Aplicativos, geek, internet, Segurança e Privacidade

O Que esses tais de “Year Zero” e “Vault 7” do Wikileaks significam?

101-wikileaks-revealed-cnn-640x360

Original: Telegram, em http://telegra.ph/Wikileaks-Vault7-NEWS

Tradução: c0anomalous

O Wikileaks divulgou uma nova coletânea de documentos que eles chamaram “Year Zero” (“Ano Zero”). De acordo com estes documentos, a CIA criou “sua própria NSA” com “ainda menos responsabilidade e transparência”. O recém descoberto arsenal hacker da agência inclui técnicas que alegadamente permitem à CIA burlar a criptografia de aplicativos de mensagens como WhatsApp ou Signal, hackeando os smartphones das pessoas e coletando tráfego de mensagens e áudio antes da criptografia ser aplicada.

Isto não é um problema de aplicativo. É relevante ao nível de dispositivos e sistemas operacionais como iOS e Android. Por esta razão, nomear qualquer aplicativo em particular neste contexto é enganoso.

Como assim?

Para colocar “Year Zero” em termos familiares, imagine um castelo numa montanha. O castelo é um aplicativo de mensagens seguro. O dispositivo e seu sistema operacional são a montanha. Seu castelo pode ser forte, mas se a montanha abaixo for um vulcão ativo, há pouco que seus engenheiros possam fazer.

Então, no caso do “Year Zero”, não importa realmente qual aplicativo de mensagens você use. Aplicativo nenhum pode impedir seu teclado de saber quais teclas você pressiona. Nenhum aplicativo pode esconder o que aparece na tela do seu sistema. E nada disso é um problema do aplicativo.

Então quem pode consertar isto?

Agora depende dos fabricantes do dispositivo e do sistema operacional, como Apple e Google, ou Samsung, para consertar seus vulcões e torna-los montanhas novamente.

Felizmente, no caso do “Year Zero”, a montanha não é exatamente um vulcão. É mais como uma grande montanha que está repleta de túneis e passagens secretas. As ferramentas do “Vault 7” [o pacote de documentos vazados completo, do qual Year Zero é a primeira parte] são como um mapa destes túneis. Agora que os fabricantes dos sistemas operacionais e dispositivos, como Apple e Google, vão pegar este mapa, eles podem começar a preencher os buracos e barrar as passagens. Isto requererá muitas horas de trabalho e muitas atualizações de segurança, mas eventualmente eles devem conseguir cuidar da maioria dos problemas.

Quem é afetado?

A boa notícia é que por hora tudo isso é irrelevante para a maioria dos usuários do Telegram. Se a CIA não estiver atrás de você, você não deve começar a se preocupar ainda. E se ela estiver, não importa quais aplicativos de mensagens você use, enquanto seu dispositivo estiver rodando iOS ou Android.

Os documentos publicados não incluem detalhes de como recriar e usar as ciberarmas da CIA. Wikileaks disse que eles iriam reter tais publicações até que se torne claro como estas armas devam ser “analisadas, desarmadas e publicadas”.

Isto significa que o seu vizinho provavelmente não terá acesso às ferramentas recém descobertas antes delas serem neutralizadas.

O que eu posso fazer?

Há algumas precauções gerais que você pode seguir para aumentar a segurança de seu dispositivo:

  • Não use dispositivos com root ou jailbreak até que você esteja 400% certo de que sabe o que está fazendo.
  • Nunca instale aplicativos de fontes desconhecidas ou não confiáveis.
  • Mantenha seu dispositivo atualizado e sempre instale as atualizações de segurança que ele oferece.
  • Pegue um fabricante que ofereça atualizações de longo prazo para seus produtos.
  • Lembre-se que dispositivos que não recebem mais suporte têm um risco aumentado de estarem vulneráveis.

Estas medidas o protegerão de exploits “Year Zero” apenas quando fabricantes de sistemas operacionais e dispositivos implementarem os consertos relevantes, mas seguir estas dicas desde já pode te deixar muito mais seguro contra várias das ameaças conhecidas às quais você estaria exposto.

Sumarizando

“Year Zero” não é um problema de aplicativo. Ele se aplica a dispositivos e sistemas operacionais e requererá atualizações de segurança de seus respectivos fabricantes para mitigar as ameaças. Mencionar qualquer aplicativo em particular neste contexto é enganoso.

Wikileaks alega que a CIA tem tido um mapa dos túneis e passagens secretas na sua montanha há vários anos. A CIA poderia usá-los para olhar dentro de seu castelo e ler dados da tela do seu celular, antes que qualquer aplicativo tenha a chance de criptografá-los. É possível que alguns dos túneis dos mapas secretos tenham sido ou sejam descobertos por atores além da CIA.

A notícia mais importante é que após este vazamento, os fabricantes de dispositivos e sistemas operacionais finalmente terão acesso a estes mapas também. E então Samsung, Apple, Google e outros poderão começar a trabalhar para fazer suas montanhas inacessíveis à CIA e qualquer um que tente seguir em seu encalço.

Anúncios
Padrão
Aplicativos, geek

Truecaller: Livre-se do incômodo do Telemarketing Ativo

truecaller_logo

É quase 2017 e telemarketing ativo ainda existe… Que infortúnio.

Onde mais tem telemarketing ativo é no telefone fixo. Pior de tudo é a insistência, você diz que não está interessado em seja lá o que for, mas eles continuam ligando mesmo assim. Telefone fixo, por mais que seja necessário às vezes, na maior parte do tempo só serve para encher o saco. Infelizmente, quanto a este o melhor que você pode fazer é tirar o fio da tomada, ou, no máximo, informar, polidamente mas com firmeza, que você não quer mais receber ligações deles, solicitar que o seu número seja retirado da lista, e ameaçar processar se eles tornarem a ligar. Sim, você tem esse direito.

Mas se o problema forem ligações de telemarketing no celular, você pode instalar um aplicativo grátis chamado Truecaller. Tem para todos os sistemas operacionais móveis. Todos mesmo, não só para Android e iOS, mas também para Windows Phone, BlackBerry (BB10 e os mais antigos) e até mesmo Symbian e S40.

truecaller

Depois de instalar e configurar para o seu número, na parte de baixo (ver foto acima), uma barra branca com quatro opções, clique em Bloquear (ícone de escudo), depois clique em Bloquear Configurações, e marque a caixinha “Bloquear Spammers”. Pronto. Se quiser, na mesma tela, também pode marcar “Bloquear números ocultos”. Se quiser também bloquear chamadores específicos para eles não te perturbarem (desafetos, parentes inconvenientes, ex-namoradas por exemplo) nas opções do menu de baixo clique em Contatos, ao lado de Bloquear, selecione o chato ou chata, e clique em bloquear.

http://truecaller.com/

Feliz 2017, com menos encheção de saco.

telemarketing

Padrão
geek, Segurança e Privacidade

Segurança em Celular e Autenticação em Duas Etapas

sms-of-surveillance-system_318-52685

https://blog.kaspersky.com.br/gsm-hijacking/6150/

Este post do blog do Kaspersky é interessante, mas os nomes e detalhes técnicos são bastante espinhosos, provavelmente não vão fazer muito sentido para quem não é especialista em criptografia, eu por exemplo não sou especialista, no máximo um autodidata dedicado.

Mas a conclusão final não é difícil de entender: Não é seguro, as suas chamadas e mensagens não são protegidas com chaves às quais o servidor (ou melhor, a operadora) não tem acesso. Apesar de ser relativamente caro e difícil, requerendo uma espécie de torre de celular falsa perto do local onde está o dono do celular, não é impossível interceptar o sinal de um celular (ataque man-in-the-middle), descobrir a chave de autenticação do usuário com criptoanálise, e realizar ataques, tais como se passar pelo dono do celular, ouvir conversas ou ler mensagens trocadas por aquele número.

Isto não é exatamente um defeito do sistema: A falha é um backdoor proposital dos engenheiros que elaboraram o sistema GSM, para que as operadoras pudessem obedecer pedidos de grampo por autoridades. Todo backdoor feito para ser usado legalmente também pode ser usado ilegalmente, e se o governo tem acesso por motivos que todos julgaríamos legítimos, também tem acesso para qualquer coisa. Se for com a ajuda da operadora, é trivialmente fácil: Ela pode literalmente mandar um sinal mandando o celular desligar a criptografia, e o usuário nem fica sabendo, não em modelos novos.

Quando Glenn Greenwald foi falar pela primeira vez com Laura Poitras, no restaurante de um hotel, sobre a fonte misteriosa que tinha entrado em contato com eles oferecendo um vazamento bombástico de segredos de governo (que depois ele descobriria ser Edward Snowden), Laura, melhor informada, pediu para que ele desligasse o celular e tirasse a bateria, ou o deixasse no quarto de hotel. Não era paranoia.

Todas as vezes que foi anunciado que o Telegram foi hackeado, principalmente em países ditatoriais, como o Irã, o que aconteceu na verdade foi que o número do celular, por padrão a única forma de autenticação do Telegram, foi clonado. É uma ótima ideia criar uma senha para o Telegram também, a chamada autenticação em duas etapas. Não use uma senha ridícula, e se estiver trocando informações extremamente sigilosas e comprometedoras, dispense a nuvem, use apenas o chat secreto, ou outro aplicativo como o Signal. O WhatsApp, e qualquer aplicativo de mensagem que também exige apenas sms de confirmação, também pode sofrer um ataque deste tipo sem problema algum.

Falando em autenticação em duas etapas, vários serviços, incluindo Google, Facebook, Microsoft e WordPress, oferecem este incremento de segurança, as duas etapas seriam a senha e um sms para o seu celular… Que como vimos não é exatamente a coisa mais segura do mundo. Sem falar que muitas vezes as mensagens demoram pra chegar, ou nem chegam. O melhor é você trocar a opção de segunda etapa com SMS por segunda etapa com Google Authenticator. É um aplicativo grátis, tem para todos os sistemas operacionais, veja como instalar e usar o Google Authenticator, ou outro autenticador de sua escolha. Pode ser no celular mesmo, no PC ou Notebook, ou, melhor ainda, se puder, em algum dispositivo que não saia da sua casa e que você não usa muito (um celular ou tablet velho é uma ótima pedida). Ele funciona gerando um código de 6 dígitos como senha descartável para cada acesso do serviço em um novo dispositivo, similar ao token que alguns bancos oferecem ao usuário. Por exemplo, se você comprar um celular novo e for entrar no Facebook nele pela primeira vez, vai pedir a senha do Authenticator.

A Apple também oferece este tipo de verificação em duas etapas, via Google Authenticator, sms, e, apenas para sistemas compatíveis com iOS 9, OS X El Capitan ou superior, um sistema de autenticação em duas etapas próprio, que eles chama de autenticação de dois fatores, em que a senha secundária é informada em dispositivos da Apple que você já tenha.

Mais detalhes:

O que é a autenticação de dois fatores e como usá-la? | Nós …

Verificação em duas etapas do Google

Autenticação de dois fatores do ID Apple – Suporte da Apple

Verificação de duas etapas para o ID Apple – Suporte da Apple

Verificação em Duas Etapas – Microsoft Community

 

 

Padrão
Empresas, Empresas, geek, Segurança e Privacidade, Sem categoria

A Apple é Ruim?

image

Antes de ler aqui, recomendo assistir este vídeo do Nerdologia: https://www.youtube.com/watch?v=WzYXU2b_6cM

É verdade, as empresas não são sua família nem suas amigas, e nem acho que seja papel delas serem. Mesmo assim, acho que empresas, como pessoas, possuem pontos positivos e negativos, e a Apple não é diferente. Cada usuário deve avaliar friamente estes pontos positivos e negativos quando vai escolher sua máquina.

O que a Apple tem de ruim acho que a maioria das pessoas já sabem: Subcontratam legiões de funcionários chineses em condições de semiescravidão para fabricar seus aparelhos, praticam, em sua própria sede, assédio moral, dentre outras práticas condenáveis (o próprio Steve Jobs era fã disso, típico chefe que ninguém suporta), cobra preços altíssimos por aparelhos simplesmente pela marca, seus sistemas operacionais são limitadíssimos, não dão liberdade ao usuário…. Eles até usam padrões estranhos de parafuso em seus dispositivos para dificultar o trabalho de assistências não autorizadas. A lista é longa.

Mas será só isso?

Eu vou dizer que realmente não acho que valha a pena ter um iPhone ou um iPad, para quase nenhum perfil de usuário. Neste caso, realmente, trata-se simplesmente de pagar caro pela marca. O sistema é muito limitado, não é possível nem mesmo trocar arquivos livremente por USB com o PC, instalar aplicativos da fonte que você quiser (a não ser que você faça um jailbreak, que é arriscado e invalida garantia). Até pouco tempo atrás, não sei se ainda é assim, não dava nem para trocar arquivos com Bluetooth com outros celulares, porque Steve Jobs estava mais preocupado com proteger direitos autorais do que permitir mais liberdade de uso aos seus clientes. Ah, acredita que no Telegram para iOS os canais de pornografia são censurados?

Quanto aos computadores iMac e MacBook, estes realmente valem a pena. Porque o hardware é de altíssima qualidade, durável, demora para ficar obsoleto, e o macOS (até pouco tempo atrás chamado OSX) é um sistema operacional Unix sólido, seguro, mas tão livre quanto qualquer Unix. Ao contrário do iOS, pode instalar programas de onde quiser (inclusive piratas), mexer nos arquivos do sistema, ou fazer qualquer coisa, além de possuir suporte a aplicações comerciais como Office, Photoshop, e AutoCAD. Mesmo os jogos, que eram o calcanhar de aquiles do Mac, agora já estão disponíveis em grande número. O preço de um Mac é realmente caro (começando em 7mil reais) por isto eu acho que vale mais a pena comprar um usado, ou mesmo viajar aos EUA comprar um (pasme, sai mais barato). O MacBook é o computador de escolha do hacker Moxie Marlinspike, da Open Whisper Systems, organização que fez o protocolo de mensagens seguras Signal.

Falando nisto, a Apple tem uma reputação muito melhor em proteger a privacidade dos usuários do que Google e Microsoft, chegando até a se recusar a colaborar com o governo americano para quebrar a criptografia do iPhone de uma terrorista, o que não seria possível fazer sem comprometer a criptografia de todos os usuários de iPhone. A Microsoft, em especial, é a pior nesse aspecto, nenhuma empresa ajudou tanto a NSA a quebrar a privacidade dos usuários.

Acusam muito a Apple de praticar a “obsolescência programada”, que é quando as fabricantes deixam de oferecer suporte aos seus aparelhos para forçar os consumidores a comprarem novos. Todas tem um pouco de culpa nisso, e a Apple também, mas não é das piores. Os Macs, iPhones e iPads recebem atualizações por longos períodos, o iPad 2, por exemplo, lançado em 2011, recebeu atualização ainda neste ano para iOS9, não que eu ache que por isto valha a pena comprar um. Acho que uma grande parte das acusações de obsolescência programada é por ignorância técnica. Se um computador de 10 anos atrás roda com lentidão um sistema operacional moderno, isto não se trata de uma conspiração da fabricante para as pessoas comprarem mais, mas simplesmente porque sistemas novos exigem mais memória e poder de processamento para novos recursos. Chega a ser ridículo exigir que ele funcione com o mesmo desempenho de sempre. Algumas fabricantes de Android oferecem suporte por mais tempo que outras (a Samsung é a pior neste sentido), mas a liberdade dos aparelhos feitos para Android significa que você pode instalar roms customizadas e se manter atualizado mesmo após o fabricante abandonar o aparelho.

A segurança é outro ponto forte dos Macs: Como todos sabem, malwares para Mac são raros, e o sistema tem muito poucas brechas que possam ser exploradas por crackers, muito menos que o Windows. É verdade que você pode ter uma segurança parecida usando Linux, que hoje em dia é muito mais fácil do que costumava ser. O problema do Linux para usuários pouco experientes é que quando dá alguma encrenca no Linux, você não tem suporte dedicado, apenas fóruns cheios de caras muito babacas que praticamente vão exigir para você resolver o problema sozinho antes de mexer um dedo para te ajudar (é verdade que o pessoal do Ubuntu é bem mais sipático que a média). Também há muito pouco suporte para aplicações comerciais, e para muitos usuários, as soluções livres não bastam. Em geral, as distribuições Linux não são tão estáveis, bonitas, nem oferecem uma experiência de uso tão agradável quanto o macOS.

Padrão