Durante a Web 2.0 Expo, em Nova Iorque, na última sexta-feira, o engenheiro Ojan Vafai, da Google, anunciou que o novo navegador da empresa, Chrome, receberá suporte a complementos, a exemplo de seus dois maiores concorrentes, Firefox e Internet Explorer.

“Existem dois diferentes tipos de complementos. Os do Firefox ampliam o navegador, por assim dizer, e também existem os scripts de usuários. Planejamos permitir os dois no Google Chrome”, explicou Vafai.

Para o engenheiro, muitas pessoas já perceberam que com diversos complementos do Firefox ocorrem problemas de instabilidade, algo que a Google pretende trabalhar duro para que não aconteça. “Esperamos fazê-lo corretamente”, declarou.

Vafai comentou ainda o erro de pessoas que afirmaram, assim que o Chrome foi lançado, que esta poderia ser uma tentativa de enfrentar a Microsoft no campo de sistemas operacionais. O engenheiro explicou que são duas coisas totalmente diferentes e que diversas funcionalidades em navegadores são dependentes de sistemas operacionais, como a renderização de fontes, por exemplo.

Na conferência, executivos responsáveis pelos rivais Firefox e Internet Explorer também falaram. Brendan Eich, da Fundação Mozilla, disse que a equipe de desenvolvimento do Firefox estuda o código do Chrome para aproveitar uma de suas funcionalidades mais inteligentes, a de abas rodando como processos independentes, noticiou o Tech.Blorge.

Chris Wilson, da Microsoft, informou que os complementos já estão presentes há muito tempo no Internet Explorer, mas ressaltou sua codificação muito complexa. Como solução, a companhia estaria planejando melhorar esta interface. Todavia nenhum detalhe de como isso será feito foi dado.

O Governo Federal sofre 2.100 tentativas de invasão/dia. Dados foram contabilizados em agosto e são ataques distintos, registrados pelo Centro de Incidência de Redes, do Poder Executivo, subordinado ao Gabinete Institucional da Presidência da República.

Informações foram fornecidas pelo Diretor de Segurança da Informação e Comunicações, Raphael Mandarino Junior. Maior parte dos ataques vem da China e do Leste Europeu. “Com a China não há nenhum tipo de cooperação. Com o Leste Europeu, começamos a desenvolver um trabalho com a Rússia”, destacou Mandarino.

“Apenas uma rede do Governo, em 2007, sofreu mais de três milhões de ataques distintos. É verdade que boa parte foi spam, fishing, mas houve o registro de 1% de intrusão. E sabe o quê mais me preocupa? O que não conseguimos detectar”, observou Mandarino, para uma platéia de executivos presentes ao CNASI 2008, que atuam como usuários e/ou fornecedores na área de Segurança da Informação.

O Comitê de Segurança da Informação do Gabinete Institucional da Presidência da República cuida de 320 redes ligadas ao Poder Executivo, entre elas, Receita Federal, Serpro, Banco Central, entre outras. NO total, em agosto de 2008, foram registradas 2.100 notificações de ataque/dia. “Não pensem que há dados repetidos. O spam da Receita Federal, por exemplo, conta como uma única notificação”, observou Mandarino Junior.

No último dia 13 de setembro, entrou em vigor a Instrução Normativa sobre Segurança da Informação. “Nós aborrecemos os outros”, brincou Mandarino, ao falar sobre as novas regras. Elas tentam unificar uma política de segurança para o Governo, dentro do que o Tribunal de Contas da União determinou em agosto deste ano, quando disse que 48% dos órgãos federais não possuíam políticas de Segurança estruturadas.

“Não é fácil mudar paradigmas e cuidar da segurança da informação é transformar hábitos nada simples”, destacou Mandarino. No próximo dia 24, por exemplo, o Comitê Gestor do Gabinete Institucional da Presidência da República se reúne para tratar da questão e avaliar como está o grau de adoção das novas políticas”, explicou o diretor da área de Segurança da Informação e Comunicação.

Com relação aos ataques notificados diariamente no Centro de Incidência de Redes do Governo Federal, Mandarino disse que 80% deles vêm da China e do Leste Europeu. “Infelizmente não possuímos nenhum acordo com este país e não há como conversarmos com eles sobre uma política de rastreamento e punição”, destacou.

Já com o Leste Europeu, em especial, com a Rússia, o governo brasileiro possui um acordo bilateral e há um trabalho conjunto sendo feito nesta parte de Defesa Cibernética. O governo, aliás, destacou ainda Mandarino está assinando uma série de acordos com outros países.

Já há acertos com o governo de Portugal, da Espanha e França, além da Rússia. Outros acordos estão bem próximos de serem assinados, entre eles, com Israel, Estados Unidos, Luxemburgo e Itália.

“Esse tipo de tratado é fundamental porque nos permite coordenar ações de rastreamento, de controle, enfim, de buscar uma punição para os hackers, crackers”, afirma Mandarino.

O executivo participou nesta segunda-feira, 22/09, da cerimônia de abertura, do XVII Congresso Latino-Americano de Auditoria de Sistemas,Segurança da Informação e Governança - CLASI, que acontece até o dia 24, na capital paulista.

A Apple publicou nesta quinta-feira, 31/7, um pacote de correções para o Mac OS X que atacam, entre outros, o bug do DNS.

A falha no DNS, divulgada em 8/7 e corrigida nessa mesma data por uma série de empresas, permite o redirecionamento de internautas para sites falsos. Isso é obtido mediante a adulteração das tabelas de DNS, que fazem as associações entre nomes de domínio e endereços IP.

A falha no DNS localiza-se no software que faz parte da própria infra-estrutura da internet. Desse modo, a correção da Apple para o Mac OS, assim como outras atualizações já liberadas (a do Windows saiu no dia 8/7), introduz procedimentos randômicos nas pesquisas de DNS que impedem a exploração da vulnerabilidade.

O pacote da Apple traz também mais de uma dezena de outras atualizações. Para mais detalhes, veja o alerta da empresa neste endereço.

Carlos Machado, da INFO

Divulgado o primeiro caso concreto de exploração do bug no sistema de DNS.

A empresa americana BreakingPoint Systems, de Austin, Texas, que fornece equipamentos para redes, tornou-se a primeira vítima conhecida de um ataque de “envenenamento de cache” do DNS.

Segundo relato da Security Focus, a página inicial do Google, no browser dos empregados da BreakingPoint, apareceu esta semana com quatro janelas. Isso aconteceu não apenas na empresa, mas também em muitas residências em Austin, Texas, cidade onde fica a sede da BreakingPoint.

Uma investigação apurou que o caso não tinha nada a ver com o Google. Um dos dois servidores de nomes (DNS) da BreakingtPoint estava fornecendo a direção errada do Google. Assim, quando os usuários digitavam o endereço do mecanismo de busca, seu browser era levado para um falso site do mecanismo de busca, controlado por crackers.

Continuando a investigação, descobriu-se que aquele servidor de DNS na verdade consultava outro computador da AT&T, o qual fornecia o endereço IP errado. Mudada a fonte de consulta, o problema foi resolvido. Ao mesmo tempo, a AT&T foi alertada sobre o problema: um de seus servidores possivelmente estava envenenado.

Esse caso, embora único, mostra a importância dos provedores de acesso à internet no caso do DNS. Se eles não aplicam as correções, empresas e usuários individuais podem tornar-se vulneráveis. E, nesse caso, vale a pena insistir: não importa a maior ou menor segurança do sistema local.

Postado por - Carlos Machado - 31/07/2008

Embora mantido em segredo, o código para “envenenar” o DNS já está na internet. Atualize seu sistema.

No decorrer deste mês, escrevi duas notas para este blog sobre uma gravíssima brecha de segurança no sistema de DNS. Mas a história ainda não terminou, e volto agora ao mesmo assunto. Aqui vai um resumo dos capítulos anteriores. O pesquisador Dan Kaminsky descobriu uma forma simples de explorar a falha, que já era conhecida e estaria sob controle. A falha permite a invasão de servidores DNS para falsificar a correspondência entre nomes de domínio e números IP.

Qual o perigo? Com o banco de dados do servidor adulterado, o usuário pode digitar o endereço de um banco e cair num site falsificado. O pior de tudo é que, como o DNS faz parte da infra-estrutura da internet, a ameaça existe para qualquer usuário, de qualquer sistema operacional.

Kaminsky manteve o assunto em segredo e revelou-o somente a um grupo de dezesseis empresas-chave. Esse grupo decidiu que, como seria complicado mexer estrutura do DNS, cada uma das empresas deveria liberar correções para os seus próprios produtos. Desse modo, a Microsoft, por exemplo, soltou uma atualização para o Windows. Essa atualização consiste em randomizar as solicitações ao sistema de DNS a fim de anular as possibilidades de exploração do bug (que continua lá).

Correções semelhantes foram liberadas por outras empresas. Segundo o centro de segurança US-CERT, além de produtos da Microsoft, a vulnerabilidade afeta títulos de empresas como Cisco, o Internet Software Consortium (ICS), Juniper Networks, Red Hat e Sun. Também estão potencialmente ameaçados produtos de fabricantes como Apple, Debian, Fedora, FreeBSD, HP, IBM, Motorola, Nokia e Ubuntu.

Liberadas as atualizações, Kaminsky prometeu que revelaria o exploit (o código para explorar a brecha)em agosto, num seminário de segurança. Mas nessa área nenhum segredo permanece de pé por muito tempo. Outros pesquisadores já descobriram o que Kaminsky manteve trancado a sete chaves. Hoje, mais de um exploit já está disponível na rede.

Para evitar o pior, as empresas estão recomendando aos usuários a imediata instalação das correções. Portanto, não há tempo a perder. Em casa ou na empresa, atualize seu sistema. Creio que, pela lista de empresas afetadas (reveja acima), não é necessário repetir que, nesse caso, é bobagem você pensar que seu sistema operacional, por ser ”mais seguro”, dispensa a atualização.

Postado por - Carlos Machado - 25/07/2008

No início, eles duvidavam. Agora reconhecem que o problema era realmente grave.

Logo depois que várias empresas lançaram correções simultâneas para uma brecha no DNS, o sistema de nomes da internet, muitos especialistas em segurança receberam essa iniciativa com ceticismo. Como se tratou de uma operação sigilosa, eles não sabiam exatamente nem o motivo nem o impacto dessa correção. Alguns até sugeriram que a correção seria algo inútil.

De fato, brechas no DNS já eram conhecidas. Só que não era simples, por exemplo, produzir um envenenamento de cache, ou seja, incluir dados falsos na lista de nomes de domínio e endereços IP de um servidor DNS. O que o pesquisador Dan Kaminsky fez foi descobrir uma forma de explorar essa brecha de modo trivial. Aí é que morava o perigo.

Esta semana, após a divulgação das correções, muitos especialistas duvidaram que Kaminsky tivesse feito alguma descoberta. Thomas Ptacek, pesquisador-chefe da empresa de segurança Matasano, declarou: “No início eu estava muito cético porque não achava que, em pleno 2008, fosse possível descobrir no DNS qualquer coisa que já não fosse conhecida”. Mas em seguida ele deu a mão à palmatória: “Corrija o seu servidor já. Dan estava certo. E eu errado”. Essa frase está em destaque no blog de Ptacek. .

Curiosamente, o próprio Kaminsky fez uma autocrítica pública. Preocupado com a segurança da internet, ele só revelou sua descoberta a um pequeno grupo de especialistas ligados a empresas-chave no item DNS: o Internet Systems Consortium (ISC), Microsoft, Cisco etc.

Kaminsky diz que subestimou o impacto de não incluir outros pesquisadores naquele grupo. Obviamente, isso causou não apenas dúvidas (como a de Ptacek), mas também certa dose de ciúmes de especialistas que ficaram de fora. “Se eu fosse fazer tudo outra vez, faria diferente”, diz ele.

Carlos Machado - 11/07/2008

Fabricantes de software e hardware corrigem falha gravíssima no DNS, o sistema de endereços da internet.

A falha, segundo o US-CERT, agência de segurança digital do governo americano, permitia o ataque conhecido como envenenamento de cache, que consiste na introdução de dados falsos no cache de um servidor de nomes DNS.

O servidor de nomes, como se sabe, cuida da tradução de nomes para números IP. Quando o usuário digita no browser um nome como www.info.abril.com.br, o servidor converte essa URL para o número IP correspondente, que é para o browser é direcionado. Com o envenenamento do cache, correspondências falsas entre URLs e IPs podem ser introduzidas no sistema.

Assim, o usuário digita o nome, mas, em vez de ser levado ao IP correto, pode parar num site que é uma contrafação do endereço desejado. Obviamente, quem faz esse tipo de ataque tem objetivos criminosos. Portanto, tentará injetar no cache do servidor falsos IPs de sites financeiros, órgãos de governo, sites comerciais etc. O pior disso tudo é que um ataque nesse nível invalidaria qualquer esforço de segurança feito dentro da casa ou da empresa do usuário, porque o próprio coração da internet estaria corrompido.

A descoberta da vulnerabilidade foi feita por Dan Kaminsky, diretor da firma de segurança americana IOActive, sediada em Seattle. Segundo Kaminsky, o problema reside no próprio software básico do sistema DNS. Diz ele: “Trata-se de um problema fundamental que afeta o próprio projeto. Como o sistema está se comportando exatamente como deve, então o mesmo bug vai aparecer num fornecedor após outro. Esse bug afetou não apenas a Microsoft… não apenas a Cisco, mas todo mundo”.

Por causa do problema, várias empresas publicaram correções para seus produtos. A Microsoft já liberou atualizações para o Windows, como uma medida paliativa. Também o Internet Software Consortium, que cuida do servidor Berkeley Internet Name Domain (BIND), também publicou um upgrade para seu servidor. Além disso, o CERT entrou em ação para dar o alerta.

A liberação das correções individuais foi decidida em conjunto pelas empresas, reunidas na sede da Microsoft. Kaminsky participou das discussões e manteve o assunto em sigilo até agora. As alterações implementadas pelos fornecedores de hardware e software consistem em tornar mais aleatórias as portas usadas nas buscas de DNS. Não se trata, contudo, de uma solução definitiva.

A MS disse nesta segunda-feira que está interessada em reabrir negociações com o Yahoo.

As negociações, segundo a Microsoft, só seriam reabertas se um novo conselho do Yahoo fosse eleito em 1º de agosto, numa reunião dos investidores, dando força a Carl Icahn.

O bilionário Icahn, o maior investidor do Yahoo, está concorrendo ao conselho, disse em carta aberta nesta segunda-feira, e falou que tem tido conversas freqüentes com Steve Ballmer, CEO da MS.

“Steve deixou claro para mim que se um novo conselho for eleito, ele estaria interessado em discutir uma nova e grande negociação com o Yahoo”, o que poderia ser a compra da sua divisão de busca, com grande garantia financeira, ou a aquisição completa do Yahoo, disse Icahn.

A Microsoft disse que seria prematuro discutir detalhes, como, por exemplo, o preço que deve oferecer ao Yahoo. A última oferta tinha sido de US$ 33 por ação, enquanto o Yahoo pedia US$ 37.

As notícias fizeram com que as ações do Yahoo subissem mais de 10% na Nasdaq, indo a US$ 23,57.

Icahn tem sido um ferrenho crítico do conselho e do CEO Jerry Yang nos últimos meses, dizendo que a empresa atrapalhou as negociações com a MS.

O estudante Jacob Whitehill, Ph.D em ciência da computação da Universidade Jacobs School of Engineering de San Diego, nos Estados Unidos, criou um programa capaz de alterar a velocidade de reprodução de um vídeo a partir da expressão facial de uma pessoa, capturada em tempo real.

Segundo o site “Gizmodo”, a invenção é o primeiro passo para um projeto maior, que pode render a integração da tecnologia no controle de robôs professores, que ganharão em eficiência.

Em uma demonstração piloto, Whitehill e seus colegas mostraram como as expressões faciais de uma pessoa podem colaborar na reprodução de aulas gravadas em vídeo, alterando sua velocidade de exibição de acordo com a dificuldade percebida pelo usuário a cada momento.

“Se eu sou um estudante lidando com um professor robótico e estou completamente confuso enquanto o robô continua a me apresentar novo conteúdo, ele não será muito útil para mim. Se, em vez disso, o robô parar e disser Ah, talvez você esteja confuso e eu disser Sim, obrigado por parar, isso será muito bom”, explicou o autor do projeto.

O teste piloto envolveu oito pessoas que, em momentos de dificuldade, tiveram expressões variadas. A semelhança foi que, na maior parte dos casos, as pessoas confusas piscaram com menos freqüência durante as partes difíceis das explicações.

Nesta parte inicial de pesquisas, foram coletados exemplos de expressões faciais de um grupo de pessoas submetidas a aulas de alemão, que ajudarão a melhorar o reconhecimento.

Os primeiros resultados estão sendo apresentados em conferências especializadas, conforme noticiou o site “Physorg”.

Fonte: Tecnologia UOL