Menu

PRINCIPAIS NOTÍCIAS SOBRE INTERNET E TECNOLOGIA

28/04/2014

Microsoft alerta: vulnerabilidade afeta TODAS as versões do IE

Num primeiro alerta de segurança após a aposentadoria do Windows XP, a Microsoft publicou neste final de semana comunicado informando a descoberta de uma vulnerabilidade nas versões 6,7,8,9,10 e 11 [ou seja, todas as versões] do navegador Internet Explorer (IE),que permite aos hackers invadir e executar remotamente código malicioso em PCs.

A vulnerabilidade foi identificada primeiro pela empresa de segurança FireEye que, na sexta-feira, 25/04, liberou um alerta de "zero day" mencionando que o problema atingiria as versões 9, 10 e 11 do IE. O alerta da FireEye foi seguido no sábado pelo comunicado da Microsoft.

Segundo a Microsoft, foram identificados atentados contra usuários do IE que, ao visitar certos sites maliciosos de internet, foram atingidos por um tipo de ataque chamado "drive-bys". O ataque está na lista das invasões mais perigosas porque um browser vulnerável pode ser hackeado no momento em que ele abre a URL maliciosa.

A companhia explica que a vulnerabilidade permite que o Internet Explorer acesse um um objeto na memória do computador que já tenha sido apagado ou que não tenha sido alocado de forma apropriada. Ela permite corromper a memória da máquina de uma forma que dá ao atacante a chance de executar remotamente um código malicioso enquanto o usuário está visitando o site.

O risco é de cibercriminosos prepararem sites projetados especificamente para esse tipo de ataque e atrairem os usuários para eles por meio de uma mensagem de email falsa ou outro tipo de link.

Todas as versões do IE estão sob risco, incluindo a versão 6 do IE de 2001, que ainda recebe updates de segurança no Windows Server 2003 mas que, desde 8 de abril de 2014, não mais receberá nenhum update de segurança no Windows XP, já que essa versão do sistema operacional foi aposentada.

A Microsoft não prometeu explicitamente uma correção da falha, mas é esperado que a empresa o faça usando sua já tradicional Patch Tuesday, uma terça-feira em que a companhia distribui um lote de correções e updates para seus produtos de software. A próxima Patch Tuesday está programada para 13 de maio, dentro de duas semanas.

Enquanto isso, usuários que ainda permanecem com o Windows XP e que queriam se proteger do problema podem instalar o Enhanced Mitigation Experience Toolkit (EMET) 4.1, um utilitário contra ataques que está disponível no site da Microsoft.

O alerta de segurança publicado pela Microsoft inclui outras medidas que os usuários do IE podem tomar para reduzir o risco. Entre elas está desabilitar o arquivo vgx.dll file. Esse .dll (de dynamic-link library) é um dos módulos responsáveis por renderizar a VML (vector markup language) dentro do Windows e IE.

Fonte: IDG Now!

23/04/2014

Brasil possui velocidade média de Internet de 2,7 Mbps, a 83ª do mundo

De acordo com o relatório trimestral da Akamai, referente aos três últimos meses de 2013, a velocidade média da Internet no Brasil é de 2,7 Mbps. Levando-se em consideração os 133 países avaliados para esta nova edição do relatório “State of Internet”, a média global é de 3,8 Mbps.

O resultado coloca o Brasil na 83a posição nesse ranking, praticamente onde estava no trimestre anterior, 84a, o que constitui uma leve evolução. Entretanto, o relatório referente aos meses de julho a setembro incluía 138 países.

Segundo a Akamai, o Brasil foi o país de menor aumento da velocidade média no período analisado: uma aceleração de 0,2%. A maior foi no Quênia, 50%, onde a velocidade média é 1,9 Mbps – menor que a brasileira, portanto. Na média global, a velocidade aumentou 5,5%.

Na América Latina, o México é o país que se sai melhor, com média de 4 Mbps. Entre México e Brasil estão Equador e Chile (3,4 Mbps),Uruguai e Argentina (3,1 Mbps) e Colômbia (2,9 Mbps). O Peru empata com os 2,7 Mbps, deixando Costa Rica, Venezuela, Paraguai e Bolívia no fim do ranking – esta última com 1 Mbps.

A Internet mais rápida do mundo continua sendo a da Coreia do Sul, 21,9 Mbps, seguida de Japão (12,8 Mbps),Holanda (12,4 Mbps),Hong Kong (12,2 Mbps),Suíça (12 Mbps),República Tcheca (11,4 Mbps),Suécia (10,5 Mbps),Letônia (10,4 Mbps),Irlanda (10,4 Mbps) e dos Estados Unidos (10 Mbps).

Fonte: iMasters

10/04/2014

Heartbleed: conheça a maior falha da Internet e veja como se proteger

Uma recente ameaça foi descoberta em uma das implementações mais usadas do SSL (Secure Sockets Layer) e do TLS (Transport Layer Security),protocolos de segurança que são utilizados em inúmeros sites com o intuito de criptografar o tráfego entre dois computadores. Ou seja, manter a conexão segura.

Chamada de Heartbleed, a falha de segurança apresenta um perigo grave e imediato para qualquer servidor de Internet que não tenha recebido uma correção, de acordo com a empresa de segurança Symantec.

Quando explorada, a vulnerabilidade permite que informações sigilosas de usuários e empresas armazenadas de servidores web sejam interceptadas por crackers - o que pode incluir chaves SSL de sites, nomes de usuário e senhas, e até mesmo dados pessoais do usuário, como e-mail, mensagens instantâneas e arquivos, de acordo com a empresa finlandesa Codenomicon - a primeira companhia a identificar a Heartbleed em conjunto com Neel Mehta, um pesquisador da equipe de segurança da Google.

O Heartbleed, ou OpenSSL TLS 'heartbeat' Extension Information Disclosure Vulnerability (CVE-2014-0160),afeta um componente do OpenSSL conhecido como "heartbeat", e estima-se que a vulnerabilidade já exista há dois anos, embora só tenha sido descoberta e publicamente anunciada nesta semana. Vale ressaltar que o Heartbleed afeta somente o OpenSSL e não o protocolo de segurança SSL em si.

Ainda assim, é bom ficar de olho. Devido à popularidade do OpenSSL com os administradores de sites, o número potencial de páginas afetadas é enorme. A empresa de segurança e pesquisa de Internet Netcraft estima que o Heartbleed afeta cerca de meio milhão de "sites amplamente confiáveis". "Na escala de 1 a 10, ele [Heartbleed] é 11", afirmou o respeitado especialista em segurança Bruce Schneier em seu blog.

Sim, este bug é muito sério e é muito provável que ele afete ao menos uma de suas contas online.

Como funciona

O Heartbleed explora uma falha no OpenSSL, que não verifica corretamente o tamanho de um pacote de dados, ou "payload", na resposta do servidor a um comando. Ao manipular a comunicação um atacante pode enganar um servidor, fazendo com que ele retorne um pedaço do conteúdo de sua memória (até 64KB) na resposta. Capturando múltiplos pedaços de 64 KB por vez, um atacante pode vasculhar essa cópia da memória em busca das chaves de segurança usadas para criptografar a comunicação entre o servidor e os usuários. De posse da chave, a comunicação se torna um "canal aberto", e o malfeitor pode capturar nomes de usuário, senhas e quaisquer dados que estejam trafegando no momento.

Como se proteger

Para as empresas:

- Caso estejam usando o OpenSSL versão 1.0.1 até a versão 1.0.1f, deve atualizar o software para a versão mais recente (1.0.1g) ou recompilar a solução sem a extensão Heartbeat, usando a flag -DOPENSSL_NO_HEARTBEATS.

- Após isto, se você acredita que o certificado do servidor de Internet possa ter sido corrompido, entre em contato com a autoridade responsável pela certificação e peça a troca;

- Além disso, como uma boa prática, as empresas devem considerar a alteração das senhas dos usuários finais – especialmente aquelas com indícios de violação.

Já os usuários comuns de Internet podem:

- Monitorar qualquer notícia dos fornecedores que você utiliza. Uma vez que a vulnerabilidade é comunicada, os consumidores devem alterar suas senhas;

- Evitar acessar e-mail com links estranhos, pois eles podem conter o chamado phishing – as iscas, que buscam o seu clique;

- Não acesse sites duvidosos. Opte por portais oficiais e com reputação;

- Acompanhe a sua conta bancária e fatura do cartão de crédito. Desconfie de qualquer transação incomum ao seu perfil;

- Esteja ciente de que seus dados podem ser vistos por terceiros, principalmente se utiliza provedores de serviço vulneráveis.

Sites afetados

O site GitHub liberou uma lista com sites afetados e com sites não afetados pela falha. Há também ferramentas online - a da Lastpass, da Qualys Lab e da de Filipoo Valsorda - para testar se o site que você está acessando (ou irá acessar) está vulnerável.

Algumas empresas já estão tomando providências para evitar maiores estragos. O Google, por exemplo, afirmou que já eliminou a vulnerabilidade dos seus servidores, e que serviços como YouTube, Gmail, Play, Apps e App Engine tinham sido afetados.

O Tumblr também admitiu ter sido atingido pela falha e já está solicitando aos seus usuários a troca de senhas. O mesmo é recomendado para outros sites que você acessa e entrou na lista dos afetados. Mas - vale lembrar - que a mudança de senha deve ser feita somente depois de o site ter corrigido o problema.

Já há uma correção disponível para a falha e ela deve ser implementada em breve por todos os serviços que você mais utiliza - ainda mais agora, que a vulnerabilidade foi publicamente revelada. Trocar a senha antes disso não irá ajudar em nada. Se você achar que um site que você usa com frequência ainda está com problemas, a Codenomicon aconselha a "tirar um dia de folga" e deixar para acessá-lo depois.

Font: IDG Now

28/03/2014

Entenda os principais pontos do Marco Civil da Internet

Após cinco anos desde a concepção do primerio texto, e cinco meses trancando a pauta da Câmara dos Deputados, o Projeto de Lei 2126/11, do Executivo, conhecido como Marco Civil da Internet, foi aprovado na noite desta terça-feira, 25/3, em votação simbólica no plenário da casa.

A votação do projeto foi viabilizada na última semana, depois de negociações que prosperaram entre o governo e os partidos da Câmara.

Mas o que estabelece? Direitos dos usuários e deveres dos provedores de conexão e de conteúdo e serviços.

Entre os direitos dos usuários estão o respeito à privacidade e à liberdade de expressão.

Os internautas têm direito à inviolabilidade da intimidade, da vida privada e do sigilo das comunicações, salvo ordem judicial; à não suspensão da conexão, salvo por falta de pagamento do serviço; à manutenção da qualidade contratada; e o direito de pedir a exclusão definitiva de dados pessoais fornecidos a determinado site depois de terminada a relação entre as partes.

Outro direito previsto no texto, o de não ter seus registros de conexão e acesso fornecidos a terceiros, encontra limitações, pois esse compartilhamento poderá ocorrer se houver “consentimento livre, expresso e informado”.

Nos contratos de adesão, isso deverá ser feito por meio de cláusula específica destacada das demais, mas não há previsão no texto de que, se o internauta não aceitar a cláusula, ainda assim poderá usar o serviço.

Quanto aos direitos de liberdade de expressão e de privacidade, o substitutivo deixa claro que sua garantia é condição para o pleno exercício do direito de acesso à internet.

O texto considera nulas as cláusulas de contratos de serviços que contrariem o sigilo das comunicações privadas pela rede ou, em contratos de adesão, que não ofereçam como alternativa ao contratante a adoção do foro brasileiro para a solução de controvérsias.

Neutralidade

Entre os deveres dos provedores estão o respeito ao princípio de neutralidade de rede, segundo o qual os provedores e demais empresas envolvidas na transmissão de dados (host, por exemplo) não podem tratar os usuários de maneira diferente, mesmo que a velocidade contratada seja maior.

Assim, as empresas não poderão oferecer pacotes com restrição de acesso, como só para e-mail ou só para redes sociais, ou tornar lento o tráfego de dados.

A regulamentação das exceções a essa regra, para priorização de serviços de emergência ou requesitos tëcnicos à boa prestação dos servicós, será feita por decreto presidencial, após  pareceres da Agência Nacional de Telecomunicações (Anatel) e do Comitê Gestor da Internet (CGI),que já trabalharam juntos no estabelecimento de regras para o aumento da segurança da Internet, como o uso da porta 25 no combate ao SPAM.

O decreto também deverá preservar “a fiel execução da lei”, ou seja, seguir as atribuições de regulamentação de leis previstas na Constituição.  Partidos de oposição e o PMDB entendiam que a redação anterior do texto do marco civil permitiria a formulação de um decreto regulamentando pontos não tratados pelo projeto.

Guarda de logs

Também é obrigação dos provedores a guarda de logs de conexão e de acesso às aplicações.

Segundo o texto aprovado, os provedores de conexão devem guardar os dados por um ano sob sigilo. A responsabilidade pela manutenção desses registros não poderá ser transferida a terceiros.

Para fins de investigação, a autoridade policial ou administrativa ou o Ministério Público poderão requerer a guarda por um prazo maior, desde que apresentem pedido de mandado judicial.

Setores envolvidos com a investigação de crimes cometidos pela internet são contra a fixação desse prazo porque, atualmente, em acordo com os provedores, já é feita a guarda por três anos. O novo prazo aumentaria a burocracia nas investigações e passaria a depender do juiz.

O texto também proíbe os provedores de conexão de guardar os registros de acesso a aplicações de internet (como sites, blogs, fóruns e redes sociais).

Registro de aplicações

Já os provedores de aplicações constituídos na forma de pessoa jurídica e com fins econômicos deverão manter os registros desse tipo por seis meses.

Eles não poderão guardar registros de acesso a outras aplicações (quando se migra para o Facebook, por exemplo) sem que o titular dos dados tenha permitido previamente e também não poderão guardar dados pessoais excessivos em relação à finalidade para a qual foi dado o consentimento pelo usuário.

Também em relação aos provedores de aplicação, a polícia, a administração ou o Ministério Público poderão pedir a guarda dos dados por um período maior, pendente de ordem judicial para o acesso.

Qualquer parte interessada em um processo judicial cível ou penal poderá requerer ao juiz acesso a dados de conexão ou sobre aplicações para produzir provas.

Nesse caso, o pedido deverá conter os indícios fundados do ilícito, o período ao qual se referem os registros e a justificativa sobre sua utilidade para a investigação ou instrução probatória.

Responsabilidade dos provedores

De acordo com o texto, o provedor de conexão não poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros (clientes ou usuários).

Quanto aos provedores de aplicações, eles poderão ser responsabilizados se não tomarem as providências determinadas por ordem judicial, como retirar o conteúdo ofensivo do ar no tempo concedido.

Já que provedores de conteúdo podem produzir seu próprio material a ser divulgado na internet, mas também ceder espaço para outros usarem (blogs, por exemplo),a responsabilidade recairá sobre quem efetivamente produziu ou divulgou o material em questão (conhecido como provedor de informação).

Ao retirar o material, os provedores terão de informar o responsável sobre os motivos, exceto se o juiz determinar o contrário para não prejudicar investigações.

Além de sanções criminais ou cíveis, os provedores que desobedecerem a essas regras poderão sofrer penas de advertência, com indicação de prazo para medidas corretivas; multa de até 10% do faturamento no Brasil, excluídos os tributos; e suspensão temporária ou proibição de exercício de atividades.

Leis do Brasil

Para melhorar a garantia de acesso aos registros, de forma legal, o Marco Civil que, nas operações de coleta e guarda de registros ou de comunicações, a legislação brasileira deverá ser obrigatoriamente respeitada. Isso valerá para a empresa que tenha sede no exterior, mas oferte serviço ao público brasileiro, ainda que não tenha estabelecimento de seu grupo econômico no País.

Conteúdo de terceiros

Causas de ressarcimento por danos à honra, à reputação ou a direitos de personalidade ou para a retirada de material ofensivo da internet poderão ser apresentadas em juizados especiais.

A ideia do relator é acelerar o processo, pois a retirada do material depende de ordem judicial.

Direitos de autor

Até o surgimento de nova lei sobre direito autoral, a legislação atual disciplinará os casos de responsabilidade do provedor de conteúdo por danos decorrentes de conteúdo gerado por terceiros.

O governo prepara uma revisão da atual lei sobre direitos autorais (9.610/98).

Violação da intimidade

Em atendimento a apelo da bancada feminina e de entidades civis organizadas, o relator do Marco Civil mudou o artigo sobre a retirada da internet de cenas de nudez ou de atos sexuais de caráter privado por violarem a intimidade de pessoa participante que não tenha autorizado sua divulgação.

Com o novo texto, fica mais claro que apenas a notificação do participante ou de seu representante legal será válida para que o provedor retire o material. Na versão anterior, a referência ao “ofendido” poderia dar a interpretação de que qualquer pessoa ofendida com o conteúdo poderia pedir sua retirada.

A notificação deverá permitir a identificação específica do material e a verificação da legitimidade para apresentação do pedido. Se o provedor não retirar o material, será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação não autorizada.

Controle parental

A pedido de deputados evangélicos e do deputado Ricardo Izar (PSD-SP),o relator acrescentou novo artigo para permitir que os pais escolham livremente os programas de computador de controle parental do conteúdo considerado por eles impróprio a seus filhos menores, desde que respeitadas as regras do projeto e do Estatuto da Criança e do Adolescente (Lei 8.069/90).

Caberá ao poder público, aos provedores e à sociedade civil a divulgação de informações sobre o uso desses programas e para boas práticas de inclusão digital desses jovens.

Poder público

O substitutivo de Molon também deixa mais explícito, nas diretrizes para atuação do poder público no desenvolvimento da internet, que deverá haver participação do governo, do setor empresarial, da sociedade civil e da comunidade acadêmica.

O que falta para entrar em vigor?

Para virar lei, o projeto ainda tem que passar pelo Senado. O governo espera que isso aconteça antes de meados de abril, quando estarão no país representantes de mais de 20 países para debater a governança da Internet.

Fonte: IDG Now!

Mais notícias: