Veja a lista de palavras monitoradas pela China no Skype

Jeffrey Knockel, estudante de graduação da Universidade de New Mexico em Albuquerque, conseguiu quebrar a proteção da versão chinesa do Skype (Tom-Skype) e descobrir uma lista de palavras ativamente monitoradas pelo Partido Comunista da China.

O TOM-Skype é uma versão desenvolvida especificamente para o mercado chinês em parceria com a empresa original, mas decorreu de uma exigência do Estado chinês para que o software pudesse ser usado no país.

Porém, dentre as modificações, foi descoberta esta forma de monitoramento velado das conversas dos usuários chineses do programa.

Os detalhes podem ser conferidos completos foram pode ser conferida aqui (http://www.businessweek.com/articles/2013-03-08/skypes-been-hijacked-in-china-and-microsoft-is-o-dot-k-dot-with-it#p1).

Consultamos a lista de palavras e encontramos alguns termos bastantes interessantes que mostram os pontos fracos da ideologia do partido chinês:

Occupation SFC, Chang'an Avenue, Wenzhou, Shanghai, Financial Street - Demonstra a preocupação do governo chinês com o Movimento Occupy (http://en.wikipedia.org/wiki/Occupy_movement), que deflagrou diversas passeatas e protestos em 82 países, incintando o repúdio às grandes corporações e ao sistema financeiro. O primeiro e mais conhecido foi o Occupy Wall Street, ocorrido em 17 de setembro de 2011 com a participação de 1.100 cidadãos.

Nine Commentaries - Os Nove Comentários do Partido Comunista é uma coletânea de editoriais que criticam a ideologia e retratam o surgimento do partido.

Falun Dafa e Falun Gong - Prática de meditação de aprimoramento da mente e do corpo repudiada pelo Partido Comunista a partir de 1990, quando os funcionários do governo chinês começaram a praticar e seguir seus ditames de forma considerável e excessiva, às vistas do partido.

Tiananmen Square slaughter of - Refere-se ao protesto pacífico ocorrido na Praça da Paz Celestial em 1989, quando o Exército Popular de Libertação reprimiu a manifestação e declarou lei marcial. O número de mortos no incidente é estimado de 400 a 7 mil, dependendo da fonte.

Beijing Ferrari car accident - Diz respeito a acidente envolvendo uma Ferrari que supostamente estaria sendo dirigida pelo filho de um Oficial do Partido Comunista. Após o incidente, todos os termos relativos a este acontecimento foram censurados nas mídias sociais. Não há fotos do acidente, o que caracterizaria um encobrimento do incidente promovido pelo Partido.

A lista completa pode ser consultada em http://cs.unm.edu/~jeffk/tom-skype/dlist-4.0/LATEST.plain .

Esta lista demonstra o interesse do Estado chinês em temas aparentemente usuais, mas que guardam uma carga política apta a incomodar a ideologia reinante no país.

Demonstra também a tentativa do governo de encobrir e até coibir qualquer tipo de discussão sobre os temas.

Os programadores que causaram prejuízos de 65 bilhões de dólares a investidores americanos

É bastante conhecido o caso das fraudes praticadas por Bernard Madoff, o "confiável" administrador de fundos hedge que fraudou e utilizou esquemas Ponzi (as conhecidas pirâmides) e causou prejuízos de mais de 65 bilhões de dólares a investidores, levando à falência de diversas instituições financeiras mundiais.

Porém, pouco se divulgou sobre as duas pessoas que foram essenciais para a permanência e acobertamento  da fraude por anos: os programadores de software Jerome O'Hara e George Perez.

Estes programadores foram responsáveis por desenvolver complicados softwares de fraude a contas dos clientes, simular operações financeiras e forjar notas de corretagem de ações.

Segundo o promotor do caso, eles foram responsáveis por desenvolver algoritmos e códigos de computador com o objetivo de enganar investidores e reguladores públicos, escondendo o esquema Ponzi de Bernard Madoff.

Eram utilizados, inclusive, os softwares desenvolvidos por estes programadores como estratégia de marketing do fundo fraudulento do Madoff, pois supostamente teriam desenvolvido "estratégias de investimento de alta frequência", o que ensejaria lucros exorbitantes aos investidores que disponibilizassem seus recursos.

O software utilizava a chamada estratégia "Split Strike", que supostamente investiria o dinheiro do fundo em determinadas ações do índice  S&P 100. Porém, comprovou-se mais tarde que estas operações sequer existiam. A sala de operações das empresas de Madoff apenas serviam de fachada simulada para o esquema de pirâmide:

Foi constatado, ainda, que tinham plena ciência da irregularidade do fundo, mas mesmo assim se dispuseram a construir e encobrir o esquema do qual faziam parte, tendo ganhado, também, milhões de dólares em bônus do fundo.

Estão sendo atualmente processados pela corte federal americana, estando o processo pendente de julgamento.

Anonymous expõe dados de 12 milhões de Iphones e Ipads, e acusa FBI de monitoramento ilegal

Foi divulgado hoje pelo grupo ativista hacker Anonymous dados de 12 milhões de aparelho da Apple, incluindo Iphones, Ipads e notebooks. O grupo aponta que a empresa armazena os números de identificação individuais (UDIDs ) acompanhados de dados pessoais, como nome completo, endereço, código postal e telefones, entre outros dados.

O grupo divulgou em vários sites de armazenamento de arquivos informações de 1 milhão de dispositivos da Apple para exemplificar e comprovar o tamanho da brecha de segurança.

A parte mais intrigante é que o grupo acusa o Federal Bureau of Investigation - FBI americano de utilizar estes dados para projetos escusos de monitoramento de dados pessoais e rastreamento de usuários.

No manifesto, o grupo afirma que, em março de 2012, conseguiram ter acesso a um notebook usado pelo Supervisor Especial Christopher K. Stangl, agente do Time Regional de Ações Cibernéticas do FBI, utilizando-se da vulnerabilidade na função AtomicReferenceArray do Java.

Relatam que conseguiram baixar deste notebook um arquivo intitulado "NCFTA_iOS_devices_intel.csv", que seria uma lista de 12,367,232 aparelhos da Apple que utilizam o sistema iOS, incluindo o Unique Device Identifiers (UDID), login, nome do aparelho, tupo do dispositivo, tokens do Serviço de Push da Apple, código postal, número do celular, endereços e vários outros detalhes pessoais. Nenhum outro arquivo ou pasta mencionava o objetivo desta lista.

As denúncias descritas no manifesto são extremamente graves, inclusive porque a Apple já foi acusada anteriormente de armazenar dados da localização global dos usuários, conforme demonstra esta matéria do The New York Times. A falha permitia um total rastreamento da localização através do dispositivo de GPS dos Iphones.

Isto demonstra a fragilidade dos sistemas de informação que armazena nossos dados pessoais e questiona as vantagens da utilização de um sistema operacional proprietário, como é o caso da Apple e seu iOS.

Clique aqui e veja o manifesto na íntegra: http://pastebin.com/nfVT7b0Z

Empresa processa programadores de servidor online do jogo Diablo III

O Tribunal de Apelações dos Estados Unidos julgou procedente ação da Blizzard, produtora de jogos para computador, contra os programadores Ross Combs e Rob Crittenden, que desenvolveram um software de servidor para o jogo de computador Diablo III, lançado este ano. Este jogo já vendeu mais de 6 milhões de unidades desde o lançamento. O programa permite que usuários joguem Diablo III online e gratuitamente, evitando a Battle.Net, rede oficial da criadora Blizzard.

Desde sua criação, a BnetD (a rede alternativa criada) tem sido usada por consumidores para jogar os títulos desenvolvidos pela Blizzard. Utilizando-se das redes não oficiais, os jogadores podem utilizar o jogo na Internet gratuitamente e com total controle, evitando a administração da rede oficial Battle.net.

A Blizzard acusa os criadores de terem violado o Digital Millennium Copyright Act, bem como os Termos de Uso que acompanham o jogo. Em decisão unânime, os juízes concordaram com a Blizzard, afirmando que Combs e Crittenden violaram os Termos de Uso da Blizzard, que impede os usuários de praticarem engenharia reversa no software. Além disso, o tribunal também confirmou o entendimento da primeira instância de que a BnetD estaria violando as proibições de engenharia reversa de dispositivos antipirataria previstos no DMCA.

A decisão do tribunal é favorável não só para a Blizzard, mas também para outros desenvolvedores de software que querem restringir o modo como os consumidores usam os seus produtos. Seguindo o raciocínio da decisão, parece que os desenvolvedores de terceiros que queiram criar add-ons para estender a funcionalidade de um programa existente praticará ilegalidade. A decisão também serve como um lembrete que, ao clicar no botão "Eu concordo" durante o processo de instalação, há repercussões jurídicas reais.

Clique aqui e veja a íntegra do processo: http://www.ca8.uscourts.gov/opndir/05/09/043654P.pdf

Fonte: Ars Technica

Certificação digital brasileira é vulnerável a nova técnica desenvolvida por pesquisadores

Pesquisadores conseguiram obter dados encriptados por dispositivos de segurança de informação que utilizam a especificação PKCS #1 v1.5, utilizada em dispositivos como o RSA SecurID 800 e, também, na encriptação de certificação digital da Estrutura de Chaves Públicas Brasileira (é possível consultar a especificação aqui).

A vulnerabilidade foi desenvolvida por um grupo de cientistas da computação que se intitulam Team Prosecco, e apresentarão sua tese na conferência CRYPTO 2012, a acontecer em agosto.

A característica mais notável dessa solução é que ela é capaz de extrair informações em 10 minutos, ao invés de adotar um procedimento de tentativa-e-erro que, geralmente, duram horas.

Romain Bardou, Riccardo Focardi, Yusuke Kawamoto, Lorenzo Simionato, Graham Steel e Joe-Kai disseram que o ataque funciona contra uma vasta variedade de dispositivos que protegem o acesso a redes de computadores ou que encriptam emails, incluindo cartões de identificação eletrônica, tokens USB e smartcards, tecnologias que são utilizadas por muitos governos.

Descobrimos, também, que a forma de encriptação vulnerável, a PKCS #1 v1.5 também é adotada pela Estrutura de Chaves Públicas Brasileiras, conforme se confere no manual fornecido pela ICP Brasil ( http://www.iti.gov.br/twiki/pub/Homologacao/Documentos/MCT9_-_Vol.I.pdf ).

O ataque se baseia na exploração de função de importação de chaves encriptadas de uma variedade de dispositivos criptográficos. O texto cifrado é submetido a diversas centenas de modificações para gradualmente produzir pistas da informação legível, em uma técnica apelidada de "padding oracle attack". Esta técnica é um refinamento de outra vulnerabilidade originalmente desenvolvida pelo pesquisador conhecido como Bleichenbacher.

Clique aqui e veja a íntegra da pesquisa.

Califórnia proíbe que empregadores solicitem de seus funcionários senha de redes sociais

A Assembléia Legislativa da Califórnia aprova lei que proíbe que empregadores ou agenciadores de emprego solicitem acesso às contas pessoais de redes sociais de seus funcionários.

O projeto de lei foi proposto dias após congressistas terem proposto legislação similar no nível federal, ideia esta que foi originada de diversos relatos de empregadores solicitando as senhas de funcionários ou entrevistados para vagas de emprego.

O Estado de Maryland já tinha aprovado, meses atrás, lei similar proibindo o pedido de senhas, além de outros três Estados americanos já terem legislação com esta previsão.

A legislação federal, que poderia vincular os demais Estados dos EUA, foi incentivada pela American Civil Liberties Union, porém encontra algumas críticas, entre elas a que não abrange estudantes ou universitários em relação aos administradores das instituições de ensino.

O acesso a dados pessoais não é um problema trivial, tendo em vista que a cessão de senhas poderia permitir que o empregador tivesse acesso a mensagens privadas do Facebook, fotos e até emails.

O Facebook já se manifestou publicamente sobre a questão, anunciando que estas referidas solicitações dos empregadores consistem em violação ao Termo de Direitos e Responsabilidades da empresa, que expressamente veda o compartilhamento ou solicitações de senhas por terceiros.

Em junho de 2009, a cidade de Bozeman, em Montana, estreou nas manchetes da mídia local ao descobrirem que o formulário de proposição a empregos perguntava pelo login e senha dos potenciais candidatos em sites de relacionamentos sociais, incluindo Facebook, Twitter, Youtube e Google.
O jornal Calgary Herald reportou, também, similar incidente no Canadá.

Fonte: Wired

Pesquisador da UnB expõe falha técnica grave em urna eletrônica do TSE

O Prof. Dr. Diego Aranha, da Universidade de Brasília, liderou equipe que descobriu, em março, uma falha na urna eletrônica brasileira durante um teste de segurança autorizado pelo Tribunal Superior Eleitoral (TSE).

Os testes foram permitidos pelo Tribunal Superior Eleitoral que convocou especialistas em segurança da informação para analisar, em um ambiente controlado, a urna eletrônica e o software de processamento de votos.

O grupo conseguiu quebrar a única defesa da urna eletrônica para garantir o sigilo dos votos, identificando a hora e a quem foi destinado o primeiro voto, o segundo, o terceiro, o quarto, e, assim, sucessivamente. Esta vulnerabilidade permite a violação do sigilo dos votos dos eleitores que utilizaram a máquina, sendo suficiente que alguém anotasse, nas proximidades da sessão eleitoral, a hora que cada eleitor votou.

O grupo do professor Aranha conseguiu desembaralhar os votos gravados no arquivo chamado Registro Digital do Voto (RDV) sem deixar rastros ou vestígios do ataque, obtendo sucesso pleno na violação sem mesmo tocar nas urnas.

Segundo o professor, “Nós demonstramos que é possível, sim, montar um ataque com o objetivo de fraudar o sigilo do voto. Não se trata de provocar falha ou defeito, como está no relatório. Também não achamos que a pontuação reflita com precisão os nossos resultados.”

Leia a entrevista completa em:

http://www.viomundo.com.br/denuncias/diego-aranha-fragilidade-de-urna-brasileira-abre-caminho-para-voto-de-cabresto-digital.html

http://g1.globo.com/platb/seguranca-digital/2012/05/28/falha-na-urna-brasileira-reproduzia-fielmente-erro-de-1995-diz-professor/

Veja a palestra do professor em:

https://sites.google.com/site/dfaranha/projects/testes-publicos-urna-eletronica.pdf