Home Empresa Serviços Portfólio
3d + CLan Localização Contato

 Notícias tecnologia

Falhas permitem que hackers criem infinitas 'moedas virtuais'


Pesquisadores de segurança identificaram duas falhas de segurança, já em uso por hackers, que permitem criar uma quantidade infinita de "moedas virtuais" baseadas na tecnologia ERC-20 da blockchain Ethereum, uma tecnologia semelhante e concorrente ao Bitcoin. Batizadas de "proxyOverflow" e "batchOverflow", as vulnerabilidades levaram a corretora OKEx a interromper a compra e venda de moedas virtuais baseadas em ERC-20.A Ethereum é uma blockchain semelhante ao Bitcoin. O foco da Ethereum, porém, está nos chamados "smart contracts" ou "contratos inteligentes". Um dos principais usos dessa função é a criação de outras moedas virtuais (ou "fichas virtuais") na mesma blockchain. Essa tecnologia é chamada de ERC-20.Diferente das criptomoedas comuns, essas "fichas" virtuais costumam ter um endereço administrativo, que tem liberdade para emitir moedas. Porém, as regras para a circulação dessas moedas são definidas inteiramente no contrato inteligente e programadores têm uma grande liberdade para definir as regras de cada ficha digital.São falhas na programação desses contratos -- e não na Ethereum em si -- que fazem com que hackers possam emitir quantas fichas quiserem. As falhas são do tipo "overflow", em que o programa tenta armazenar na memória um número maior do que o permitido, o que "sobrecarrega" o valor. Em muitos casos, essa sobrecarga transforma o número em zero.Segundo a PeckShield, mais de uma dúzia de fichas ERC-20 estão vulneráveis. Como os contratos são a "lei suprema" dessas fichas, não há meio fácil de alterá-los para corrigir o problema. Os responsáveis pelas fichas digitais terão de criar contratos novos e reembolsar quem hoje possui essas fichas.Uma das moedas afetadas é a Beauty Chain (BEC), uma ficha baseada em beleza. "A busca da beleza é parte da natureza humana e uma aspiração comum da humanidade. A Beauty Chain foi fundada com a missão de identificar, criar e compartilhar a beleza, conectar a corrente de valores da indústria da beleza e para fazer um mundo melhor. Incentivamos você a descobrir mais aplicações relacionadas à beleza conosco", diz o site da moeda.Muitas das fichas de ERC-20 são notórias por aparentemente não terem finalidade clara. O valor de mercado total das fichas ERC-20 está na casa dos bilhões de dólares e há mais de 5 mil dessas fichas em existência. Muitas, por terem comercialização específica ou por serem insignificantes, não aparecem em nenhuma corretora de compra e venda de criptomoedas.SAIBA MAISHacker desvia US$ 30 milhões com brecha em programa de criptomoedaFalha congela moedas virtuais do Ethereum; valor paralisado pode chegar a US$ 280 milhõesNovas fraudes e proibições afetam mercado de criptomoedasAtaque ao MyEtherWalletA falha nas moedas ERC-20 não foi o único problema de segurança envolvendo a rede Ethereum nos últimos dias. Usuários de Ethereum que gerenciam sua carteira virtual com o serviço MyEtherWallet tiveram suas carteiras esvaziadas depois que o site foi redirecionado para uma página falsa. Como o serviço exige que o internauta informe sua chave privada para obter acesso ao painel de controle, os golpistas facilmente conseguiram obter acesso às carteiras e desviar ao menos US$ 13 mil (cerca de R$ 40 mil) das vítimas.Para fazer o redirecionamento, os hackers criaram uma rota falsa com o BGP (Border Gateway Protocol). O BGP é usado pelos provedores de internet para comunicar rotas disponíveis para que a comunicação na internet possa ir de um ponto A até um ponto B. É como um controle de tráfego da internet.Hackers conseguiram sequestrar uma rota BGP e redirecionar dados que deviam ser encaminhados para a Amazon a um outro provedor. Quando isso ocorreu, eles conseguiram falsificar o endereço IP de destino do site MyEtherWallet, que utiliza a Amazon.A tecnologia do BGP foi criada para permitir que a internet reage rapidamente a qualquer problema técnico ou interrupções, portanto não há muitos mecanismos previstos para que um provedor possa determinar se uma rota informada é autêntica antes de aceitá-la. Como o problema ocorreu por conta de um sequestro de rota, a Amazon não teve culpa no ocorrido.Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com 28/04/2018

Americano é condenado por falsificar CDs de recuperação do Windows


Pirataria não costuma ser um assunto muito complicado: alguém, que não o fabricante original, cria um produto idêntico (ou aparentemente idêntico) ao original e vende sem ter permissão de usar a marca e o desenho do produto. No caso de software de computador, a pirataria normalmente exige o uso de programas que burlam recursos de segurança ou então de uma chave de licença roubada de outro consumidor.Mas o empreendedor norte-americano Eric Lundgren recebeu uma sentença de 15 meses de prisão por pirataria de software, apesar de sua pirataria não permitir o uso do programa por quem não tenha a chave de licença. Ele não distribuiu licenças e nem alterou o sistema operacional Windows para ele fosse ativado de forma irregular.Lundgren, que atua no ramo da reciclagem de lixo eletrônico, fez milhares de cópias de discos de recuperação do Windows com a marca da Dell. Segundo Lundgren, o objetivo era permitir que computadores antigos -- que poderiam virar lixo eletrônico pela falta do software original --, pudessem ter seu software restaurado após uma falha no disco rígido ou outros problemas que exigissem a reinstalação do sistema.Máquinas vendidas por integradoras e fabricantes (OEM, na sigla em inglês) normalmente acompanhem uma etiqueta de autenticidade na qual está registrado o número da chave de licença do Windows. Quem usa o CD de recuperação depende dessa informação para ter um sistema funcional. Ou seja, era preciso ter uma licença do Windows antes de usar o CD.Lundgren, no entanto, se declarou culpado das acusações: o CD de recuperação duplicado pelo empresário copiou completamente a aparência e as marcas da Dell e da Microsoft. Dessa forma, não era possível saber que se tratava de uma cópia. O empresário não contestou isso, mas alegou que a infração não gerou nenhum prejuízo. O tribunal discordou após ouvir o lado da Microsoft, que foi consultada pelos procuradores federais que montaram a acusação.Esses CDs de recuperação já nem sempre acompanham computadores novos, mas ainda é possível, em alguns casos, solicitar o CD. Na compra de uma máquina nova no site da Dell, solicitar o CD -- disponível apenas em máquinas vendidas com Windows -- tem custo zero (foto). Mas a Microsoft entrou no processo de acusação afirmando que os CDs na verdade valem US$ 25 (cerca de R$ 80) e Lundgren foi acusado de causar prejuízos de US$ 700 mil (cerca de R$ 2,35 milhões) por 28 mil CDs apreendidos por fiscais alfandegários.Os US$ 25 informados pela Microsoft são o custo de uma licença do Windows exclusiva para parceiros que vendem computadores recondicionados -- uma licença que a empresa não vende no varejo. A licença comercializada no varejo, que pode ser usada em computadores novos, saía por US$ 299 (o sistema em questão era o Windows XP Professional).A corte, aceitando os valores informados pela Microsoft e ignorando o testemunho de um especialista chamado pela defesa que disse que o valor dos CDs era "zero ou perto de zero", decidiu pela condenação à prisão, mais US$ 50 mil de multa. Um tribunal de segunda instância indeferiu o recurso de Lundgren.A cobertura da imprensa sobre o assunto nos Estados Unidos foi um tanto negativa. Muitos veículos apontaram o passado de Lundgren: sua empresa de reciclagem tem grandes corporações entre seus clientes e ele detém o recorde do Guinness de alcance de um carro elétrico em uma única carga. O veículo era um BMW modificado quase só com peças recicladas.A Microsoft inicialmente declarou que toma esse tipo de atitude para proteger seus clientes contra software pirata, que poderia expor os consumidores a códigos maliciosos. Esse argumento é falso. Se Lundgren tivesse alterado o Windows ou incluído vírus, ele poderia ser processado por isso, mas não foi, porque as cópias eram totalmente autênticas.A Microsoft não pode nem sequer alegar que o sistema distribuído era inseguro por estar obsoleto. Em 2012, quando os CDs de Lundgren foram apreendidos, o Windows XP ainda estava recebendo atualizações de segurança da Microsoft.O problema é que, apesar disso tudo, Lundgren estava sim cometendo um crime e tinha, conforme os documentos obtidos pela corte demonstraram, intenção clara de enganar consumidores e até empresas que vendem computadores recondicionados. E-mail de Eric Lundgren ao seu sócio Bob Wolff sugere como vender os CDs falsificados para um cliente. 'Se te ligarem, se faça de burro e diga que comprou de uma empresa de gestão de ativos do exterior. Diga que está garantido que o produto é real e que você pagou um preço bem alto por ele.' (Foto: Reprodução)A Microsoft publicou uma resposta mais encorpada sobre o caso após a repercussão negativa, destacando e-mails de Lundgren em que ele discute com o sócio a necessidade de vender o "produto" e conseguir com a operação um "faturamento constante". Em certa altura, o empresário até reclama do baixo retorno da empreitada. À imprensa, Lundgren disse que os CDs não tinham fins lucrativos -- o que os documentos colhidos pelo tribunal mostram ser uma mentira.O empresário ainda adotou medidas para burlar a fiscalização alfandegária dos Estados Unidos, já que fazia a duplicação de um CD em uma fábrica na China e tinha que importar para solo americano. Em um e-mail, ele aconselha seu sócio -- responsável pela venda dos produtos -- a informar a clientes que os CDs foram adquiridos a um preço alto e que eles são absolutamente genuínos.Não há dúvida de que Lundgren cometeu uma infração ao copiar a aparência dos CDs de recuperação e que ele enganou a imprensa e o público ao se apresentar como um empresário que "só queria ajudar as pessoas", como afirma em um vídeo no YouTube. Mas a Microsoft também induziu ao erro ao se valer do argumento da "segurança" dos consumidores e equiparar os CDs de recuperação do Windows à venda de uma nova licença que ela impõe aos seus parceiros.Lundgren tem usado sua condenação para promover uma iniciativa que pretende alterar a legislação norte-americana para que fabricantes de eletrônicos sejam obrigados a viabilizar reparos de seus produtos, vendendo peças avulsas e distribuindo manuais técnicos. Diversas empresas são contra a medida, entre elas a Apple e a Microsoft.Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com 28/04/2018

Saber quem visita perfil no Facebook e segurança do Android: pacotão


Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.>>> É possível saber quem visita sua página no Facebook?Parece que às vezes antigas perguntas podem receber novas respostas: a tecnologia é rapidíssima!Bem, a minha pergunta é aquela já clássica: é possível saber quem visitou (amigo ou não) minha página no Facebook, mesmo se a pessoa não faz nenhum comentário ou curtida? A resposta que eu costumava ouvir era: "não é muito fácil descobrir isso, depende da instalação de algum aplicativo ou extensão que nem sempre espelha exatamente a visitação de outras pessoas no seu Face".Pois bem: de um mês para cá, repetiu-se comigo por 3 (três) vezes a mesma situação. Apenas visitei a página de "amigos de amigos", mas nelas não fiz nenhum comentário ou curtida (e nem pedi para ser amigo). Eis que no dia seguinte, recebo em "Notificações" a "sugestão de amizade" destas pessoas.Ora, para mim a conclusão é evidente: se eu visitei a página delas anonimamente, não fiz comentários nem curtidas, e depois recebo uma sugestão de amizade, então essas 3 pessoas dispõem de algum recurso que permite que elas saibam quem entrou no Face delas!Estou errado no raciocínio? E qual seria este recurso, Altieres, você sabe informar? Também estou interessado em instalá-lo na minha página...RicardoA resposta continua a mesma, Ricardo: não é possível.O seu raciocínio em si não está errado, mas há um erro factual. Parece que você entende as "sugestões de amigos" no Facebook como algo que foi iniciado pelos amigos que apareceram como sugestões. Assim, eles teriam que saber que você visitou o perfil deles para se "sugerirem" para você.Mas não é esse o caso. O recurso de "sugestões de amigos" do Facebook é um recurso autônomo do próprio Facebook e é baseado no seu comportamento na rede social. Ou seja, essa pessoa apareceu como sugestão para você porque você visitou o perfil dela. O Facebook, percebendo seu "interesse" nessa pessoa, sugeriu ela para você.Embora você não saiba quem visitou seu perfil, o Facebook obviamente sabe e faz uso, sim, dessa informação.Todos os sites, programas ou extensões de navegadores que prometem mostrar "quem visitou seu perfil" no Facebook devem ser tratados como fraudulentos. Esse recurso simplesmente não existe e, se um dia vier a existir, será informado pelo próprio Facebook.Tentar buscar algum meio de saber quem visitou o perfil é um grande risco para cair em fraudes ou ser enganado de alguma forma. Qualquer site falso pode selecionar alguns amigos ou amigos de amigos e marcar essas pessoas como "visitantes" do seu perfil -- você jamais teria como saber se a informação é correta ou não.>>> Segurança de Android x iPhoneEstou usando um iPhone 7 Plus e estou pensando em trocar por um Galaxy S9+. Minha dúvida é a seguinte: Ouvi falar que iOS é mais seguro que Android, porém são novos telefones e dizem ter mudado bastante as coisas. Compensa a troca no quesito segurança?Guilherme D. SoteloO iPhone é sim mais seguro que o Android. Mas lembre-se que é difícil fazer avaliações de segurança. Algo ser mais seguro não é garantia de que você não terá problemas ou que nenhum ataque grande possa ocorrer. Depende, também, do interesse dos possíveis invasores ou bandidos.No papel, o iPhone supera o Android porque tem mecanismos de atualização mais consistentes e a loja oficial da Apple registra bem menos casos de aplicativos maliciosos. Na prática, o iPhone sofre com problemas que causam bastante incômodo, como a "letra bomba" -- e esses problemas não afetaram quem usa telefones com Android.Na prática, os aplicativos maliciosos no Google Play são baixados por poucos usuários e as falhas no Android, embora muito mais graves do que as identificadas no iPhone, raramente são exploradas em ataques verdadeiros.Se você decidir instalar aplicativos fora do Google Play, vai ter um risco muito maior no Android. Mas não é justo fazer essa comparação no iPhone, já que o iOS nem mesmo permite oficialmente que você instale aplicativos fora da loja oficial.Em outras palavras, nem sempre uma segurança superior nas especificações e no papel vai se traduzir em uma vida mais tranquila, especialmente quando a diferença é bastante pequena (aparelhos Android de ponta, como o S9, são mais seguros que modelos mais simples). Quem mais sofre, como sempre, é quem compra celulares mais baratos ou antigos e logo fica sem as atualizações dos fabricantes.O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para g1seguranca@globomail.com. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima! 26/04/2018

Golpe do Bolsa Família atrai 600 mil vítimas no WhatsApp


Mensagem recebida no WhatsApp com o link fraudulento. (Foto: Reprodução/Psafe)Criminosos estão usando o Bolsa Família como tema em mais um golpe disseminado pelo aplicativo de mensagens WhatsApp, de acordo com o dfndr lab, o braço de pesquisas de cibercrime da PSafe, fabricante de antivírus para Android. A mensagem promete um adicional de R$ 954 para beneficiários do programa social do governo.A fraude leva usuários para uma página que obriga a vítima a compartilhar o link maliciosos com seus contatos ou grupos. No fim, o site malicioso oferece a instalação de aplicativos possivelmente indesejados e que podem deixar o celular vulnerável, de acordo com a PSafe. A "recomendação" de aplicativos é um golpe frequente no Android, pois é muito comum que desenvolvedores paguem quem "recomenda" a instalação de seus aplicativos, inclusive para aplicativos cuja instalação é grátis. Dessa forma, os criminosos conseguem lucrar com o golpe.A empresa diz que seus filtros de segurança impediram 600 mil pessoas de acessar o link malicioso em 24 horas. Em certos momentos, o número de bloqueios chegou a 40 mil por hora.O golpe pode ter sido impulsionado pela notícia de um possível aumento no benefício do Bolsa Família em estudo pela equipe econômica do governo federal.Quem clica no link é obrigado a responder três perguntas: "Você possui o cartão bolsa família?", "Você recebe todo mês?" e "Você conhece amigos ou parentes que recebe?". As respostas não fazem diferença: no fim, a vítima deve encaminhar o golpe para dez amigos ou grupos antes de ter acesso ao "benefício".Quem recebe a mensagem é aconselhado a ignorá-la e não acessar o site indicado nem encaminhar o link.De modo geral, o golpe tem o mesmo formato das outras fraudes que circulam no WhatsApp. Portanto, usuários devem ficar atentos para não cair em outros golpes semelhantes, ainda que utilizem um tema diferente.SAIBA MAIS'Recarga grátis' atrai vítimas para novo golpe no WhatsAppGolpe no WhatsApp promete kit de maquiagem pelo Dia da MulherGolpe no WhatsApp atinge milhares com falso cupom de fast foodGolpe no WhatsApp sobre '14º salário' chega a milhares de internautas'CNH gratuita' vira tema de golpe no WhatsApp, alerta empresaGolpes no WhatsApp podem elevar conta do celular; veja lista e fuja deles Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com 25/04/2018

Grasshopper: conheça o game interativo que ensina a programar no celular


Desde 2013 as maiores empresas de tecnologia do mundo tem investido na produção de conteúdo educacional para o ensino de programação de computadores. Essa iniciativa contempla, desde estudantes nas classes iniciais, até alcançar adolescentes e adultos. Muitos especialistas afirmam que aprender a programar será uma competência tão importante quanto falar mais de um idioma. As vantagens de se aprender a codificar são várias, desde a melhora na capacidade de resolver problemas complexos, o aumento no raciocínio lógico e quem sabe pode servir para o ingresso numa carreira profissional. É possível iniciar o aprendizado por conta própria, nessa semana o Google lançou um aplicativo que ajuda a aprender os conceitos básicos de programação através de um jogo interativo, confira.    Sobre o aplicativo    O Grasshopper é um app gratuito, disponível para as plataformas Android e IOS, que funciona de maneira semelhante do Duolingo - app para o estudo de idiomas. Nele o usuário vai respondendo um questionário, visualizando exemplos de códigos e exercitando as lições. A codificação empregada utiliza o Java Script (linguagem amplamente utilizada na interface de páginas de internet), o aprendizado obtido permite conhecer um pouco da sintaxe dessa popular linguagem de programação - o raciocínio lógico desenvolvido pode ser empregado em outras linguagens. Os exemplos apresentados no aplicativo podem ser facilmente compreendido por crianças e também pelos adultos, todo o conteúdo tem uma apresentação lúdica que permite resolver pequenos desafios utilizando a lógica de programação para o desenvolvimento gradativo das habilidades.                                Embora o Grasshopper possua uma interface intuitiva, ele tem o aspecto negativo - todo o conteúdo é apresentado em inglês. O que pode representar uma barreira para quem não estiver habituado com o idioma estrangeiro. Mas vale salientar que para os leitores que realmente quiserem seguir em alguma carreira relacionada a computação, o conhecimento básico em inglês é fundamental. Uma excelente opção para complementar os exercícios no Grasshopper é criar uma conta no site CODE.ORG e praticar os exercícios propostos - site possui tradução para o português.                                  O Grasshopper é um app que vale a pena baixar no celular e usá-lo como um game, e quem sabe despertar o interesse em computação.    Imagens: Reprodução/G1 25/04/2018

Nintendo Switch tem falha que permite instalar Linux


Dois grupos independentes de entusiastas divulgaram uma falha crítica no chip Tegra, usado no console Nintendo Switch. Especialistas do grupo "fail0verflow" conseguiram instalar o sistema operacional Linux no Switch e executar aplicativos indisponíveis no equipamento -- incluindo possíveis emuladores -- e é possível que a descoberta abra caminho para a pirataria de jogos.Tegra é uma linha de chips desenvolvida pela Nvidia, a mesma fabricante das placas de vídeo GeForce e Quadro usadas em computadores e notebooks. Além do Switch, chips Tegra são usados em tablets, como o Pixel C e o Nvidia Shield Tablet, e no console Android Nvidia Shield. A Nvidia também comercializa o chip para computadores de bordo no setor automotivo, mas a pesquisa dos grupos se concentrou no Switch da Nintendo.A pesquisadora Katherine Temkin, do ReSwitched, chamou o problema encontrado de Fusée Gelée. A técnica do fail0verflow foi batizada de ShofEL2. Ambos se tratam do mesmo problema, mas foram descobertos de forma independente pelos grupos.Vídeo do fail0verflow com o Switch executando Linux - assista. (Foto: Reprodução)Os pesquisadores descobriram que é possível entrar no Modo de Recuperação (RCM) do chip pressionando os botões de aumentar volume e energia ao mesmo tempo após conectar dois pinos no controle do Switch para imitar um botão "Home". Nesse modo de recuperação, é possível explorar uma falha na maneira que o chip Tegra interage com dispositivos USB. Como os códigos necessários para a tarefa já estão on-line, a ligação dos pinos -- que pode ser feita com um fio ou outros meios -- é o maior entrave para quem quiser testar a novidade.Como o erro está na bootroom do chip, que é travada de fábrica, a vulnerabilidade é considerada "incorrigível" nas unidades que já estão no mercado. A não ser que a Nintendo encontre alguma saída que não envolva modificações na bootrom, o problema só poderá ser corrigido na linha de produção em unidades futuras.A solução do problema cabe à Nvidia que, segundo os pesquisadores, recebeu um aviso antecipado sobre a falha. Segundo o fail0verflow, o primeiro grupo a encontrar o erro, o prazo de 90 dias de sobreaviso para a Nvidia -- tempo dado por especialistas que descobrem falhas antes de ir a público com uma descoberta -- acabaria nesta quarta-feira (25).Como a falha exige acesso físico ao Switch, não é possível explorar o problema sem contato prolongado com o console. A brecha é diferente de outro problema que foi divulgado em um evento em janeiro na Alemanha. Na ocasião, porém, especialistas já haviam alertado que o Tegra X1, por ser um chip comum e não um hardware específico do console, era mais vulnerável a ataques.Extração de bootROM levou seis anos no 3DSAinda não há meio de executar jogos piratas no Switch, mas, segundo o fail0verflow, o bug permite extrair todo o conteúdo da bootrom, além de chaves criptográficas. São essas chaves que possivelmente protegem o console contra a pirataria.O Linux é capaz de funcionar perfeitamente no console, inclusive com suporte à tela sensível ao toque e ao processador gráfico, mas não é capaz de executar os jogos do Switch.O grupo ReSwitched já estaria trabalhando em um custom firmware (CFW) para o Switch. Um custom firmware é um software baseado no sistema original, mas que afrouxa as proteções contra a execução de aplicativos não autorizados. Mas ainda não está claro se os programadores vão conseguir derrubar todas as proteções do console.Esses avanços demoraram mais no 3DS, o portátil anterior da Nintendo. Lançado em 2011, a falha conhecida como Sighax, divulgada em meados de 2017, foi a primeira a permitir a extração do conteúdo da bootrom do console. Apesar disso, piratas já estavam utilizando diversas técnicas para executar jogos copiados ilegalmente sem esse código, mas a criação do Sighax facilitou o procedimento e permitiu a decodificação de jogos sem o uso do console.Ainda não há qualquer procedimento semelhante para o PS Vita, o portátil Sony também lançado em 2011. No Vita, é possível executar emuladores e aplicativos, mas não cópias ilegais dos jogos originais da plataforma.O Switch foi lançado em março de 2017. As primeiras técnicas para dribar as proteções do console apareceram 9 meses após o lançamento. Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com 24/04/2018
1
2
3
4
5
6
7
Todos os direitos reservados Clandevelop
Parceiro: Coisas de Programador
Google+