Empresa de segurança aplicou técnica para entender mudanças trazidas por correção e descobriu que consequências poderiam ser graves.
A empresa de segurança Qualys demonstrou nesta semana como aplicar engenharia reversa a uma correção da Microsoft para lançar um ataque de negação de serviço (DoS) contra servidores Windows DNS.
A prova de conceito mostra os passos que um hacker poderia seguir para atacar o Windows e põe em evidência a importância de aplicar as correções (patches) da Microsoft o mais rapidamente possível logo após a liberação do pacote mensal Patch Tuesday.
A correção utilizada pela Qualys resolvia duas brechas no Windows DNS Server e havia sido classificada como crítica, a mais alta dentro da escala da Microsoft.
A criadora do Windows afirmou não esperar que a vulnerabilidade fosse explorada este mês, mas a prova de conceito da Qualys mostra que isso seria possível.
“Nós fizemos a engenharia reversa do patch para entender melhor o mecanismo da vulnerabilidade e descobrimos que ela poderia ser explorada com alguns passos básicos”, escreveu, em blog, o engenheiro de segurança Bharat Jogi, da Qualys. “A prova de conceito descrita abaixo demonstra uma negação de serviço, mas cibercriminosos poderiam utilizar a falha para executar código remotamente.”
Comparação binária
A Qualys usou uma ferramenta de comparação binária de arquivos (“binary diffing”), chamada TurboDiff, para comparar as versões corrigidas e não corrigidas dos arquivos do DNS Server afetados. Isso ajudou os especialistas a “entender as mudanças que foram feitas para corrigir a vulnerabilidade”, mas também poderia ajudar pessoas mal-intencionadas a aprender como explorar a vulnerabilidade e usá-la contra os sistemas que ainda não receberam a atualização de segurança.
Depois que as vulnerabilidades foram identificadas, a Qualys configurou dois servidores DNS em laboratório e derrubou um deles com uns poucos comandos. Como a execução do ataque exige apenas alguns passos, a Qualys recomendou que seus próprios clientes façam uma varredura com o software de segurança QualysGuard e “apliquem a atualização de segurança o mais rapidamente possível”.
A correção para o Windows DNS Server foi uma das duas atualizações críticas lançadas este mês pela Microsoft. A outra consertava sete brechas no Internet Explorer. Em relação ao patch para o IE, a Microsoft advertiu seus clientes de que “provavelmente veremos exploits desenvolvidos para esta brecha nos próximos 30 dias”. O especialista em segurança Paul Henry, da Lumension, vai mais longe ao dizer que “estamos trabalhando com uma janela de 24 horas [após a liberação dos patches] para que comecemos a ver códigos de exploit em campo”.
Em resumo: O dia seguinte ao da publicação do Patch Tuesday já dá oportunidade a hackers para atacar sistemas desprotegidos, por isso os responsáveis por sistemas Windows deveriam aplicar as atualizações de segurança assim que possível.
De acordo com pesquisadores, arquitetura de segurança do sistema da Microsoft ficou ultrapassada após tanto tempo; analistas pedem que usuários desinstalem software.
Há exatos 10 anos a Microsoft começou a vender o Windows XP, e hoje o sistema ainda pode ser encontrado em quase metade dos computadores do mundo, de acordo com a empresa StatCounter.
Esse fato está mais um testamento da estratégia de parceria da Microsoft com as fabricantes de PCs do que algo particularmente atraente sobre a tecnologia do software, obviamente, mas não deixa de ser um feito e tanto.
Neste 10º aniversário do XP, no entanto, o chefe de pesquisas da empresa de segurança F-Secure, Mikko Hypponen, tem um pedido a fazer: “Faça uma boa ação hoje. Desinstale o XP.”
“O mais inseguro, de longe”
Levando em conta todos os sistemas operacionais atuais para computadores – incluindo o Windows XP,Vista, 7, Linux e Mac OS X – “o Windows XP tem a segurança mais fraca, de longe”, escreveu Hypponen em um post no blog da F-Secure.
“Dez anos é uma eternidade nesse negócio”, completa o pesquisador. “Por isso não é nenhuma surpresa que a arquitetura de segurança do XP esteja ultrapassada.”
No entanto, dado a persistente alta participação do sistema no mercado, “os invasores seriam estúpidos de gastar tempo e dinheiro direcionando ataques a qualquer outro sistema operacional”, sugere Hypponen. “Os invasores nunca tiveram uma vida tão boa. O alvo mais fácil também é o mais comum.”
Não demorará muito até que o Windows 7 ultrapasse o XP no mercado, diz Hypponen, e quando isso acontecer, os criadores de malware com certeza vão “começar a olhar ao redor” buscando diferentes plataformas para atacar.
Mas, enquanto isso, a situação atual “não pode ser mudada de forma rápida o bastante”, conclui.
Esse fato está mais um testamento da estratégia de parceria da Microsoft com as fabricantes de PCs do que algo particularmente atraente sobre a tecnologia do software, obviamente, mas não deixa de ser um feito e tanto.
Neste 10º aniversário do XP, no entanto, o chefe de pesquisas da empresa de segurança F-Secure, Mikko Hypponen, tem um pedido a fazer: “Faça uma boa ação hoje. Desinstale o XP.”
“O mais inseguro, de longe”
Levando em conta todos os sistemas operacionais atuais para computadores – incluindo o Windows XP,Vista, 7, Linux e Mac OS X – “o Windows XP tem a segurança mais fraca, de longe”, escreveu Hypponen em um post no blog da F-Secure.
“Dez anos é uma eternidade nesse negócio”, completa o pesquisador. “Por isso não é nenhuma surpresa que a arquitetura de segurança do XP esteja ultrapassada.”
No entanto, dado a persistente alta participação do sistema no mercado, “os invasores seriam estúpidos de gastar tempo e dinheiro direcionando ataques a qualquer outro sistema operacional”, sugere Hypponen. “Os invasores nunca tiveram uma vida tão boa. O alvo mais fácil também é o mais comum.”
Não demorará muito até que o Windows 7 ultrapasse o XP no mercado, diz Hypponen, e quando isso acontecer, os criadores de malware com certeza vão “começar a olhar ao redor” buscando diferentes plataformas para atacar.
Mas, enquanto isso, a situação atual “não pode ser mudada de forma rápida o bastante”, conclui.
"O Menino da Terra" conta com recursos como vídeos e espaço para "autógrafo digital".
O autor de livros infanto-juvenis Ziraldo, conhecido pela série “O Menino Maluquinho” lançará sua primeira obra em formato de aplicativo para iPad durante a XV Bienal do Livro Rio, que acontece na capital fluminense entre os dias 1 e 11 de setembro.
Com título “O Menino da Terra”, a obra, desenvolvida pela Punch! e publicada pela editora Melhoramentos, conta a história de um garoto que tenta recriar a natureza da Terra em outro planeta, já que esta foi devastada pelo homem.
Na versão para iPad, o livro possui ferramentas interativas que utilizam o acelerômetro do aparelho para simular movimento de objetos, vídeos, recursos para gravação de voz e um documentário, que conta histórias de pessoas que esperavam na fila para obter um autógrafo do autor, de acordo com desenvolvedora.
O app custa 6 dólares e estará disponível na App Store assim que a Bienal tiver início no Rio de Janeiro. A empresa responsável pelo aplicativo afirmou também que versões do software em espanhol e inglês serão lançadas em breve.
Regulamentação define direitos e obrigações dos usuários da rede no Brasil. Tramita na Câmara com o número PL 2126/2011.
Com título “O Menino da Terra”, a obra, desenvolvida pela Punch! e publicada pela editora Melhoramentos, conta a história de um garoto que tenta recriar a natureza da Terra em outro planeta, já que esta foi devastada pelo homem.
Na versão para iPad, o livro possui ferramentas interativas que utilizam o acelerômetro do aparelho para simular movimento de objetos, vídeos, recursos para gravação de voz e um documentário, que conta histórias de pessoas que esperavam na fila para obter um autógrafo do autor, de acordo com desenvolvedora.
O app custa 6 dólares e estará disponível na App Store assim que a Bienal tiver início no Rio de Janeiro. A empresa responsável pelo aplicativo afirmou também que versões do software em espanhol e inglês serão lançadas em breve.
Regulamentação define direitos e obrigações dos usuários da rede no Brasil. Tramita na Câmara com o número PL 2126/2011.
O projeto de lei do Marco Civil da Internet foi apresentado pela presidente da República, Dilma Rousseff, ao Congresso Nacional nesta quarta-feira (24/08). A regulamentação define regras sobre direitos e deveres dos usuários da rede no Brasil.
O texto final é resultado de intensa participação social, com o uso da própria internet como plataforma de discussão. Elaborado pelo poder Executivo, o projeto será agora discutido pela Câmara dos Deputados e pelo Senado Federal. Entre outras proposições, está a a guarda dos números (IP) dos usuários pelos provedores de acesso pelo período de 1 ano (menos que o regulamento proposto pela Anatel para os provedores SCM). A administração dos logs não poderá ser terceirizada e as informações só poderão ser fornecidas a terceiros por meio de autorização judicial. A requisição dos registros deve ser feita à Justiça em até 60 dias a partir da publicação do conteúdo na Internet.
Na Câmara o Marco Civil recebeu o número de PL 2126 / 2011. Clique aqui para conhecer o texto.
O Marco Civil da Internet reconhece expressamente, para o ambiente virtual, princípios constitucionais como a liberdade de expressão, a privacidade e os direitos humanos. A norma vai oferecer ainda segurança jurídica para as relações na web, pois estabelece responsabilidades para os diferentes atores.
“O desafio é harmonizar a interação entre o Direito e a chamada cultura digital. A ausência de definição legal específica tem gerado decisões judiciais conflitantes e mesmo contraditórias”, informa o ministro da Justiça, José Eduardo Cardozo. Entre os objetivos da proposta, explica ele, está a promoção do acesso de todos os cidadãos à Internet.
O PL 2126/2011 se estrutura em cinco capítulos: disposições preliminares, direitos e garantias do usuário, provisão de conexão e de aplicações de Internet, atuação do poder público e disposições finais.
No primeiro capítulo são indicados os fundamentos, princípios e objetivos do marco civil da internet, além da definição de conceitos e de regras de interpretação. Entre os fundamentos, enumeram-se elementos da realidade jurídica do uso da Internet que servem de pressupostos para a proposta. Por sua vez, entre os princípios figuram os pontos norteadores que devem sempre informar a aplicação do direito em relação à matéria. Já no âmbito dos objetivos, apontam-se as finalidades a serem perseguidas de forma permanente, não apenas pelo Estado, mas por toda a sociedade.
No capítulo sobre os direitos e garantias do usuário, o acesso à internet é reconhecido como um direito essencial ao exercício da cidadania. Ainda são apontados direitos específicos a serem observados, tais como a inviolabilidade e o sigilo das comunicações pela internet e a não suspensão da conexão.Também inclui artigos sobre a responsabilização dos provedores de serviços sobre conteúdos gerados por terceiros.
No terceiro capítulo, ao tratar da provisão de conexão e de aplicações de internet, o anteprojeto versa sobre as questões como o tráfego de dados, a guarda de registros de conexão à Internet, a guarda de registro de acesso a aplicações na rede, a responsabilidade por danos decorrentes de conteúdo gerado por terceiros e a requisição judicial de registros.
As opções adotadas privilegiam a responsabilização subjetiva, como forma de preservar as conquistas para a liberdade de expressão decorrentes da chamada Web 2.0, que se caracteriza pela ampla liberdade de produção de conteúdo pelos próprios usuários, sem a necessidade de aprovação prévia pelos intermediários. A norma mira os usos legítimos, protegendo a privacidade dos usuários e a liberdade de expressão, adotando como pressuposto o princípio da presunção de inocência, tratando os abusos como eventos excepcionais.
No capítulo referente às atribuições do Poder Público, fixam-se diretrizes para a atuação da União, dos Estados, do Distrito Federal e dos Municípios no desenvolvimento da Internet no Brasil, além de regras para os sítios públicos, para a Educação, para o fomento cultural e para a avaliação constante do resultado das políticas públicas. Confere-se à Administração Pública um parâmetro para o melhor cumprimento dos objetivos do Marco Civil.
Finalmente, o último capítulo prevê expressamente a possibilidade de que a defesa dos interesses e direitos pertinentes ao uso da Internet seja exercida de forma individual ou coletiva, na forma da Lei.
Segundo seus formuladores, no panorama normativo, o PL do Marco Civil representa um primeiro passo no caminho legislativo, sob a premissa de que uma proposta legislativa transversal e convergente possibilitará um posicionamento futuro mais adequado sobre outros importantes temas relacionados à internet que ainda carecem de harmonização, como a proteção de dados pessoais, o comércio eletrônico, os crimes cibernéticos, o direito autoral, a governança da internet e a regulação da atividade dos centros públicos de acesso à internet, entre outros.
Ainda segundo seus formuladores, o Marco Civil faz jus ao potencial criativo e inovador característico do povo brasileiro, alçando o país à posição de protagonista mundial na garantia das novas liberdades da cultura digital.
O texto final é resultado de intensa participação social, com o uso da própria internet como plataforma de discussão. Elaborado pelo poder Executivo, o projeto será agora discutido pela Câmara dos Deputados e pelo Senado Federal. Entre outras proposições, está a a guarda dos números (IP) dos usuários pelos provedores de acesso pelo período de 1 ano (menos que o regulamento proposto pela Anatel para os provedores SCM). A administração dos logs não poderá ser terceirizada e as informações só poderão ser fornecidas a terceiros por meio de autorização judicial. A requisição dos registros deve ser feita à Justiça em até 60 dias a partir da publicação do conteúdo na Internet.
Na Câmara o Marco Civil recebeu o número de PL 2126 / 2011. Clique aqui para conhecer o texto.
O Marco Civil da Internet reconhece expressamente, para o ambiente virtual, princípios constitucionais como a liberdade de expressão, a privacidade e os direitos humanos. A norma vai oferecer ainda segurança jurídica para as relações na web, pois estabelece responsabilidades para os diferentes atores.
“O desafio é harmonizar a interação entre o Direito e a chamada cultura digital. A ausência de definição legal específica tem gerado decisões judiciais conflitantes e mesmo contraditórias”, informa o ministro da Justiça, José Eduardo Cardozo. Entre os objetivos da proposta, explica ele, está a promoção do acesso de todos os cidadãos à Internet.
O PL 2126/2011 se estrutura em cinco capítulos: disposições preliminares, direitos e garantias do usuário, provisão de conexão e de aplicações de Internet, atuação do poder público e disposições finais.
No primeiro capítulo são indicados os fundamentos, princípios e objetivos do marco civil da internet, além da definição de conceitos e de regras de interpretação. Entre os fundamentos, enumeram-se elementos da realidade jurídica do uso da Internet que servem de pressupostos para a proposta. Por sua vez, entre os princípios figuram os pontos norteadores que devem sempre informar a aplicação do direito em relação à matéria. Já no âmbito dos objetivos, apontam-se as finalidades a serem perseguidas de forma permanente, não apenas pelo Estado, mas por toda a sociedade.
No capítulo sobre os direitos e garantias do usuário, o acesso à internet é reconhecido como um direito essencial ao exercício da cidadania. Ainda são apontados direitos específicos a serem observados, tais como a inviolabilidade e o sigilo das comunicações pela internet e a não suspensão da conexão.Também inclui artigos sobre a responsabilização dos provedores de serviços sobre conteúdos gerados por terceiros.
No terceiro capítulo, ao tratar da provisão de conexão e de aplicações de internet, o anteprojeto versa sobre as questões como o tráfego de dados, a guarda de registros de conexão à Internet, a guarda de registro de acesso a aplicações na rede, a responsabilidade por danos decorrentes de conteúdo gerado por terceiros e a requisição judicial de registros.
As opções adotadas privilegiam a responsabilização subjetiva, como forma de preservar as conquistas para a liberdade de expressão decorrentes da chamada Web 2.0, que se caracteriza pela ampla liberdade de produção de conteúdo pelos próprios usuários, sem a necessidade de aprovação prévia pelos intermediários. A norma mira os usos legítimos, protegendo a privacidade dos usuários e a liberdade de expressão, adotando como pressuposto o princípio da presunção de inocência, tratando os abusos como eventos excepcionais.
No capítulo referente às atribuições do Poder Público, fixam-se diretrizes para a atuação da União, dos Estados, do Distrito Federal e dos Municípios no desenvolvimento da Internet no Brasil, além de regras para os sítios públicos, para a Educação, para o fomento cultural e para a avaliação constante do resultado das políticas públicas. Confere-se à Administração Pública um parâmetro para o melhor cumprimento dos objetivos do Marco Civil.
Finalmente, o último capítulo prevê expressamente a possibilidade de que a defesa dos interesses e direitos pertinentes ao uso da Internet seja exercida de forma individual ou coletiva, na forma da Lei.
Segundo seus formuladores, no panorama normativo, o PL do Marco Civil representa um primeiro passo no caminho legislativo, sob a premissa de que uma proposta legislativa transversal e convergente possibilitará um posicionamento futuro mais adequado sobre outros importantes temas relacionados à internet que ainda carecem de harmonização, como a proteção de dados pessoais, o comércio eletrônico, os crimes cibernéticos, o direito autoral, a governança da internet e a regulação da atividade dos centros públicos de acesso à internet, entre outros.
Ainda segundo seus formuladores, o Marco Civil faz jus ao potencial criativo e inovador característico do povo brasileiro, alçando o país à posição de protagonista mundial na garantia das novas liberdades da cultura digital.
