Parameters que permitiria a crackers injetar código arbitrário em JavaScritp em um navegador.

A descoberta da falha causou uma preocupação generalizada pela facilidade com que poderia ser explorada e por permitir que qualquer site hospedando arquivos PDF fosse usado para conduzir o ataque.

Em resposta às preocupações, a Adobe na semana passada sugeriu que todos os usuários atualizassem para a versão 8 do adobe Reader e Acrobat, já que ambos não eram afetados pela falha. Na ocasião, a companhia também disse que divulgaria patchs corrigindo a questão para usuários que queriam continuar usando versões antigas dos dois programas.

A atualização de segurança da Adobe também corrigiu vulnerabilidades identificadas nas verões 7.0.8 e anteriores do Reader e Acrobat, disse a companhia.

As brechas, assinaladas como críticas pela Adobe, permitiam que crackers tomassem controle de um sistema afetado.

Uma maneira de prevenir o Adobe Reader e o Acrobat Plugin de ser atingido por códigos em JavaScritp a partir do navegador é forçar arquivos PDFs a abrir fora do programa, afirma a companhia.

Outra maneira de minimizar o risco é considerar a criação de um código no servidor (ColdFusion, Java, PHP, ASP.NET, etc.) para ler o arquivo e devolvê-lo como parte da resposta, notou.

Passos que o usuário pode seguir em ambos os processos foram detalhados no boletim de segurança divulgado nesta terça.
Leia mais...

Zone-H vítima do seu próprio veneno

Publicado em Segunda - 08 de Janeiro de 2007 | por Luiz Celso

O site de mirror deface mais conhecido do mundo foi invadido por hackers da Arábia Saudita nesse dezembro passado.
Leia mais...

Apple e Microsoft duelam pela 'casa digital' do futuro

Publicado em Sábado - 06 de Janeiro de 2007 | por Luiz Celso

As gigantes rivais do mundo da tecnologia, Microsoft e Apple, vão mostrar suas visões do futuro digital em dois eventos diferentes nos próximos dias. No domingo, o fundador da Microsoft, Bill Gates, vai inaugurar a feira de tecnologias Consumer Eletronics Show (CES, na sigla em inglês), com uma palestra sobre o papel da sua empresa no futuro do mundo interligado.

A casa digital e a chegada da era de alta definição serão os principais temas da CES, de acordo com especialistas. Na terça-feira, em São Francisco, o diretor da Apple, Steve Jobs, vai falar aos fãs da marca.

Duelo

Aparelhos que transportam conteúdos digitais pela casa ¿ de computador para computador, ou para TV, hi-fi e outros produtos ¿ já estão disponíveis há alguns anos, mas a batalha pela sala de estar digital ainda está sendo travada. Empresas como a Netgear, D-Link, HP e Intel devem mostrar novos produtos na CES que facilitarão a montagem de uma casa digital e a troca de arquivos como filmes e músicas.

Essas empresas se aliaram à visão da Microsoft de conectividade. A multinacional tem feito parcerias em diversas partes do mundo para levar conteúdo de vídeo pela internet e para usar uma plataforma para compartilhamento de conteúdo com o novo sistema operacional da Microsoft, o Vista. Essa deve ser a despedida de Bill Gates da CES. Espero uma boa dose de nostalgia nessa noite, afirma o especialista Michael Gartenberg, diretor da consultoria em tecnologia Jupiter. A Apple não estará presente, mas vai projetar uma enorme sombra na feira.

É possível que acontece uma fuga em massa na noite de segunda-feira das pessoas que vão acompanhar o discurso de Jobs em São Francisco. A Apple deixou de ser apenas outra empresa de computadores para se tornar uma parte importante da indústria de consumo de eletrônicos, diz Gartenberg.

Espera-se que a Apple revele novos detalhes da sua tecnologia iTV, que compartilha vídeo e outros conteúdos digitais pela casa. A casa interconectada é uma tecnologia muito complicada ¿ você precisa de uma infra-estrutura de rede no lugar certo, de aparelhos que possam se ligar nessa estrutura e de conteúdo, afirma o especialista em tecnologias, Sean Wargo.

DVD de última geração

Mais de 140 mil pessoas devem comparecer à CES. Haverá muitas novidades sobre a casa digital, especialmente para pessoas com problemas para formar e administrar grandes acervos de vídeo, música e fotos, afirma Gartenberg. Uma das novidades da feira deve ser o DVD de última geração. Duas tecnologias incompatíveis de alta definição rivalizam na feira. De um lado, está o Blu-ray, desenvolvido pela Sony. Do outro, o HD-DVD, defendido por Toshiba e Microsoft. Quem visitar a feira vai ver sinais de qual formato está mais desenvolvido e se ambos podem encontrar uma forma de coexistir, diz Wargo.

Há informações de que a empresa coreana LG pretende lançar um aparelho de DVD compatível com as duas tecnologias. Outra novidade importante na feira, este ano, é o impacto da televisão de alta definição no mercado. Televisão de alta definição está liderando o crescimento da indústria agora. Nos Estados Unidos estamos passando por um enorme ciclo de atualização de tecnologia, afirma Wargo, que é um dos organizadores da CES. Estamos vendo uma quantidade inédita de televisões sendo vendidas no varejo agora. Isso está levando o mercado para novos picos. É agora a maior categoria de produtos.

O embate do ano passado entre Yahoo e Google também deve estar presente na edição da CES de 2007. Estamos vendo duas frentes em formação ¿ uma de hardware e de sistemas operacionais para controlar as novas tecnologias e outra de conteúdo para alimentar essa tecnologia, afirma Wargo.

Empresas de conteúdo, como as americanas Disney e CBS, também farão palestras na feira.
Leia mais...

Roubando Cookies: Estilo AJAX

Publicado em Quinta - 04 de Janeiro de 2007 | por Luiz Celso

Artigo que explica passo-a-passo a nova técnica de roubo de cookies, por meio de AJAX.
Leia mais...

Liminar da Justiça pede que YouTube saia do ar no Brasil por vídeos de Cicarelli

Publicado em Quinta - 04 de Janeiro de 2007 | por Luiz Celso

Uma liminar do Tribunal de Justiça de São Paulo pode tirar do ar o site de compartilhamento de vídeos YouTube no Brasil.

A decisão do desembargador Ênio Santarelli Zuliani seria uma punição pelo site não ter respeitado a decisão da Justiça tirando do ar os vídeos da modelo Daniella Cicarelli com o namorado em uma praia na Espanha.

As supostas cenas de sexo na praia foram divulgadas no YouTube e ganharam a rede, levando o casal a mover duas ações na Justiça - uma pedindo indenização por danos morais, contra as Organizações Globo, o Internet Group (iG) e o YouTube; e a outra pedindo a retirada dos vídeos do ar.

O Tribunal de Justiça de São Paulo concedeu a liminar obrigando os sites a retirarem as cenas do ar, sob pena de multa de 250 mil reais. Segundo Rubens Decossau Tilkian, que representa Tato, a multa já está sendo executada, mas o pedido de bloqueio ao site é uma forma de fazer valer a decisão da Justiça brasileira, que estaria sendo negligenciada.

“Eles não têm um sistema eficaz para evitar que o vídeo volte a ser publicado”, argumenta o advogado. Segundo Tilkian, as empresas que detém os canais de comunicação que permiotem que o conteúdo chegue aos internautas brasileiros é que serão responsáveis por barrar o acesso ao YouTube no Brasil.

O bloqueio ao site enfrentaria dificuldades técnicas, na opinião do procurador do Ministério Público Federal em São Paulo, Sérgio Suiama. “É tecnicamente inviável. A Justiça vai intimar os provedores de acesso de todo o País para bloquear o conteúdo?”, questiona o procurador.

Além disso, lembra Suiama, volta à pauta a questão de quem responde pelo site no País, como nos casos de quebra de sigilo na comunidade virtual Orkut (que, como o YouTube, pertence ao Google): a matriz ou a subsidiária?

O Ministério Público Federal entende que o Google Brasil deveria responder, mas o Google Inc. insiste que todas as solicitações devem ser enviadas à matriz, onde estão hospedados os servidores dos serviços.

No caso da ação movida por Tato e Cicarelli, o réu é o YouTube Inc., portanto ainda não está claro quem responderá pela ação no País.

Procurada pela redação do IDG Now!, a assessoria de imprensa do Google no Brasil afirmou que, por enquanto, a companhia não responde a solicitações ligadas ao YouTube.
Leia mais...

Com imagem negativa e sem comprador, BenQ Mobile é liquidada

Publicado em Quarta - 03 de Janeiro de 2007 | por Luiz Celso

Após três meses em processo de concordata e sem conseguir um comprador, a BenQ oficializou no dia 1º de janeiro a liquidação da sua unidade móvel, a BenQ Mobile, resultado da aquisição da divisão de celulares da Siemens em junho de 2005. Com problemas financeiros, a empresa falhou em achar um comprador para resolver a sua situação, segundo informações do administrador da falência da companhia. Vendas em queda livre e uma marca devastada afastam potenciais investidores, justificou o porta-voz.

“A maior preocupação dos investidores está em saber se podem gerar vendas suficientes tendo em conta os procedimentos de falência e a massiva perda de imagem das marcas da BenQ Mobile e da BenQ Siemens”, afirma Martin Prager, responsável pela falência da empresa, em uma coletiva de imprensa em Munique, nesta quarta-feira (03/01).

Segundo ele, as vendas no quarto trimestre do ano passado cariam para 51 milhões de euros (mais de 143,8 milhões de reais), uma variação negativa muito grande perante a expectativa inicial de 391 milhões de euros (mais de 1,1 bilhão de reais).

O advogado se reuniu com mais de 100 companhias, conduzindo “extensivas negociações” com 31 delas. Ainda assim, todas essas desistiram de adquirir a empresa antes do prazo final da falência, marcado para 31 de dezembro de 2006. “Nenhum investidor deu um lance desde essa data”, confirmou Prager.

Ele acrescenta: “A marca BenQ Mobile teve tanto desgaste que, de fato, a maior parte dos potenciais investidores mostrou interesse apenas na idéia inicial de converter a manufatura em um designer de celulares para outras empresas”.

Assim, na prática, a empresa produziria telefones em esquema de OEM com operadoras de telefonia, empresas de marketing e outras fabricantes. A BenQ Mobile atuaria com sua experiência nas áreas de mecânica, materiais e miniaturização para desenvolver e desenhar novos aparelhos que atendam requerimentos específicos dos parceiros.

“Aparentemente, esse modelo ainda tem uma chance. Mas, no final, os investidores precisam decidir por eles mesmos quanto risco eles estão dispostos a correr”, arremata Prager.

O procedimento de liquidação, no entanto, pode criar uma situação mais interessante para potencias investidores.

Antes do prazo final de 31 de dezembro, os potencias compradores teriam que levar a companhia inteira e sua força de trabalho. Agora, apenas uma parte da empresa pode ser comprada, sem a obrigação de manter os funcionários.

A BenQ Mobile tem uma planta principal em Munique e duas outras menores em Bocholt e Kamp-Lintfort. As fábricas, que pertenciam à Siemens, já demitiram 2 mil pessoas, mas ainda restam mil funcionários.
Leia mais...

Falha no QuickTime é a primeira do 'Month of Apple Bugs'

Publicado em Quarta - 03 de Janeiro de 2007 | por Luiz Celso

A iniciativa dos pesquisadores de segurança da informação LMH e Kevin Finisterre de liberar uma falha diária no “Month of Apple Bugs” (Mês das Falhas da Apple) já teve início. A primeira brecha revelada, a “MOAB-01-01-2007”, atinge o QuickTime 7.1.3 no que diz respeito à habilidade do tocador de lidar com hyperlinks do tipo Real Time Streaming Protocol (rtsp).

“Usando tanto HTML, quanto Javascript ou um arquivo QTL, um fraudador pode causar um buffer overflow (ataque que direciona mais acessos do que a solução pode suportar)”, afirmam os programadores. Eles complementam: “A exploração dessa brecha é trivial”.

O problema afeta a versão 7.1.3 do QuickTime, que é embarcada atualmente tanto no Mac OS X quanto no Microsoft Windows. A sugestão da dupla para evitar o problema é desautorizar o rtsp:// URL no programa, desinstalar o QuickTime ou “simplesmente conviver com a sensação de que se é uma vítima potencial de um ataque arrasador”.
Leia mais...