Entries Tagged 'Segurança' ↓

Normalmente não gosto de colocar esse tipo de notícia, porém essa me chamou a atenção. De acordo com essa notícia no Slashdot, a partir do dia 16/01/2013, o Facebook irá possibilitar a venda de fotos tiradas pelo Instagram (para propagando por exemplo), sem que o usuário receba um centavo disso.
Ok, eles tem esse direito, basta ler a EULA do serviço do Instagram, porém será que isso não é algo extremo de mais? E outra, isso vale apenas para o Instagram ou também para o Facebook? Será que o Facebook pode começar a vender os posts das pessoas?
Moral da história, sempre lenha entre as linhas de qualquer contrato, e tenha muito cuidado com privacidade no mundo digital. Continue reading →

Olha a diferença, na Suécia um ladrão roubou um notebook de um professor, com todo o trabalho dele (coisa de mais de 10 anos de estudo) e o que ele fez tendo em vista o desespero do professor? Devolveu todos os dados do notebook em um pendrive pelo email…
No primeiro mundo, até os bandidos são mais educados…
Via Slashdot.

PS: O sumiço é por causa de falta de tempo mesmo

Estranho não? A última atualização do X foi feita para corrigir um exploit que na realidade é do Kernel. O Slashdot possui um resumo da notícia que na realidade o problema realmente esta na forma como o Linux trabalha com memória, esse bug provavelmente está em toda a linha do kernel 2.6, o que o torna muito perigoso.
Basicamente o bug funciona mais ou menos da seguinte maneira: um processo ocupa memória (qualquer memória, o POC trabalha com o X, enchendo a memória de pixmap) ,quando estiver perto de encher a memória é possível retornar praticamente qualquer endereço, ou seja, executar comandos arbitrários como root (como por exemplo abrir um terminal de root ).
Preciso falar na periculosidade que é isso? Um PDF pode fazer isso e você não vai nem sentir que ele fez…
Novamente, o bug NÃO é para o X, e sim do kernel, a RedHat já publicou um update do kernel que arruma esse bug, porém me faz pensar que estão tentando corrigir isso desde o dia 13 de Agosto e ainda sai patch sobre patch para corrigir isso, ou seja, estão tapando buracos até encontrar a solução final.
Mesmo assim…ATUALIZEM!

Se você é como eu e utiliza o Opera, então atualize para a versão 10.61 que corrige uma falha de segurança alta que permite execução de código via um Heap Overflow de HTML5.
Quem não conhece, vale a pena dar uma olhada em um browser que é considerado o mais seguro atualmente e um dos mais rápidos (Sem contar 100% Web compliant, assim como ele sempre tira/tirou 100% no teste ACID3 em qualquer OS)

Estupidamente interessante, para quem acredita que se o software é seguro então o seu sistema é seguro (principalmente em empresas com manutenções regulares Kevin?), o que não é verdade de acordo com esse artigo da New Scientist, desenvolvedores aproveitara o PnP do USB para criar um teclado que transmitisse as informações via código morse e um zumbido nas caixas de som do computador, obviamente isso é apenas uma POC, porém nada impediria do teclado enviar comandos via USB para o computador enviando emails com seus dados, tudo isso sem você nem imaginar, pois o teclado de acordo com o computador é o mesmo que estava ontem, interessante?

Pois bem amantes da criptografia de acordo com esse artigo da ANU News, foi criado o primeiro “storage” em estado quantico, ou seja, um storage do tipo read-only que nunca irá apresentar duas leituras iguais, bem prático não ?
Como eu não sou muito da área quantica vou terminar por aqui dessa vez, apenas citando o artigo, mas achei bem interessante isso.

Diferente do que os analistas de segurança acreditavam, um bug que foi encontrado semana passada no protocolo TLS, que permite injectar um pouco de texto no inicio dos pacotes TLS, relamente é grave. O estudante turco, Anil Kurmus conseguiu criar um exploit para o Twitter, o que ele injetou comandava o Twitter a repostar o login/senha do usuário, já descriptografado, em uma outra conta do Twitter (o Twitter já resolveu esse problema).
Isso foi feito apenas para mostrar que o bug é perigoso, diferente do que se acreditava.
Apenas o OpenSSL está se movimentando para corrigir o mesmo.
Fonte: TheRegister

E começou a festa, foi encontrado o primeiro exploit para o Windows 7 e Windows Server 2008 R2, ele ataca o protocolo SMBv1 e SMBv2, causando o travamento da máquina e necessitando um Reboot manual. Até agora a Microsoft falou para bloquear as portas TCP 139 e 445, não se sabe quando eles vão arrumar isso.
Importante, Windows Vista, Windows Server 2008, Windows XP, Windows Server 2003 and Windows 2000 não são afetados pelo exploit.
Fonte: Computerworld

Bom, foi encontrada uma falha de vulnerabilidade no Flash que não será sanada tão cedo de acordo com a Adobe. De acordo com Mike Bailey do site ForegroundSecurity, a vulnerabilidade é muito parecida com a forma como o Javascript valida os conteúdos, coisa que o Flash faz parecido, mas não tanto. Pelo que pude entender, é justamente esse não tanto que causa isso, você consegue subir um conteúdo inválido, ele é executado e pronto, você tem o seu exploit.
A forma de corrigir isso? Colocar mais restrições e validações nos arquivos que possam ser enviados, isso quem tem que fazer é o administrador do site, e como temos muitos administradores por ai que não sabem esses detalhes de programação, ou que não se importam, tenham muito cuidado.

Bem, volta e meia surge uma forma de conseguir root via local exploit no Linux, o que “normalmente” é arrumado na velocidade da luz, os patchs são feitos e todo mundo fica feliz. Parece que esse bug que o The Register está falando está a um certo tempo, foi arrumado no OpenBSD ano passado, finalmente foi arrumado no Linux, porém os RH continuam vulneráveis. Linus fala que não é um problema de Kernel, porém você utiliza uma função do kernel (mmap_min_addr por exemplo) para criar o exploit e virar root. Não me interessa quem tem a razão, a RH, a única que ainda não havia fix, criou um fix, então, tratem de arrumar!