Tecnologia – O anti-virus acidental contra o ransomware

Como descoberta acidental interrompeu ‘sequestro’ de computadores em grandes empresas ao redor do mundo

WannaCry
Tela de computadores infectados pedia ‘resgate’ para reaver documentos – Direito de imagem WEBROOT

Um pesquisador na área de segurança da informação disse à BBC como ele acidentalmente interrompeu a contaminação de centenas de organizações no Reino Unido e ao redor do mundo na sexta-feira.[ad name=”Retangulo – Anuncios – Duplo”]

Foi uma aparente campanha de ransomware – em que computadores são infectados com um vírus que codifica e “sequestra” os arquivos. Os invasores, então, pedem um “resgate”: ameaçam destruir (ou tornar públicos) os arquivos caso não recebam dinheiro.

Conhecido pelo apelido com que opera online, MalwareTech, o pesquisador estava analisado o código que fazia funcionar o vírus responsável pelo ataque.

O pesquisador percebeu que o programa tentava contactar um endereço de internet incomum (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), que não estava registrado.

MalwareTech, então, gastou o equivalente a R$ 35 reais para “comprar” endereço. Com isso ele, conseguiria analisar o comportamente do vírus.

Porém, ele depois ele percebeu que a operação de registro interrompeu o processo do programa de se propagar.

“Foi algo acidental. Passei a noite inteira investigando”.

O que aconteceu?

Originalmente, especulou-se que quem está por trás do vírus teria incluído um “botão de autodestruição”. Mas Malware acredita que se tratava de um mecanismo para saber se o programa estava sendo monitorado por pesquisadores da área de segurança da informação no que se chama de “máquina virtual” – uma espécie de ambiente de quarentena para vírus.

Um computador real não poderia acessar iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, mas uma “máquina virtual” conseguiria.

“Isso fez com que o programa parasse para evitar análises externas”, disse MalwareTech.

“Quando registrei o site, isso fez com que todas as ‘infecções’ ao redor do mundo se desativassem por acreditar que estavam em uma máquina virtual. Sem querer, impedimos a proliferação do vírus”.

O vírus foi derrotado?

Isso não significa que a ameaça foi afastada: arquivos “danificados” pelo vírus ainda podem ser usados para chantagear seus donos.

E analistas de segurança alertam que novas variações do programa que ignorem o “botão” vão aparecer.

“Conseguimos parar uma versão, mas não seremos capazes de parar a próximas. Há muito dinheiro envolvido (no cybercrime) e não é preciso muito esforço para eles (os programadores) muderam o código e começarem tudo de novo”.

[ad name=”Retangulo – Anuncios – Esquerda”]O que se sabe

O ataque cibernético de grandes proporções atingiu diversas empresas e organizações em 99 países, afetando até o serviço de saúde do Reino Unido.

Há relatos de computadores infectados em EUA, China, Rússia, Espanha e Itália, o que leva especialistas em segurança a acreditar em ação coordenada.

Uma análise da empresa de antivírus Avast identificou um “enorme pico” de ransomwares pelo vírus WanaCrypt0r 2.0 (ou WCry).

“Foram mais de 57 mil infecções até agora”, disse a empresa em seu blog na tarde de sexta-feira.

No Reino Unido, houve significativo impacto sobre os arquivos digitais do NHS, equivalente ao SUS britânico. Dados de pacientes foram criptografados pelos invasores e se tornaram inacessíveis. Até ambulâncias e clínicas médicas foram afetadas.

Nos computadores invadidos, uma tela dizia “ops, seus arquivos foram codificados” e pedia pagamento de US$ 600 (cerca de R$ 1,9 mil) em bitcoins (moeda digital) para recuperá-los.

“Não é um ataque inédito, mas ele se aproveita de falhas no sistema operacional para executar um comando no computador (infectado)”, diz à BBC Brasil Fernando Amatte, especialista da CIPHER, empresa de cibersegurança.

“E ele se espalha sozinho: ao entrar em uma rede, (o malware) procura outras máquinas da mesma rede para infectá-las, sem a necessidade de interação dos usuários.”

mapa digital
Organizações por todo o mundo confirmaram ter sofrido impactos do ataque – Direito de imagem GETTY IMAGES

Outra grande empresa infectada foi a espanhola Telefônica, que disse em comunicado estar ciente de um “incidente de cibersegurança”. Segundo a empresa, clientes e serviços não foram afetados, apenas a rede interna.

Na Itália, um usuário compartilhou imagens de um laboratório de informática universitário aparentemente infectado pelo mesmo programa.

Nos EUA, a empresa de logística FedEx disse que, “assim como outras empresas, está vivenciando interferência com alguns de nossos sistemas baseados em Windows, por culpa de um malware (software malicioso). Faremos correções assim que possível”.

Ameaça crescente

Os ransomwares estão se tornando uma das mais importantes ameaças cibernéticas da atualidade.

“Esses ataques têm crescido justamente porque os criminosos veem nele uma possibilidade de ganho fácil, já que bitcoins são uma moeda não rastreável”, diz Fernando Amatte.

E o ataque desta sexta se destaca. “Foi muito grande, impactando organizações pela Europa em uma escala que nunca havia visto”, agrega à BBC Kevin Beaumont, também especialista em segurança cibernética.

Analistas apontam que o ataque explorou uma vulnerabilidade que havia sido divulgada por um grupo que se autointitula The Shadow Brokers. Esse grupo recentemente declarou ter roubado ferramentas digitais da NSA, a agência nacional de segurança dos EUA.

A empresa Microsoft havia conseguido criar proteções contra a invasão, mas os hackers parecem ter tirado proveito de redes de computadores que ainda não haviam atualizado seus sistemas.

Segundo especialistas, a proteção contra ransomwares passa por medidas básicas, como evitar clicar em links suspeitos e fazer cópia de arquivos importantes. Mas, em casos como o desta sexta, em que os usuários foram afetados sem nem mesmo clicar em links do tipo, Amatte diz que a precaução deve ser maior: manter os sistemas operacionais devidamente atualizados com os updates de segurança.

E adianta pagar o resgate? “Tenho clientes que foram bem-sucedidos em recuperar seus arquivos ao pagar o resgate e tenho clientes que não receberam os arquivos de volta. Por se tratar de criminosos, é difícil saber o que eles pensam. Existe a chance de não se conseguir recuperar.”

Snowden e Criptografia no WhatsApp

Como funciona o app ‘ultrasseguro’ de mensagens usado por Snowden

SignalO aplicativo foi criado por um grupo independente de desenvolvedores de software – Direito de imagemGETTY IMAGES

Segurança e privacidade são questões que preocupam cada vez mais os usuários de serviços de mensagens instantâneas em todo o mundo.

[ad name=”Retangulo – Anuncios – Esquerda”]O WhatsApp, o mais popular deles, virou alvo de questionamentos depois de ter sido comprado pelo Facebook e mudado seus termos de uso, permitindo o compartilhamento de alguns dados com a rede social criada por Mark Zuckerberg.

Mas há outras opções de apps de envio completamente seguro de mensagens.

Um deles é o Signal Private Messenger, um serviço grátis disponível para Android e iOS e usado pelo ex-analista da CIA Edward Snowden, que ficou famoso – e virou persona non grata nos EUA – após tornar públicos detalhes sobre programas de vigilância do governo americano.

Confira a seguir como funciona o aplicativo – e por que ele é considerado tão seguro.

Completamente criptografado

Para se registrar no Signal, basta um número de celular – sem necessidade de nome de usuário ou e-mail.

O uso do app é muito parecido com o de outras ferramentas de mensagens instantâneas: funciona com janelas de chat, permite a criação de grupos e o uso de emojis. Também é possível acessá-lo por meio de sua extensão para o Google Chrome, que continua sendo uma opção segura.

Mas o mais importante é que o programa é criptografado de extremo a extremo.

O WhatsApp também é, mas a maior diferença é que as conversas são protegidas não só em relação a terceiros, mas ao próprio serviço. Assim, apenas quem envia e seu destinatário podem ler a mensagem.

Edward Snowden
Segundo o ex-analista de inteligência Edward Snowden, Signal é o app de mensagens mais seguro – Direito de imagemREUTERS

O aplicativo foi criado por um grupo independente de desenvolvedores de software chamado Open Whisper Systems. O fundador do grupo é o hacker Moxie Marlinspike.

O hoje empresário do Vale do Silício se considera um ciberpunk e não parece se encaixar no perfil clássico dos empresários do RSA (algoritmo de criptografia de dados) e de outros acadêmicos e especialistas do mundo criptografado.

A empresa de Marlinspike tem como base de seu negócio a publicidade. É por isso que não vende os dados de seus usuários a terceiros – como faz o Facebook.

Moxie Marlinspike
O hacker Moxie Marlinspike fundou o grupo Open Whisper System
Direito de imagemVIMEO

“Não podemos ouvir suas conversas nem ver suas mensagens. O Signal é inteiramente criptografado”, afirma Marlinspike no blog da companhia.

Também é possível configurar o aplicativo de modo a impossibilitar a captura de tela. Além disso, é possível determinar uma senha para as conversas mais confidenciais, o que no WhatsApp só é possível por meio de aplicativos externos.

Uma de suas últimas novidades são as mensagens que “desaparecem”, no melhor estilo Snapchat, ou com um cronômetro.

Signal
Para se registrar no Signal, basta um número de celular – Direito de imagemGETTY IMAGES

Em um estudo publicado recentemente, a Anistia Internacional recomendou os aplicativos de mensagem com criptografia completa.

A organização colocou em primeiro lugar os fornecidos pelo Facebook (Messenger e WhatsApp), seguidas dos da Apple (iMessage e FaceTime) e o Telegram, mas não incluiu o Signal entre as marcas analisadas.

Além de desenvolver o app, Marlinspike e sua equipe criaram um protocolo criptográfico, o Protocolo Signal. Segundo eles, outros serviços de mensagem utilizam esse sistema.

“(O Protocolo Signal) é tão prestigiado que WhatsApp, Facebook e Google o usam para suas criptografias”, disse o grupo, que diz atuar em defesa dos direitos humanos.

O mais recomendado (mas não o mais usado)

O apoio considerável que o Signal tem recebido por parte de especialistas de segurança no mundo todo chama atenção.

“Uso o Sinal todos dos dias (Spoiler: o FBI já sabe)”, disse Snowden no Twitter.

Tuíte de Edward Snowden“Uso o Signal todos dos dias (Spoiler: o FBI já sabe)”, disse Snowden no Twitter

A documentarista americana Laura Poitras, conhecida por seu trabalho na Guerra do Iraque – e por revelar os segredos trazidos à tona por Snowden – também defendeu o uso do Signal e o definiu como “a ferramenta de criptografia mais escalável (capaz de se adaptar sem perder a qualidade)”.

Outros especialistas que o recomendam são os criptógrafos Bruce Schneier e Matthew D. Green, do Departamento de Ciência da Computação da Universidade de John Hopkins (EUA).

Até mesmo os membros do Partido Democrata dos Estados Unidos recomendaram o uso do Signal depois do recente vazamento de e-mails da equipe de Hillary Clinton por parte do WikiLeaks.

Whatsapp
Um bilhão de pessoas no mundo usam o WhatsApp –  – Direito de imagemGETTY IMAGES

Mas se o serviço quer superar os um bilhão de usuários do WhatsApp, a situação está complicada. Marlinspike – que raramente concede entrevistas – disse ao site The Intercept que não publica estatísticas sobre seu número de usuários.

Mas, segundo as lojas Android e Google Play, o app foi baixado entre um e cinco milhões de vezes – a Apple não divulgou dados.

Isso não significa que todos que fizeram o download do aplicativo necessariamente o usem, já que não basta baixá-lo – é preciso convencer os contatos com quem se quer conversar a usá-lo também.

“Naturalmente as pessoas tendem a usar a plataforma na qual está a maioria de seus amigos e familiares”, explica a Anistia Internacional. “Para a maioria das pessoas, o WhatsApp é uma alternativa suficientemente boa por ter uma criptografia segura.”

Nem todos estão felizes com o WhatsApp, porém. Na semana passada, a autoridade de privacidade de dados da União Europeia pediu ao app que pare de compartilhar dados de seus usuários com o Facebook.
BBC

Caso WhatsApp no Brasil é faceta piorada de conflito global sobre criptografia

Whatsapp, Blog do MesquitaBloqueado por três vezes, WhatsApp expõe questões relativas à privacidade e problemas judiciais.

Empresas de tecnologia, privacidade, comunicação e investigações policiais formam um conjunto globalmente conflituoso. Até aí é normal que aqui no Brasil, como tem acontecido em outros lugares do mundo, juízes peçam para ter acesso a dados trocados em aplicativos de mensagens.[ad name=”Retangulo – Anuncios – Direita”]

Contudo, o que tem tornado o país singular na disputa, avaliam especialistas ouvidos pelo EL PAÍS, é a forma recorrente com que magistrados de primeira instância têm conseguido bloquear ferramentas de comunicação, mais especificamente o WhatsApp.

Durou pouco, mas a decisão de uma magistrada do Rio de Janeiro nesta terça-feira, derrubada em pouco menos de quatro horas pelo presidente do Supremo Tribunal Federal (STF), Ricardo Lewandowski, corresponde ao terceiro bloqueio do aplicativo no Brasil em menos de um ano.

“O que está acontecendo no país não é normal, esse tipo de interferência na rede causa preocupação. Levando em conta que o Brasil tem mais de 15 mil juízes, isso pode se tornar epidêmico”, comenta Ronaldo Lemos, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS-RJ). Para ele, o bloqueio significa uma interferência na estrutura da rede que vai contra o Marco Civil da Internet, lei que regula o uso da internet no país. “O que se pode fazer são interferências na camada do conteúdo, como remover publicações de ódio em redes sociais, mas não bloquear um serviço, mesmo porque hoje o WhatsApp faz parte da infraestrutura do país, assim como a rede de energia ou telefonia”, diz.

No cerne da questão está a confidencialidade e a privacidade de usuários. Logo após o atentado de San Bernardino, nos Estados Unidos, em que um homem matou mais de uma dezena de pessoas, o FBI pediu para que a Apple possibilitasse o acesso de investigadores ao celular do atirador. A empresa, apoiada por outras gigantes da tecnologia, como Google e Microsoft, recusou-se.

A argumentação se baseava no fato de que ao fazer isso, ela estaria fragilizando a segurança dos celulares de todos os outros usuários. Com a diferença de que apesar do entrevero nenhum juiz tentou bloquear os serviços da Apple, o caso faz parte do mesmo conflito global que a Justiça brasileira e o Whatsapp estão inseridos. A palavra chave para entender a questão é criptografia, que não é nada mais do que cifrar dados.

Para Lemos, até o caso de Edward Snowden – um analista de sistemas responsável por tornar públicos uma série de detalhes do sistema de vigilância global dos Estados Unidos, a NSA – a regra em quase 100% das vezes era a falta de privacidade na internet. “Depois dele, as empresas começaram a se preocupar com isso, com o fato de que nossas informações estão todas na internet para qualquer corporação ou pessoa que busque ter acesso a elas.

A criptografia, desse modo, nos protege até mesmo das próprias gigantes de tecnologia”, diz. O WhatsApp sempre alegou que não guardava ou fazia registros das mensagens trocadas pelo aplicativo, mas desde abril passou a adotar um sistema de criptografia em que só as pessoas envolvidas na conversa podem ter acesso ao conteúdo trocado. Por isso, tem dito repetidamente que não tem sequer meios de fornecer as informações pedidas pela Justiça. Além do Brasil, já houve críticas de outros países ao mecanismo, como no Reino Unido, e em países como o Irã e a Arábia Saudita.

“Não conheço o sistema criptográfico adotado pelo app, mas se ele é eficaz, eles simplesmente não têm acesso à chave de decodificação. A única solução seria proibir a criptografia no Brasil e, de fato, isso está sendo discutido em alguns lugares, como a Inglaterra, mas é algo que envolve quebra de privacidade e que não poderia ser resolvido a partir de apenas uma decisão judicial”, opina Carlos Afonso, que fez parte da criação do Comitê Gestor da Internet, entidade multissetorial criada em 1995 para lidar com questões relativas à internet.

À época do atentado de San Bernardino, as empresas de tecnologia reconheceram a possibilidade de debater a questão, mas disseram que a decisão não poderia ser monocrática e sim parte de um debate público.

“O que vejo hoje é que as pessoas endossam completamente, mesmo que sem saber, a criptografia. Afinal, no WhatsApp trocamos informações como número de CPF, conta corrente. A quebra da criptografia significa que essas informações privadas poderiam ficar acessíveis”, exemplifica Lemos.

Para Afonso, as empresas também não podem ser responsabilizadas pelo comportamento de seus usuários. “Vamos supor que empresas de tecnologia fossem proibidas de usar a criptografia nos serviços que oferecem. Isso não impediria que duas pessoas trocando e-mails cifrassem suas mensagens. E aí nesse caso a quem a Justiça recorreria? Claramente ela não poderia responsabilizar a empresa pelo comportamento de seus clientes, como tem feito”, argumenta Afonso.

Sobre a questão, o ministro interino da Justiça, Alexandre de Moraes, disse que sua pasta está trabalhando em uma proposta para deixar mais simples o conflito que envolve a criptografia. Segundo ele, é preciso que empresas estrangeiras que lidam com troca de dados entre usuários tenham sede no Brasil e que forneçam, quando necessários, dados requisitados por autoridades policiais.

Moraes toca também na questão referente à obrigação das gigantes de tecnologia de se submeter a leis locais. No caso do WhatsApp, o principal argumento é o mecanismo da criptografia, mas eles têm dito também que o app com 100 milhões de usuários no país não tem sede no Brasil e, portanto, se rege sob a legislação americana. No passado, o Google também se negou a fornecer informações à Justiça brasileira afirmando que os dados do serviço de email Gmail, por exemplo, ficam armazenados nos EUA.

“O que se pode fazer são interferências na camada do conteúdo, como remover publicações de ódio em redes sociais, mas não bloquear um serviço, mesmo porque hoje o WhatsApp faz parte da infraestrutura do país, assim como a rede de energia ou telefonia”

Para Lemos, contudo, uma proposta nesses moldes tornaria tudo ainda mais complexo. “Pelo que entendi, a lei iria aumentar os requisitos para que empresas de tecnologia sejam instaladas no Brasil para além do que é exigido em outros países. Isso vai ter um efeito contrário do que o esperado, porque essas empresas vão simplesmente fugir do Brasil e continuar oferecendo os serviços para os brasileiros, como é o caso da rede SnapChat, que não tem escritório aqui”, comenta.

Para ele, uma medida como a proposta tornaria a relação com as empresas mais difícil, criando um ambiente negativo para o país na área de inovação. Enquanto as questões de confidencialidade e privacidade são alvo de discussões aqui e em outros países, o importante, acreditam os especialistas, é que o aplicativo não seja mais bloqueado, que milhares de usuários não sejam mais penalizados.

A decisão de hoje do Supremo, que classificou a medida do bloqueio como desproporcional, uma vez que o WhatsApp é usado de forma abrangente como meio de comunicação, é um indicativo de que isso pode estar perto de acontecer. Não à toa, é a primeira vez que o tribunal se pronuncia sobre a questão.

Segundo Lemos, o que é necessário para que os bloqueios deixem de acontecer é que isso se torne uma jurisdição. “Já é uma violação do Marco Civil, do artigo 13 da Convenção Americana de Direitos Humanos e de uma resolução recente do Conselho de Direitos Humanos da ONU que condena a prática de bloqueios de sites, mas com uma decisão definitiva do STF, juízes de primeira instância não poderão mais interferir no modo com que 100 milhões de usuários se comunicam no Brasil”, diz.
André de Oliveira/ElPais

Cinco alternativas ao Whatsapp que sempre usaram criptografia

O serviço de troca de mensagens mais usado do mundo obteve boa publicidade com o anúncio de que passaria a usar criptografia de ponta a ponta. Mas nem de longe ele foi o primeiro. E não é o mais seguro.

Depois que o serviço de troca de mensagens Whatsapp passou a usar criptografia, um usuário mais desavisado pode até pensar que se trata de algo novo no mundo da tecnologia da informação.

Só que não: a criptografia é usada desde os primórdios da computação, e antes do Whatsapp já havia outros serviços de troca de mensagem mais preocupados com a segurança das informações transmitidas por seus usuários.[ad name=”Retangulo – Anuncios – Direita”]

A decisão do Whatsapp parece se inserir num contexto maior: o da batalha entre autoridades americanas e gigantes da tecnologia da informação em torno da privacidade dos usuários.

O ponto alto dessa disputa foi o recente caso envolvendo a Apple e o FBI, que exigia que a empresa de tecnologia desbloqueasse o celular de Syed Rizwan Farook, um dos autores do recente atentado em San Bernardino, na Califórnia.

A Apple se negou a fazê-lo, colocando em primeiro lugar a privacidade do usuário, e foi elogiada por outras gigantes do setor, como Google e Twitter, e também pelo Facebook, a quem pertence o Whatsapp. (Com a ajuda de um prestador de serviços externo, o FBI enfim obteve acesso aos dados no smartphone de Farook, encerrando a querela com a Apple.)

A criptografia de ponta a ponta usada pelo Whatsapp significa que apenas as duas pessoas envolvidas na comunicação podem ter acesso ao conteúdo dela. Mesmo chegando tarde, trata-se de uma boa notícia para os usuários do serviço. Ainda assim, vale lembrar alguns que já usavam criptografia bem antes do Whatsapp.

Wickr

Fundada em 2011, a empresa é uma das pioneiras entre os apps que usam criptografia de ponta a ponta e com mensagens autodestrutivas. A ONG americana Fundação Fronteira Eletrônica (EFF, na sigla em inglês) comparou diversos aplicativos de troca de textos e atribuiu ao Wickr nota 5 de no máximo 7 no quesito segurança de mensagens.

A Wickr defende que a privacidade de dados é um direito humano universal e, por isso, emprega uma criptografia multicamada, com base no algoritmo AES256, que é padrão na indústria.

Telegram

Os responsáveis pelos atentados terroristas de 13 de Novembro em Paris teriam usado esse serviço de mensagens instantâneas. No tocante ao serviço básico, a EFF dá nota 4 de no máximo 7 ao Telegram. Já os chamados chats secretos receberam a maior nota: 7. O aplicativo usa duas camadas de segurança: a criptografia servidor-cliente para os chamados “chats na nuvem” (que permitem armazenamento na “nuvem”) e a criptografia cliente-cliente para os chats secretos.

Os chats secretos do Telegram utilizam criptografia de ponta a ponta, não deixam rastros nos servidores da empresa, possuem mensagens autodestrutivas e não permitem encaminhamento para outros usuários. A única coisa que os chats secretos não permitem é o armazenamento na nuvem, ou seja, as mensagens apenas existem nos celulares dos usuários.

A criptografia do Telegram é baseada no algoritmo AES256, no RSA 2048 e na troca de chaves seguras Diffie-Hellman.

iMessage

A reputação da Apple como defensora da criptografia e da privacidade vem de longa data. Em 2013, um relatório interno da DEA, agência antidrogas dos EUA, afirmava ser impossível interceptar mensagens do aplicativo iMessage entre dois aparelhos da Apple.

O iMessage, serviço de mensagens instantâneas da Apple, foi apresentado em 2011 com criptografia de ponta a ponta. Tanto ele como o serviço de chat e vídeo Facetime receberam nota 5 de 7 na tabela da EFF.

Signal

O Signal, da Open Whisper Systems, é um aplicativo de código aberto que oferece chamadas de voz e mensagens instantâneas criptografadas tanto para aparelhos Android como iOS. Em 2015, a Whatsapp fechou uma parceria com Open Whisper Systems para utilizar o protocolo do Signal.

A criptografia de voz original do Signal se baseia no protocolo de troca de chaves seguras ZRTP (Protocolo de Transporte em Tempo Real Zimmermann), um método que protege contra ataquesman-in-the-middle (MiTM, literalmente homem no meio, em referência ao ato de grampear um telefonema). O Signal recebeu a nota máxima da EFF: 7 de 7.

Silent Phone

O aplicativo de segurança Silent Phone se diferencia por oferecer tanto o software quanto o hardware. Segundo o fabricante, o telefone Blackphone é o primeiro celular do mundo que foi desenvolvido como um smartphone privado.

Da mesma forma que o Signal, o Silent utiliza a tecnologia ZRTP para a proteção contra a espionagem e chamadas de voz seguras pela internet. O protocolo ZRTP foi desenvolvido por Phil Zimmermann. No início da década de 1990, o inventor americano desenvolveu o Pretty Good Privacy (PGP) ou “privacidade muito boa”, o software de criptografia de e-mails mais empregado no mundo. O Silent ganhou nota 7 de 7 da EFF.

Whatsapp

O serviço de mensagens instantâneas mais popular do mundo tem 1 bilhão de usuários e eles devem ter ficado contentes com a introdução da criptografia completa para todos os conteúdos. Na lista da EFF, o Whatsapp recebeu 6 de 7 pontos.

Assim como o Wickr, o aplicativo também utiliza o algoritmo de criptografia AES256, assim como uma função de dispersão criptográfica HMAC em combinação com uma chave secreta. Em comparação, o chat do Facebook, que é dona do Whatsapp, recebeu somente 2 dos 7 pontos atribuídos pela ONG americana.
DW

Quatro coisas que mudam com a criptografia no WhatsApp – e por que ela gera polêmica

O serviço de mensagens WhatsApp anunciou na terça-feira que uma atualização do aplicativo permitirá criptografar integralmente todas as comunicações, incluindo mensagens de voz e outros arquivos, entre seus usuários.

Foto: Thinkstock
Sistema rigoroso de criptografia torna mais difícil ceder informações sobre mensagens para autoridades – Image copyright Thinkstock

Com o que chamam de “criptografia de ponta a ponta”, as mensagens são embaralhadas ao deixar o telefone da pessoa que as envia e só conseguem ser decodificadas no telefone de quem as recebe.

“Quando você manda uma mensagem, a única pessoa que pode lê-la é a pessoa ou grupo para quem você a enviou. Ninguém pode olhar dentro da mensagem. Nem cibercriminosos. Nem hackers. Nem regimes opressores. Nem mesmo nós”, disse a empresa em um comunicado.[ad name=”Retangulo – Anuncios – Direita”]

A privacidade das comunicações em aplicativos de bate-papo tem sido objeto de decisões judiciais polêmicas no Brasil e nos Estados Unidos. Entenda como o anúncio do WhatsApp pode mudar o jogo:

1. Atinge muito mais pessoas

Antes, havia a possibilidade de que mensagens fossem interceptadas no meio do caminho, caso a rede fosse invadida por hackers ou por agentes de governos.

“O principal risco era a interceptação de conversas em redes públicas, como wi-fi de cafeterias, que não sabemos exatamente quem controla”, disse à BBC Brasil Gabriel Aleixo, pesquisador de criptografia do Instituto de Tecnologia e Sociedade (ITS-Rio).

“Agora, se alguma informação conseguir ser interceptada, a pessoa só verá um bloco de texto sem sentido algum. Só quatro ou cinco governos no mundo talvez consigam quebrar a criptografia que o WhatsApp implementou. Para um hacker, a chance é muito pequena. É um sistema bastante rigoroso.”

Segundo Aleixo, cada mensagem enviada no aplicativo – seja de texto, vídeo, foto ou áudio – é criptografada usando uma única chave. Ainda que uma pessoa ou empresa quebre essa chave e leia uma mensagem, não conseguiria ler a outra, mesmo que esteja na mesma conversa.

Na prática, a experiência de quem usa o aplicativo não muda. Nos bate-papos, aparece uma mensagem informando que uma conversa está criptografada, a menos que o destinatário das mensagens ainda não tenha atualizado o aplicativo.

Desde o escândalo de espionagem do governo americano revelado por Edward Snowden, aplicativos de mensagens como Telegram traziam algumas opções de criptografia e, por isso, vinham se tornando os prediletos de quem está mais preocupado com privacidade.

A Apple, por outro lado, oferece criptografia de ponta a ponta nas mensagens trocadas em seu serviço iMessage, disponível exclusivamente nos cerca de 800 milhões de iPhones vendidos até hoje.

A novidade do WhatsApp, no entanto, chegou de uma só vez para 1 bilhão de pessoas em todo o mundo, que é a sua base atual de usuários.

“A única empresa com mais acesso a comunicações é o Facebook, que é o dono do WhatsApp. É uma coisa extraordinária”, disse à BBC Brasil Mario Viola, advogado especialista em privacidade e big data do ITS-Rio.

A criptografia na nova versão do WhatsApp é automaticamente habilitada para todos – exceto em grupos ou conversas onde nem todos atualizaram o aplicativo.

E não é possível optar por não ter esta camada de segurança.

2. Dificulta (ainda mais) o cumprimento de ordens judiciais

No início do mês de março, o vice-presidente do Facebook para a América Latina, Diego Dzodan, ficou preso por cerca de 24 horas em São Paulo após mandado expedido por um juiz da cidade de Lagarto (SE).

A Polícia Federal havia solicitado a quebra do sigilo de mensagens no WhatsApp para uma investigação de tráfico de drogas interestadual. O Facebook, no entanto, não liberou as conversas.

Foto: Reprodução WhatsAppCriptografia foi aplicada automaticamente para todos os usuários do serviço e não é opcional – Image copyright Reproducao WhatsApp

Em novembro de 2015, o aplicativo foi bloqueado no Brasil por 12 horas por um motivo semelhante.

“Eles não conseguiam obedecer as decisões judiciais justamente porque já não armazenavam as mensagens. Agora, mesmo que o hacker ou uma agência do governo tentasse entrar numa comunicação e interceptasse o conteúdo, seria muito difícil compreendê-lo, por causa da criptografia. É como um correio que não tem condição de abrir as cartas”, explica Viola.

O aplicativo já usava criptografia, em menor escala, desde 2012. As mensagens de texto eram cifradas durante o curto período em que ficavam armazenadas nos servidores da empresa.

Elas são apagadas dos servidores assim que são entregues ao destinatário.

“A partir de agora, a empresa pode comprovar, de maneira técnica, que não tem acesso ao conteúdo das mensagens que transitam em seus servidores. Fica mais fácil se defender das decisões judiciais”, diz Gabriel Aleixo.

3. Torna a vida de hackers e autoridades mais difícil (e a de ativistas ou criminosos que usam o app, mais fácil)

A Anistia Internacional disse que o anúncio representa uma “grande vitória” para a privacidade e a liberdade de expressão.

“Especialmente para ativistas e jornalistas que dependem em uma rede de comunicações forte e confiável para continuar seu trabalho sem colocar suas vidas em risco”, disse a organização em nota.

Mas o anúncio não deve ter agradado o Departamento de Justiça americano, que recentemente se disse preocupado com a informação “inalcançável” contida nos dispositivos. Questionado pela BBC, o Departamento não quis comentar o tema.

No caso da prisão de Diego Dzodan, a Polícia Federal brasileira argumentou que os criminosos “não fazem mais ligações” e estão migrando para o aplicativo.

O delegado regional de combate ao crime organizado de Sergipe, Daniel Hortas, disse à BBC Brasil que “os criminosos migram para o WhatsApp porque sabem que tem uma proteção de alguma forma”.

Agora a proteção para eles aumentou – como também aumentou para ativistas que se organizam por meio do aplicativo em países onde há perseguição política e para cidadãos que obedecem as leis.

“Encontrar o equilíbrio entre investigar crimes e manter a privacidade das pessoas é difícil. É a pergunta de um milhão de dólares”, diz Mario Viola.

“Depois do caso Snowden as pessoas têm preocupação maior com o governos podem fazer com as suas informações. E casos pontuais de uso do aplicativo para cometer crimes não justificam uma vigilância massiva.”

Para o especialista, ainda faltam estudos científicos mostrando que ter acesso a conteúdos de conversas nas redes sociais é realmente essencial para investigações criminais.

“Existem outras maneiras de investigar criminosos: localizar os telefones que trocam mensagens, fazer escuta em linhas de telefone não criptografadas ou mesmo tentar acessar os próprios celulares”, diz.

4. Faz com que proteger o celular seja mais importante

Apesar da criptografia, ainda é possível ter acesso às mensagens trocadas no WhatsApp conferindo diretamente o celular de quem as enviou ou recebeu.

Por isso, os especialistas alertam que é preciso atenção em como proteger o dispositivo.

“A criptografia amplia a confidencialidade das informações que as pessoas trocam para lidar com assuntos de trabalho, fotos pessoais, etc. Mas para a privacidade isso não basta”, diz Gabriel Aleixo.

“É preciso tomar uma série de outros cuidados com seu celular. Ter senhas de acesso, antivírus, selecionar bem os aplicativos que usa e conferir as permissões que eles instalam no seu celular.”
Camilla Costa/BBC

WhatsApp ativa a criptografia das mensagens para todos os usuários

App anuncia que só emissor e receptor poderão ter acesso a mensagens, fotos, vídeos e chamadas.

WhatsApp Criptografia

O WhatsApp decidiu dar um passo à frente na proteção da intimidade dos internautas que utilizam seu aplicativo e anunciou que, a partir desta terça-feira, todas as mensagens de seu 1 bilhão de usuários passarão a ser criptografadas, para que nem sequer a empresa possa lê-las.

Em um comunicado publicado pela revista Wired, e que depois foi confirmado pela empresa, os responsáveis pelo aplicativo explicam que as mensagens, fotos e vídeos que seus usuários enviarem estarão criptografados “de ponta a ponta”, ou seja, ninguém, salvo seu emissor e receptor, poderá lê-los.[ad name=”Retangulo – Anuncios – Direita”]

A iniciativa inclui também as chamadas feitas por esse serviço.

O WhatsApp estava trabalhando na cifragem de mensagens desde 2014, segundo revelam seus fundadores à revista.

“A segurança e privacidade de nossos usuários está em nosso DNA”, afirma a empresa em uma nota oficial.

“Quando a criptografia é de ponta a ponta, as suas mensagens, fotos, vídeos, mensagens de voz, documentos e chamadas estão seguros para que não caiam em mãos indevidas”, acrescenta.

Para confirmar se as chamadas das mensagens estão cifradas de ponta a ponta, o usuário deve olhar o indicador na tela de informação do contato ou grupo, que aparecerá com um cadeado se estiverem criptografadas.

Os usuários precisam ter a última versão do app para obter a criptografia das comunicações.

A decisão chega em meio à polêmica entre a Apple e o FBI sobre o celular de um suspeito que a empresa se negou a desbloquear.

Também ocorre num momento em que o popular aplicativo está sofrendo o assédio de competidores como oTelegram e o Kik, que já oferecem a cifragem das comunicações.
El Pais
WhatsApp, Criptografia,Segurança internet, Telefonia celular, multimídia ,Celular , Empresas,

Especial: 10 hacks para deixar qualquer um paranóico

Invasão de caixas eletrônicos, roubo por RFID, ataques a dispositivos médicos. Listamos casos que podem tirar o sono de muito profissional de segurança.

Qualquer dispositivo com capacidade computacional pode ser hackeado, mas nem todos os métodos de hacking se assemelham. Na verdade, em um mundo no qual dezenas de milhões de computadores são comprometidos por malwares todo ano, os ataques inovadores, que geram reflexão e surpresa, ainda são raros e espaçados entre si.

Esses ataques extremos se distinguem dos comuns, que vemos no dia a dia. Isso se deve tanto pelos alvos pretendidos quanto pelos métodos aplicados – antes desconhecidos, inutilizados ou muito avançados. São medidas que ultrapassam o limite do que os profissionais de segurança julgam ser possível, abrindo os olhos do mundo para novas ameaças e vulnerabilidades do sistema enquanto conquistam o respeito de seus adversários.

Entre algumas dessas iniciativas recentes e antigas, separamos dez que consideramos os mais impressionantes:[ad name=”Retangulo – Anuncios – Direita”]

Caixa eletrônico

A maior parte dos caixas eletrônicos contém computadores com sistemas operacionais populares. Na maioria das vezes, rodam Windows ou alguma versão do Linux. É comum que esses sistemas incluam implementações de algum conhecido (como extensões em Java) por seus bugs e facilidade de ser hackeado. Para piorar, essas máquinas raramente são atualizados e as que são não seguem a periodicidade adequada.

Além disso, o sistema operacional dos caixas eletrônicos possui suas próprias vulnerabilidades, muitas de fácil exploração até poucos anos atrás. Os fabricantes enviam os caixas a seus clientes com senhas compartilhadas padrão e métodos comuns de acesso remoto, agravando ainda mais os riscos de segurança.

Naturalmente, eles orientam os destinatários a alterarem os padrões, mas poucos o fazem. O resultado é óbvio: cheios de dinheiro, os caixas são constantemente hackeados, tanto fisicamente quanto por suas portas de acesso remoto.

O mais infame dos hackers de terminais bancários foi Barnaby Jack, falecido em 2013. O cibercriminoso divertia as plateias de congressos de segurança quando levava máquinas comuns ao palco e as fazia expedir dinheiro falso em questão de minutos. Entre a vasta gama de truques dos quais dispunha, o mais comum se baseava em um pen drive com malware plugado nas entradas das máquinas, que não costumam ser protegidas mesmo com a recomendação dos fabricantes.

O software de Jack se conectava ao caixa através de uma porta de rede conhecida, usando acesso remoto para explorar uma vulnerabilidade que então comprometia completamente a máquina. Executando alguns comandos administrativos, o hacker instruía o caixa a liberar o dinheiro. Sempre seguidas de aplausos, as apresentações de Jack levaram à criação do termo “Jackpotting”, que batizou o método de hacking.

Marca-passo

Quando a tática de exploração de caixas eletrônicos foi descoberta pelos fabricantes dos terminais, Barnaby Jack voltou sua atenção aos dispositivos médicos. Suas demonstrações mais extremas incluíam o envio não autorizado e letal de choques a pacientes com marca-passos e dosagens extremas de insulina a diabéticos – tudo de uma localização remota.

A maioria dos aparelhos com fins medicinais são submetidos a um período de desenvolvimento, teste e certificação que duram entre cinco e dez anos antes de serem entregues a pacientes humanos. Infelizmente, isso significa que o software usado nos dispositivos não é atualizado durante todo esse tempo, colecionando uma sucessão de vulnerabilidades negligenciadas até ser introduzido ao mercado. Os fornecedores desses mecanismos costumam contar com a obscuridade de seus produtos como uma proteção artificial, a chamada “segurança por obscuridade”, visivelmente precária.

O quadro não aparenta estar melhorando. Em abril de 2014, o Wired publicou um artigo a respeito da facilidade de se hackear equipamentos hospitalares, em boa parte graças às senhas codificadas de forma padrão, que não podem ser alteradas.

É claro que os dispositivos médicos devem ser de fácil uso, continuando a operar mesmo caso sua segurança seja violada, mas isso dificulta sua proteção. Senhas customizadas mais longas, complexas e de mudança constante dificultam o uso dos aparelhos e, por isso, não são empregadas. Para agravar o quadro, quase toda a comunicação entre diferentes ferramentas não é autenticada ou criptografada.

Isso permite que qualquer hacker que tenha encontrado as portas certas leia e mude os dados dos aparelhos sem causar qualquer interrupção nas operações do dispositivo, de seu software de gerenciamento ou outros sistemas de interface (como registros médicos eletrônicos). Na verdade, a maioria das comunicações entre aparelhos médicos carece de soma de verificação da integridade básica de dados, o que facilmente identificaria a maioria das mudanças maliciosas.

O hacking de aparelhos médicos existe há, no mínimo, uma década e é comum que demonstrações a respeito sejam feitas em conferências, motivando a FDA (agência de saúde dos Estados Unidos) a emitir um aviso a respeito das vulnerabilidades. Os desenvolvedores de dispositivos médicos atualmente trabalham para preencher os buracos de fácil exploração, mas seu ciclo obrigatório de testes de longa duração ainda dificulta o devido combate aos problemas.

Fraude de cartões

A fraude de cartões de crédito é menos mórbida, mas ainda pode causar problemas substanciais em sua vida financeira. O hacking é simples: o agressor coloca um dispositivo chamado skimmer (popularmente chamado de “chupa cabra” no Brasil), no em outro aparelho – como um caixa eletrônico ou terminal de pagamento – para obter as informações de um cartão (tanto de crédito quanto de débito) e o PIN correspondente quando ambos forem digitados.

Os skimmers foram aprimorados ao longo dos anos, de aparelhos óbvios (que poderiam ser reconhecidos por qualquer um à procura de algo estranho) para dispositivos que dificultam o reconhecimento até mesmo por especialistas. Alguns deles incluem conexões por Bluetooth, permitindo que os hackers obtenham as informações roubadas a uma curta distância ao invés do próprio dispositivo.

Os atacantes frequentemente inserem dezenas de aparelhos em uma área geográfica comum – de preferência próximas a estradas, permitindo fugas rápidas – e usam a informação roubada para gerar cartões novos e fraudulentos, que são usados em lojas caras (para comprar produtos que possam ser revendidos) e varejistas online. Isso é feito com rapidez, geralmente ainda nas primeiras horas. Até os fornecedores detectarem ou serem comunicados da fraude, os agressores já lucraram e escaparam sem ser apanhados.

Brian Kebs, que cobre os últimos dispositivos skimming e notícias relacionadas, reportou recentemente uma vitória contra a tecnologia fraudulenta. Neste caso, a polícia escondeu aparelhos de rastreamento GPS em dispositivos skimming ativos já descobertos. Quando os hackers apareceram para reaver seus aparelhos, a força policial os rastreava e prendia. Naturalmente, a popularização da estratégia deve levar os agressores a intensificarem o uso do Bluetooth para evitar a remoção física — mas, por enquanto, a polícia intensifica o combate à fraude.

Hacking remoto de cartões

Se seu cartão possui o mecanismo de pagamento por etiquetas de radiofrequência (RFID) – como MasterCard PayPass ou American Express ExpressPay –, é provável que suas informações possam ser lidas por um hacker que ande próximo à sua bolsa ou carteira. Isso acontece porque qualquer dispositivo RFID desprotegido pode ser hackeado, incluindo passaportes, cartões de acesso predial/residencial e etiquetas de rastreamento de produtos.

Aparelhos de radiofrequência quase não possuem segurança. Basta energizar o transmissor RFID usando ondas de rádio de baixa frequência para que ele transmita toda a informação que possui. As linhas magnéticas dos cartões de crédito já não eram seguras – podiam ser lidas por qualquer leitor vendido na internet a US$ 15 –, mas a diferença neste caso é que os leitores de radiofrequência permitem o roubo de informações sem que haja qualquer contato com o cartão. Ande a um metro de um leitor malicioso de RFID e, sim, você pode ser hackeado.

Com o tempo, a distância necessária tende a aumentar: alguns especialistas em hackers por radiofrequência preveem o aumento do espaço exigido para cerca de cem metros nos próximos cinco anos — o que possibilitaria que hackers coletassem milhares de cartões por hora somente por frequentarem lugares movimentados.

Se você tem cartões que usam radiofrequência, pode comprar “escudos” e carteiras de defesa gastando entre US$ 25 e US$ 50. Felizmente, a tecnologia para hackear esses dispositivos é mais usada por “hackers éticos” em demonstrações do que agressores reais e os especialistas esperam um crescimento no número de cartões habilitados por chip, que desapareceriam com o hack de RFID antes que ele produzisse dano substancial com o aumento de seu alcance.

BadUSB

Ano passado, pesquisadores demonstraram que cerca de metade das entradas USB instaladas nos computadores podem ser comprometidas por um dispositivo malicioso. Basta plugar um aparelho USB a um computador desavisado e ele executará automaticamente qualquer comando configurado, desviando de todos os controles de segurança, firewalls e software antimalware ativos.

Não há nenhuma defesa para a tática de exploração (batizada de BadUSB) além de danificar fisicamente a porta ou prevenir qualquer acesso físico não autorizado. Pior, não há como saber se uma chave USB plugada a um computador contém BadUSB. É também impossível descobrir se a chave infectada foi espalhada intencionalmente por um amigo ou associado, já que poderia ter acontecido sem seu conhecimento, acabando por contaminar outro computador por acidente – ou um planejamento bem calculado.

Stuxnet

O Stuxnet é o ataque mais avançado já registrado e, facilmente, o malware mais perfeito escrito até hoje. Ele não recorreu ao BadUSB, mas se espalhou via chaves USB e um método de execução USB até então desconhecido, juntamente a três outros ataques de dia zero.

Descoberto publicamente em junho de 2012, o Stuxnet levou o conceito de cyberwar a ser reconhecido como uma batalha real, capaz de causar danos físicos. Especula-se que o malware tenha sido desenvolvido em colaboração entre os Estados Unidos e Israel para frustrar o programa nuclear do Irã, embora nenhum dos dois países tenha reconhecido a autoria.

A infiltração de malware nas instalações nucleares isoladas e de alta segurança foi considerada impossível por muitos especialistas em computação. Os criadores do Stuxnet alegadamente infectaram as chaves USB de consultores nucleares estrangeiros que trabalhavam nas centrífugas iranianas. Se eles sabiam o que carregavam, fica para especulação.

O malware foi lançado pelas chaves USB, atuou nos computadores de gerenciamento dos reatores operados por Windows e então programou os próprios controladores lógicos das centrífugas. Uma vez lá, o Stuxnet gravou os valores normais de operação e os reproduziu enquanto criava condições fatais execução, destruindo boa parte dos equipamentos de controle e das centrífugas.

Uma revisão de código fonte feita por várias empresas e levou à conclusão de que exigiria de muitas equipes (compostas de doze membros cada) e um ano ou mais para criar o worm, tão avançada era sua programação. Contudo, desde a descoberta do Stuxnet, muitos outros também foram revelados. Por mais futurista que tenha sido na época, os especialistas creem que o Stuxnet tornou-se ponto de partida comum para os próximos programas de cyberwar. Começou a guerra fria cibernética.

Painéis de trânsito

Hackear as sinalizações eletrônicas de estradas, aqueles painéis com mensagens variáveis sobre o trânsito, é ilegal e pode gerar sérios problemas. Mesmo assim, é difícil não rir com as pegadinhas do gênero quando elas não prejudicam ninguém – caso da vez em que mudaram os dizeres de um painel inutilizado para “Atenção! Zumbis à diante”.

Nos Estados Unidos, alguns dos que praticam esse tipo de hacking são antigos funcionários do Departamento de Transporte, que programavam os sinais de trânsito como parte de seus trabalhos. Fato é que os manuais desses painéis eletrônicos estão disponíveis online e quase sempre contém senhas padrão (tão simples quanto “senha”, “visitante” e “público”). Os hackers só precisam descobrir o modelo do painel que desejam atacar e fazer o download do manual.

Para a maioria dos sinais de trânsito, é necessário o acesso físico a um painel trancado, mas isso não é um grande problema uma vez que o equipamento costuma ficar destrancado. Uma vez que o hacker obtenha o acesso físico, ele usa o teclado do console para logar-se em uma credencial padrão ou para visitantes. Feito isso, ele pode fazer o reboot do computador do painel enquanto obedece às instruções do manual, voltando a sinalização aos padrões do fabricante, incluindo as senhas.

Mesmo quando o painel tem credenciais distintas de usuário e administrador, a mensagem ainda pode ser alterada sem a necessidade de permissão – obrigatória somente para configurações de equipamento, como ventilação e energia.

O “livro de ordens” da NSA

Qualquer um que tenha ouvido sobre Edward Snowden sabe que a NSA possui, essencialmente, um “livro de ordens” para requisitar a execução de hacking avançado.Um deles, o Quantum Insert, é escolhido pela agência para o uso de ferramentas de injeção de pacotes, que redirecionam as vítimas em questão de um site a outro, onde podem ser manipuladas de forma mais extensa e de forma imperceptível.

Caso a página de redirecionamento for desenvolvida para se assemelhar bastante com a pretendida pela vítima, ela provavelmente não perceberá o que aconteceu. Criptografia aplicada (HTTPS) pode ajudar a frustrar o ataque, mas a maioria dos sites não a exige e os usuários não costumam habilitá-la quando é opcional. Esse ataque é feito desde 2005.

A NSA também pode exigir outros ataques, como por exemplo, a utilização de backdoors em equipamentos para monitorar o envio e o recebimento de dados de uma empresa ou órgão que trafegam por uma rede.

Já deve estar claro que a agência, assim como quase toda entidade estatal americana, pode espiar em qualquer dispositivo que desejem, sem que haja muito que fazer a respeito. Muitos desses aparelhos e software são criados por empresas privadas e disponibilizados para compra por qualquer cliente disposto a pagar.

Rompendo criptografia

Gary Kenworthy, da Cryptography Research, é especializado em revelar chaves criptográficas de diversos dispositivos antes tidos como seguros. Ele é capaz de monitorar remotamente a radiofrequência e as emissões de radiação eletromagnética dos aparelhos, descobrindo códigos binários que compõem sua chave de segurança – e tem o costume de fazê-lo em demonstrações ao redor do mundo.

Os avanços recentes de Kenworthy contra os dispositivos que deveriam nos proteger balançaram a comunidade criptográfica. Ele e sua empresa lucram com o fornecimento de proteção contra os ataques que ele demonstra, mas eles são reais e, essencialmente, reduzem a segurança da maioria dos dispositivos que rodam criptografia e não aplicaram as defesas sugeridas por ele.

Hack de carros

Os fabricantes de automóveis competem para ver quem coloca o maior número de funções possível em seus veículos. Portanto não surpreende que esses mesmos computadores sejam incrivelmente vulneráveis a ataques. Desde cedo, os hackers aprenderam a destrancar carros usando suas chaves remotas sem fio, também impedindo os donos de trancarem seus veículos enquanto pensam terem feito.

O Dr. Charlie Minner começou sua carreira hackeando dispositivos Apple e ganhando vários concursos Pwn20wn. Ele está entre os melhores hackers do gênero. Em 2013, junto de seu colega de pesquisa, Chris Valasek, demonstrou como controlar os freios e a direção de um Toyota Prius 2010 e de um Ford Escape usando interfaces de ataques físicos nas unidades de controle eletrônico e nos sistemas dos veículos. Felizmente, pelo menos esse método hacking não funciona wireless ou remotamente.

Ano passado, Miller e Valasek discutiram o hacking remoto e sem fio de 24 modelos de carros, elegendo o Cadillac Escalade, o Jeep Cherokee e o Infiniti Q50 como os mais vulneráveis. Eles conseguiram documentar que as ferramentas de rádio remoto dos veículos eram (ou poderiam ser) ligadas aos sistemas críticos de controle.

Também em 2014, o Senado americano emitiu um relatório indicando que virtualmente qualquer carro fabricado hoje em dia é hackeável. Agora, a indústria automotiva segue a solução encontrada pelas empresas de software: contratam hackers para ajudarem a melhorar a segurança de seus sistemas. Pense nisso na próxima vez em que estiver em uma concessionária, sendo tentado pelo modelo com o melhor Wi-Fi.
Fonte:IDGNow

Dicas da rede – Proteja dados privados com senha

Tecnologia Hackers Blog do MesquitaMaria da Graça Mello levou seu notebook para conserto em uma loja de informática em Cachoeira do Sul (RS), sua cidade natal.

Armazenadas na máquina estavam fotos íntimas suas, tiradas por seu então namorado.

Problemas de privacidade são evitados com programas que protegem pastas ou arquivos
Os técnicos responsáveis pela manutenção, que eram menores de idade, descobriram as imagens e fizeram cópias delas, distribuindo-as entre amigos.

Em poucos dias, as fotos começaram a circular intensamente na internet.

Formada em direito e, à época, funcionária de uma agência bancária, Graça Mello ficou transtornada com a história. Mais tarde, porém, decidiu investir na carreira de modelo – posou para o site ClicRBS e para a revista “VIP”.

Prevenção

Uma maneira de tentar evitar problemas semelhantes é usar programas que permitem proteger determinadas pastas ou arquivos com senha.

Uma opção gratuita para Windows é o AxCrypt. O programa é integrado ao Explorer, o gerenciador de arquivos do Windows.[ad name=”Retangulo – Anuncios – Direita”]

Depois de instalá-lo, localize as pastas ou os arquivos que quer proteger. Clique neles com o botão direito do mouse e passe o mouse sobre o menu AxCrypt. Clicando em Encrypt, você define a senha que será necessária para ter acesso a esse conteúdo.

Certifique-se de criar uma palavra-chave complexa, que misture números, caracteres especiais e letras maiúsculas e minúsculas.

Alternativas

Outras alternativas gratuitas de softwares para proteger arquivos e pastas com senha no Windows são o dsCrypt e o True-Crypt.

Protegendo seus documentos com senha no Word

É possível criptografar arquivos criados em todos os softwares do Office — aprenda a fazer isso em poucos passos. Este tutorial funciona nas versões 2011 e 2013 da suíte de aplicativos da Microsoft.

Você sabia que, nas últimas versões do Word, é possível salvar um documento protegido por senha? Não apenas no Word, mas em todos os softwares do Office, é possível salvar os seus projetos de uma maneira mais segura, garantindo que só você (ou quem mais souber a senha) os abra.

Diferente de softwares de criptografia, a proteção do Office é válida para qualquer computador. Se você mandar o documento protegido para outra pessoa, ela vai precisar da senha para abri-lo igualmente, sem precisar instalar nenhum programa especial para fazer isso.

Office 2013: como proteger seu documento com senha
Proteja os seus documentos com senha ou restrições de edição (Fonte da imagem: Reprodução/Tecmundo)

Se você usa o Office 2011 (para Windows apenas, já que a versão para o Mac é diferente) ou superior, clique na aba “Arquivo”, na parte de cima, para abrir as opções de edição do documento. Na guia “Informações”, clique em “Proteger Documento” para ver todas as opções de restrição existentes.

Tome o controle dos seus documentos

Existem quatro opções de proteção para os arquivos criados nos softwares do Office. Você pode marcá-lo como final (ele se torna somente para leitura, ou seja, pode ser visualizado mas não modificado); colocar uma senha; restringir a edição (é possível ler, colocar comentários e até editar o documento parcialmente); ou, por fim, adicionar uma assinatura digital, que comprova a autoria do arquivo.

Office 2013: como proteger seu documento com senha
Se você colocar uma senha, lembre-se dela para usar posteriormente. (Fonte da imagem: Reprodução/Tecmundo)

Se você está preocupado em proteger o seu patrimônio intelectual, use as opções de restrição de edição e assinatura digital, já que elas indicam exatamente o que você escreveu e todas as alterações feitas posteriormente.

Já se o caso for não deixar que outros leiam o que você escreveu, use a senha e tenha a garantia de que o documento está longe do acesso das pessoas não autorizadas. Cada arquivo criado pode ter uma senha diferente, que precisa ser usada para abri-lo — mesmo como criador do arquivo, você não pode acessá-lo sem a combinação, portanto não perca a senha utilizada!
Por Ana Nemes/TechMundo

Veja como usar o TrueCrypt para proteger seus dados com criptografia

A palavra “criptografia” tem recebido mais atenção do que de costume após o vazamento das fotos da atriz Carolina Dieckmann. A coluna Segurança Digital de hoje vai mostrar, na prática, como usar a criptografia por meio do programa gratuito (e de código aberto) TrueCrypt, que serve para “embaralhar” seus dados e impedir que alguém que tenha acesso ao computador de forma física consiga lê-los.

O colunista do G1 Ronaldo Prass já mostrou como usar o BitLocker. No entanto, o BitLocker não está disponível para quem não tem o Windows 7 Ultimate (ou o Enterprise, que só está disponível para empresas). O TrueCrypt é uma solução para qualquer versão do Windows.

É importante deixar claro que a criptografia é especialmente útil para reduzir os impactos da perda ou furto de um notebook, por exemplo, mas provavelmente não vai proteger os dados de uma invasão remota de hackers ao sistema. Dito isso, vamos ao tutorial.

 

TrueCrypt tem tradução parcial para o português. (Foto: Reprodução)

Primeiros passos
Faça o download do TrueCrypt no site TrueCrypt.org. Você provavelmente vai querer também a tradução para Português do Brasil, disponível também no site do TrueCrypt (nesse endereço). O arquivo ZIP baixado precisa ser extraído e o arquivo colocado na pasta do TrueCrypt (normalmente C:\Arquivos de Programas\TrueCrypt).

Depois, rode o TrueCrypt. Clique em Settings > Language e escolha o Português-Brasil. Quando clicar em OK, a interface imediatamente ficará em Português.

Criando um “recipiente” criptografado
O TrueCrypt pode ser usado para criptografar unidades inteiras de disco rígido. No entanto, a maneira mais fácil de usá-lo é criando um recipiente. Nessa configuração, o TrueCrypt irá criar um arquivo criptografado no disco rígido e você poderá copiar arquivos para dentro dele.[ad#Retangulo – Anuncios – Esquerda]

Clique em Volumes > Criar novo volume. Deixe marcada a primeira opção e clique em “Avançar”. Novamente, deixe marcada primeira opção (Volume TrueCrypt Padrão) e clique em Avançar. Na tela seguinte, clique em “Arquivo” e selecione uma pasta onde o arquivo do TrueCrypt será criado. Dê um nome ao volume, e termine-o com a extensão .tc (o TrueCrypt não a adiciona automaticamente).

Tela de criação de novo volume do TrueCrypt. (Foto: Reprodução)

Na tela seguinte é possível escolher as configurações de criptografia. AES é uma boa configuração, mas você pode escolher as que estão mais abaixo na lista se o desempenho não for um problema.

Em seguida, você deve definir o tamanho do volume, ou seja, a quantidade de dados que você pretende armazenar no recipiente. Se você quer um volume flexível, coloque um valor alto e atente para uma configuração numa tela mais adiante para transformá-lo em volume dinâmico.

Para montar um volume, é preciso fornecer a senha e/ou todos os arquivos-chave configurados. (Foto: Reprodução)

Avançando, é o momento de definir a senha. Senhas recomendadas para o TrueCrypt têm pelo menos 20 caracteres. Mas outra maneira de aumentar a segurança é utilizando um “arquivo chave”. Basicamente, o TrueCrypt irá usar um ou mais arquivos como se fosse uma senha. Além de usar qualquer arquivo que você tenha à disposição (incluindo músicas, fotos e vídeos), o TrueCrypt também pode gerar um arquivo-chave com finalidade estritamente criptográfica.

É muito importante que você não perca o arquivo usado e que esse arquivo nunca seja modificado de qualquer forma, mesmo que minimamente – por exemplo, apenas abrir e salvar um documento do Word já modifica alguns dados, e mudar as informações de “artista” e “título” de um MP3 também. Se você não tiver todos os arquivos-chave definidos, não será possível abrir os arquivos criptografados de nenhuma forma!

Se você definir uma senha, ela será usada em conjunto com os arquivos-chave. Se você definir mais de um arquivo-chave, todos serão necessários para abrir o volume com os dados do TrueCrypt. Caso não queira definir um arquivo-chave, use uma senha muito forte.

Na próxima tela é preciso definir o sistema de arquivos (escolha NTFS se você precisa armazenar arquivos grandes ou se o seu volume tem mais de 30 GB). Se você definiu um valor muito grande para o volume, aqui é o momento de marcá-lo como dinâmico. Nessa configuração, o arquivo do TrueCrypt vai crescer conforme arquivos forem adicionados; se a caixa “dinâmico” não for marcada, ele será imediatamente criado com um tamanho idêntico ao máximo configurado.

Fique movimentando seu mouse nesta tela, porque o movimento do mouse será capturado para ser usado no gerador de arquivos aleatórios do TrueCrypt, aumentando a segurança da chave criptográfica. Depois de mover seu mouse por alguns segundos, clique em “Formatar”. O TrueCrypt irá voltar para a tela inicial de criação de volume – clique em Cancelar.

Mexa seu mouse dentro da janela do TrueCrypt para gerar uma chave mais forte. (Foto: Reprodução)

Montado o volume, clique em “Volumes” > “Selecionar arquivo” ou no botão “Arquivo”. Selecione o volume que você criou. Na parte inferior do TrueCrypt. Na janela principal do TrueCrypt, escolha uma letra de unidade – por exemplo, Z:, e clique em “Montar”.

Digite a senha ou configure os arquivos-chave e clique em OK. Se tudo der certo, a unidade Z: (ou a que você selecionou) vai aparecer. Basta copiar os arquivos para ela e eles estarão sendo automaticamente criptografados. Quando terminar, você pode ir no TrueCrypt e “desmontar” a unidade.

Criptografando um drive USB (HD externo ou pen drive)

A letra da unidade a está na coluna do meio. (Foto: Reprodução)

Você pode mover o seu arquivo do TrueCrypt para um pen drive e montá-lo com o procedimento acima diretamente dele. No entanto, pode ser que você queira transformar um pen drive inteiro em um drive criptografado – e isso é possível com o TrueCrypt.

O procedimento é semelhante. Clique em Volumes > Criar novo volume. Desta vez, selecione a segunda opção, “Criptografar uma partição/unidade não-sistema”. Quando o TrueCrypt solicitar a localização do volume (dispositivo), clique em “Dispositivo” e tome muito cuidado para selecionar a mídia removível correta. A letra da unidade em que o pen drive ou HD externo está conectado estará na coluna do meio.

Na tela seguinte o TrueCrypt irá perguntar se você deseja formatar o drive e criar um volume vazio ou criptografar os arquivos que já estão presentes na mídia. A primeira opção é melhor e, além disso, a segunda opção não vai funcionar em drives que estiverem em FAT. Ou seja, você quer criptografar um drive portátil, a melhor coisa é tirar os arquivos que estão nele, formatá-lo pelo TrueCrypt e depois recolocar os arquivos.

Os passos seguintes são idênticos aos mencionados anteriormente. Agora, para acessar seu pen drive, você deverá montá-lo pelo TrueCrypt e nunca tentar adicionar arquivos diretamente pela letra que o Windows atribui ao drive. Se você tentar isso, o Windows vai dizer que precisa formatar o drive, e ao fazer isso, você irá remover a criptografia do pen drive e também todos os arquivos que estavam nele.

É claro que você só vai conseguir abrir os pen drive em um computador que tenha o TrueCrypt instalado. Ou seja, não tente esse procedimento com a memória do seu celular ou com o cartão da sua câmera fotográfica.

Criptografando o HD do sistema

Se a unidade do sistema for criptografada, TrueCrypt exige senha na inicialização do PC. (Foto: Reprodução)

Você também pode criptografar o HD inteiro do sistema operacional. Nessa configuração, o Windows exigirá uma senha para ser iniciado. Ao contrário da sua senha de log-in do Windows ou qualquer outra do gênero, a senha do TrueCrypt garante que os arquivos do HD estejam completamente ilegíveis.

Este procedimento, se feito incorretamente, pode impedir o Windows de iniciar. Somente prossiga se você tem conhecimento ou os recursos necessários para recuperar o sistema.

Clique em Volumes > Criar novo volume e selecione a terceira opção, “Criptografar a partição ou unidade do sistema inteira”. Ele vai questionar se você quer uma unidade “Normal” ou “Oculto”. Selecione “Normal”. Em seguida, você deve escolher se quer criptografar apenas a partição do Windows ou o disco rígido inteiro. Não é incomum que o disco rígido tenha uma única partição (apenas o “C:”) e, nesse caso, as duas opções são a mesma coisa. Normalmente, você vai querer criptografar a unidade inteira.

Na tela seguinte, o TrueCrypt irá perguntar se você quer criptografar a “Área Protegida”. Se o seu computador tem ferramentas de diagnóstico fornecidas pelo fabricante, a opção deve ser “Não”. Na dúvida, deixe em “Não”. Avançando, o TrueCrypt questiona se o disco tem mais de um sistema operacional – se você não sabe, a resposta é não, então coloque “Boot único”.

Em seguida, você terá de configurar a senha do drive do TrueCrypt e um disco de recuperação – o TrueCrypt vai exigir que você grave esse disco em um CD ou DVD antes de deixá-lo prosseguir. Esse disco é importante caso algum problema no processo impeça o Windows de iniciar.

Feito isso, o TrueCrypt perguntará se você deseja realizar algum tipo de limpeza no disco rígido. Isso é importante se você quer impedir que os dados atualmente armazenados no disco sejam recuperados. Esse procedimento é bastante lento; o procedimento de 35 ciclos irá levar muito tempo e normalmente não é necessário.

Escolhida a opção, o TrueCrypt solicitará que o sistema seja reiniciado. Se der tudo certo, o TrueCrypt irá solicitar a senha que você configurou antes de iniciar o Windows. Mas isso é apenas um teste que o TrueCrypt realiza para saber se o componente de inicialização foi instalado corretamente.

Depois que o Windows iniciar, o TrueCrypt vai de fato começar a criptografar os arquivos. Esse processo pode levar bastante tempo. Tenha cópias dos seus arquivos antes de iniciar esse procedimento, porque uma falha de hardware, software ou até a interrupção da energia podem causar perda de dados. Esse procedimento vai levar ainda mais tempo se você selecionou alguma limpeza para ser feita nos dados existentes.

Este processo poderá levar um bom tempo, dependendo do tamanho do HD, criptografia escolhida e desempenho do computador. (Foto: Reprodução)

Volumes ocultos
Os “volumes ocultos” do TrueCrypt servem para que você consiga criar dois volumes dentro de um único arquivo ou unidade protegida pelo TrueCrypt.

Funciona da seguinte forma: você tem um volume normal, “A”, e um volume oculto “B”. Você armazena os arquivos realmente sensíveis em “B”, mas coloca algumas coisas aparentemente sensíveis em “A”.

Se você for forçado a fornecer a senha do TrueCrypt, você pode fornecer a senha do volume “A” para fazer com quem pensem que você já forneceu os arquivos que estavam criptografados. Porém, não será possível saber que havia o volume “B”. Essa é a função de um volume oculto.

Encrypting File System (EFS)

Criptografia do Windows é acessível, mas pode confundir. (Foto: Reprodução)

Além do Bitlocker, mencionado no início desta coluna, o Windows possui outra função para criptografar arquivos. É o Encrypting File System (EFS). Utilizá-lo é muito simples: basta clicar com o botão direito em um arquivo, selecionar “Propriedades”, clicar no botão “Avançado” e marcar a opção “Criptografar o conteúdo para proteger os dados”.

No entanto, é preciso ter bastante cuidado com o EFS. Em alguns casos, você pode acabar gravando dados em DVD, compartilhando ou fazendo backup da informação criptografada. Esse arquivo será ilegível. Portanto, é importante sempre desmarcar a opção de criptografia.

Com o TrueCrypt, os arquivos são apenas criptografados quando estão em um volume montado pelo TrueCrypt. Copiar para um volume não-criptografado automaticamente decodifica os dados. No caso do EFS, isso é mais complexo – os dados só serão decodificados se a unidade for FAT. Ou seja, pode acontecer de você copiar um arquivo criptografado para um pen drive comum e não conseguir abrir os dados em outros computadores. Nesse sentido, o comportamento do TrueCrypt é mais previsível.

Além disso, a criptografia do EFS depende da senha do usuário do Windows e pode ser quebrada com mais facilidade. De qualquer forma, fica o registro como alternativa.
Altieres Rohr/G1