Um grupo de pesquisadores de segurança divulgou na terça-feira (30), durante a conferência 25C3, em Berlim, os resultados de um experimento que provou a possibilidade de realização de um ataque em Autoridades Certificadoras (ACs) que ainda utilizam o algoritmo conhecido como MD5 (Message-Digest, algoritmo 5). Liderado por Alex Sotirov e Jacob Appelbaum, o grupo utilizou para isso o poder de processamento de nada menos que 200 consoles Playstation 3.

Por ter uma grande capacidade de processamento, esse videogame vem sendo utilizado para realizar pesquisas robustas — uma iniciativa desse tipo está em andamento na Unicamp, por exemplo.

O ataque divulgado nesta semana não é simples, mas como resultado os pesquisadores conseguiram criar uma AC falsa para assinar seus certificados, gerando facilmente um desses documentos para qualquer site que quisessem. Mesmo para páginas fraudulentas.

O trabalho de uma AC é assinar certificados — documentos digitais que garantem a autenticidade de um website. Como dados digitais são facilmente copiados, a “assinatura” não pode ser sempre igual, como acontece nos documentos “físicos” (cheques e contratos, por exemplo, em que uma mesma pessoa sempre assina da mesma forma). Para evitar fraudes, a assinatura digital precisa ser diferente e ao mesmo tempo verificável. Porém, como a possibilidade de criar novas assinaturas é limitada em relação ao número de possíveis certificados a serem criados, alguns desses documentos terão de receber assinaturas iguais.

O que os pesquisadores conseguiram foi gerar (usando o poder dos 200 PS3) um certificado e uma “procuração” cujas assinaturas (em MD5) seriam iguais. Assim, eles enviaram para a AC o certificado, que foi assinado sem problemas. Depois, copiaram a assinatura do certificado para a “procuração”. Com isso, eles poderiam assinar outros certificados eles mesmos, pois tinham um documento “autorizado” por uma Autoridade Certificadora.

Em outras palavras, o “cadeado de segurança” poderia aparecer em páginas falsas sem que qualquer aviso ou erro fosse apresentado pelo navegador, visto que o certificado estaria assinado por alguém “confiado” por uma AC.

Especialistas em segurança estão debatendo o impacto real do experimento. Depois de um susto inicial e do pânico, um consenso está se materializando. E ele é positivo: não há motivo de preocupação para os internautas.

Há motivos para o otimismo. A tecnologia MD5 é considerada vulnerável há muito tempo e pouquíssimas ACs ainda a utilizam. Quando essas poucas empresas passarem a utilizar uma tecnologia mais segura, como a SHA-512, realizar esse tipo de fraude será muito mais difícil. A quantidade de possíveis assinaturas SHA-512 é maior, complicando a criação de um certificado e uma procuração cujas assinaturas coincidam.

Sotirov disse à imprensa que o ataque poderia levar mais de seis meses para ser realizado por outro grupo — tempo suficiente para que as Autoridades Certificadoras que ainda usam MD5 abandonem a tecnologia. O RapidSSL da VeriSign, usado pelos pesquisadores para demonstrar o ataque, deixará de realizar assinaturas com MD5 ainda este mês.

O fim da cobrança da assinatura básica na telefonia, previsto no Projeto de Lei 5476/01, do deputado Marcelo Teixeira (PR-CE), está entre os assuntos que serão mais debatidos na Câmara em 2009. A comissão especial que vai analisar o tema aguarda a indicação dos representantes dos partidos por seus líderes.

Em análise desde 2001, o tema já foi alvo de mais de 1 milhão de ligações para o serviço 0800 da Câmara. Os consumidores que apelaram ao Legislativo pediram o fim da tarifa básica de telefone.

O presidente da Comissão de Ciência e Tecnologia, Comunicação e Informática, deputado Walter Pinheiro (PT-BA), considera que o atraso na discussão prejudica o consumidor e considera um erro a criação de uma comissão especial para tratar do assunto.

O deputado Celso Russomanno (PP-SP) também já pediu o início das discussões na comissão especial. Em audiência pública com empresários do setor de telefonia, em novembro passado,  Russomanno questionou a necessidade de manutenção da tarifa básica, argumentando que a assinatura básica afeta o crescimento da telefonia fixa no Brasil.

Do lado das operadoras, embora haja necessidade de ampliar o número de assinantes, os empresários ressaltam que é preciso manter o equilíbrio financeiro das empresas.

O superintendente-executivo da Associação Brasileira de Telecomunicações, Cesar Rômulo Silveira Neto, destacou que o custo da telefonia é alto porque há muitos tributos e juros no Brasil.

Segundo Neto, os altos juros cobrados no País diminuem a renda dos trabalhadores e aumentam os custos dos investimentos em infra-estrutura. Ele lembrou que as empresas de telefonia são obrigadas a cumprir várias exigências com custos elevados. Entre elas, a instalação de um telefone fixo em todas as comunidades com mais de 100 habitantes.

Para o deputado Walter Pinheiro, contudo, as empresas vão continuar ganhando, mesmo com o fim da assinatura, já que a redução do preço incentivará o consumo e o consequente aumento da escala de produção.

As limitações do iPhone, como bluetooth bloqueado e ausência de flash, estimulam uma indústria inteira de acessórios.

De olho no elevado número de usuários do iPhone e nas limitações do smartphone, vários fabricantes de acessórios criam complementos que visam ampliar as funcionalidades do smartphone.

A empresa Snapture Labs, por exemplo, apresentou um adaptador que coloca flash Xeon e recurso redutor de olhos vermelhos no telefone da Apple. O acessório, que se acopla ao iPhone, pode ser usado somente em datas específicas, como por exemplo, quando o usuário vai a uma festa à noite e deseja tirar fotos com flash.

Alguns fabricantes de fones de ouvido também desenvolveram adaptadores para permitir o uso de fones sem fio no iPhone. O iMuffs MB220, vendido nos Estados Unidos por US$ 149, é composto de um adaptador que deve ser plugado ao smarphone e um fone sem fio.

Assim, o fone troca dados com o adaptador e, este, com o iPhone, driblando o bloqueio do Bluetooth do iPhone.

Quem tem vídeos no YouTube, a partir de hoje, pode descobrir quantos visitantes únicos e outros dados que cada uma de suas mídias obteve em um determinado período.

Pelo recurso chamado de YouTube Insight, estatísticas sobre o público espectador são levantadas desde o lançamento do vídeo. O proprietário pode descobrir as regiões do planeta que sua publicação foi mais assistida, quais as faixas etárias dominantes e também o progresso do número de visualizações.

Também é possível descobrir a porcentagem de como as pessoas chegaram ao seus projetos: player incorporado, pesquisa no site, links externos, vídeos relacionados e etc.

Para ter acesso aos números é fácil: basta se logar, clicar em um dos seus materiais publicados na rede e, no canto direito, abaixo da descrição do vídeo e de “Opções do proprietário do vídeo”, acessar o recurso Insight, que abrirá uma tela cheia de abas e gráficos.

Por enquanto, o recurso só é voltado exclusivamente para os proprietários. Não é possível ter acesso às informações dos vídeos de outros.

Após cinco meses de tentativas frustradas, os técnicos da Polícia Federal decidiram pedir ajuda ao FBI para ler dados de dois HDs criptografados.

A PF vai usar um acordo internacional que mantém com a polícia americana para tentar acessar dados de dois discos rígidos apreendidos em uma operação num dos apartamentos que pertencem ao banqueiro Daniel Dantas, pivô da investigação que levou à operação Satiagraha.
De acordo com a polícia brasileira, os discos apreendidos usam chaves de 128 bits, método considerado extremamente difícil de driblar. Com apoio americano, a polícia brasileira acredita que poderá acelerar a descoberta das senhas que permitem acesso ao conteúdo dos discos.

A PF acredita que nestas mídias estão informações sobre operações financeiras que podem esclarecer seu o banqueiro tem ou não participação em crimes como lavagem

A Microsoft lançou nesta quarta-feira uma correção de emergência para Explorer 7 após tomar conhecimento de uma falha no sistema de segurança do navegador que estava sendo utilizada por hackers chineses. A revista PC World informou no último dia 9 de dezembro que a vulnerabilidade havia sido tornada pública pelo grupo chinês “Knownsec”.

A falha está relacionada à forma como o IE maneja a linguagem XML, explica revista. Para que o ataque funcione, a vítima deve visitar uma página web que instala o código JavaScript que aproveita a vulnerabilidade. Uma vez que o sistema está infectado, ele baixa vários programas indevidamente.

A rede social Facebook anunciou o lançamento oficial da versão em português da rede social após testes conduzidos entre a comunidade desde junho.

Além de português, o Facebook suprota oficialmente agora búlgaro, croata, sérvio e vietnamita, somando 35 línguas totais disponíveis na rede social.

Segundo Kate Losse, representante de suporte ao usuário do Facebook, o aplicativo de tradução para o português no Facebook foi lançado no final de 2007 como forma da comunidade ajudar a adaptar as expressões e frases originais em inglês para a língua local.

As primeiras versões da rede social em português começaram a aparecer em junho deste ano.

Losse cita diferenças de semântica nas línguas anunciadas, citando a tradução que “poke” teve em dois países lusófonos - em Pórtugal, a tradução ficou como “toque”, enquanto os brasileiros escolheram “cutucar”.

Desde junho, o Facebook se tornou a maior rede social do mundo, com cerca de 116,3 milhões de usuários cadastrados, contra 115,7 milhões do MySpace, que mantém a liderança no mercado norte-americano.

Uma pesquisa realizada pela empresa de tecnologia Cisco aponta que 200 bilhões de spams são enviados por dia no mundo –o número representa 90% dos e-mails mandados diariamente.

O estudo indica que os Estados Unidos são a maior fonte de spams, com 17,2% do total, seguido pela Turquia (9,2%) e Rússia (8%). Um dos principais meios utilizados para envio dessas mensagens são as redes de “computadores zumbis” –infectadas, as máquinas podem sem controladas por terceiros. O computador é usada para disparar spam, promover mais ataques ou furtar informações pessoais.

Redes de “computadores zumbis” podem ser extremamente lucrativos, muitas vezes trazendo milhões de dólares de faturamento para os autores e seus distribuidores.

“Todos os anos nós vemos ameaças evoluírem, à medida que criminosos descobrem novas formas de explorar pessoas, redes e a internet”, afirma Patrick Peterson, pesquisador de segurança da Cisco.

De acordo com a Cisco, criminosos usam inclusive um método para identificar e “seqüestrar” senhas consideradas fracas, facilmente detectáveis. Senhas ruins nesse caso são nomes de familiares, aniversários, endereços residenciais ou termos facilmente dedutíveis. Quando eles conseguem acesso a essas contas de e-mail, começam a enviar milhares de mensagens usando o remetente do dono.

A Comissão de Defesa do Consumidor aprovou o Projeto de Lei 168/07, da deputada Professora Raquel Teixeira (PSDB-GO), que obriga as empresas e instituições públicas e privadas que tenham página na Internet a disponibilizarem endereço completo e telefone.

A proposta aprovada na última quarta-feira (10/12) estabelece que as empresas que prestam o serviço de hospedagem de sites deverão incluir cláusula em seus contratos de prestação de serviços citando essa obrigação. O descumprimento sujeitará o infrator ao pagamento de multa e à retirada do site do ar.

Leia também:
> Novas regras de call center: a quem recorrer?
> Paulistanos ‘adiantam’ portabilidade no celular

O relator, deputado Antonio Cruz (PP-MS), afirma que inúmeras atividades hoje estão disponíveis quase que exclusivamente pela Internet. Apesar de reconhecer as facilidades dessa mídia, o deputado argumenta que é indispensável que os consumidores tenham a possibilidade do contato tradicional com as empresas.

A proposta, que tramita em caráter conclusivo, ainda será analisada pelas comissões de Ciência e Tecnologia, Comunicação e Informática e de Constituição e Justiça e de Cidadania.