Facebook começa a esconder o botão “Cutucar”

Você já cutucou alguém no Facebook? Ou já recebeu uma cutucada indesejada? Pois bem, o famoso botão – do qual muita gente ainda tenta entender o real sentido até hoje – parece estar em baixa na rede social. Como notado pelo site All Facebook, a opção “cutucar”, ou “poke” em inglês, está cada vez mais escondida na página.

Antes, ela ficava em destaque no menu do lado direito, mas agora está apenas dentro de uma divisão de “extras”, localizada ao lado dos indicadores de mensagens privadas que o usuário recebeu pela caixa de entrada de mensagens.

O “cutucar” passou a causar certa polêmica por causa de seu sentido duvidoso, embora a grande parte dos especialistas no Facebook acreditem que ele tenha uma conotação clara de paquera. Até por isso muitas mulheres recebiam cutucadas de alguns desconhecidos quando a funcionalidade passou a ser mais popular, segundo o próprio All Facebook.

Curiosamente, com esta modificação feita no layout do site, o botão de cutucar ficou no mesmo local em que estão as opções “amigos sugeridos” e “denunciar spam ou bloquear”, dando uma clara indicação de que há uma preocupação da página em realocar alguns conteúdos para alertar com relação às configurações de segurança e compartilhamento de informações.

Fonte: All Facebook
Anúncios

Membros do Anonymous planejam destruir Facebook

Parte do grupo hacker Anonymous planeja um ataque a fim de minar o Facebook da web. O ataque seria mais um passo para a consolidação de uma nova rede social, a Anon+, criada pelo grupo.

Em um vídeo publicado no YouTube, o grupo declara: “Queremos chamar sua atenção. Os meios de comunicação os quais todos vocês adoram serão destruídos. Se você é um hacktivista ou alguém disposto a proteger sua liberdade de informação, junte se à causa e ajude a matar o Facebook em nome de sua própria privacidade”. O vídeo foi publicado no YouTube no dia 16 de julho e nomeia a ofensiva, agendada para o dia 5 de novembro, como operação Facebook.

Por meio de mensagens publicadas no Twitter, o Anonymous esclareceu que o ataque está sendo planejado por uma parcela de seus membros.

“A Operação Facebook está sendo organizada por alguns Anons. Isso não significa que o Anonymous todo concorde com o plano. Nós preferimos enfrentar poderes reais e não aqueles meios que nós usamos como ferramentas”, diz o grupo, citando um artigo que convoca os hackers para combater governos que praticam a censura na web.

A rede social do Anonymous foi criada no mês passado, após o grupo ter sido banido da Google+.

Hacker assume autoria da criação de certificados falsos do Google

Na semana passada um usuário iraniano relatou em um dos fóruns de ajuda do Google que recebeu o aviso de certificado inválido ao tentar fazer login no seu Gmail. Essa descoberta acabou ocasionando uma atualização geral dos navegadores e sistemas, para revogar a validade dos certificados emitidos pelo responsável por esse certificado, a holandesa DigiNotar.

Até o dia 6 de setembro, no entanto, não se sabia como esses certificados haviam sido emitidos. Mas um hacker conhecido apenas como Comodohacker finalmente assumiu a autoria do ataque nessa quarta-feira. Ele diz que invadiu servidores da DigiNotar e emitiu diversos certificados entre os meses de junho e julho desse ano, mas somente no final de agosto ele foi encontrado.

Na semana passada, a DigiNotar admitiu que seus servidores foram invadidos, mas só depois revelou ao menos parte da extensão do ataque. Eles avisam que seus registros de emissão de certificados foram alterados, portanto não há como saber quantas empresas ou domínios ao certo podem ser afetados. Mas dentre essas empresas, a DigiNotar confirmou emissão de certificados nos nomes da Microsoft, Google, Skype, Mozilla e até AOL.

No seu texto, publicado no site pastebin.com, o hacker revela uma motivação política para o ataque à DigiNotar. Já em outro ele diz que também conseguiu fazer a engenharia reversa do sistema de Windows Update da Microsoft e, com a ajuda do certificado emitido em nome da empresa, poderia liberar um pacote de atualização contendo quaisquer arquivos que ele bem entendesse.

Além disso, como prova de que ele tem o certificado SSL para o domínio .google.com, o hacker também liberou uma versão da calculadora do Windows modificada para essa assinatura digital.

A DigiNotar, que tem laços com o governo holandês, acabou tendo sua confiança revogada nas atualizações dos navegadores Chrome, Firefox, Internet Explorer e Safari. Isso quer dizer que nenhum site que tenha um certificado emitido pela empresa será considerado seguro pelos browsers.

Fonte: Cnet

Conheça um dos ”guardiões” da chave que reinicia a web em caso de ataque

Imagine um ataque aos Estados Unidos, que danifique os servidores vitais à segurança da internet. Um hacker então aproveita essa vulnerabilidade e começa a redirecionar endereços para sites maliciosos, provocando o caos em escala global e obrigando sete profissionais selecionados a utilizar smartcards que, juntos, fornecem uma senha para reiniciar a rede. Parece um cenário catastrófico demais para se tornar realidade?

Especialistas em segurança na web acham que não. Tanto que, no final de julho do ano passado, foi apresentado ao mundo pela Icann (sigla em inglês para “Corporação para Atribuição de Nomes e Números na Internet”) um comitê de sete “guardiões” de smartcards especiais – eles são semelhantes a um cartão de crédito comum, daqueles com chip. É preciso reunir ao menos cinco desses guardiões em um banco de dados nos EUA para obter uma senha e reiniciar o protocolo de segurança DNS (“Sistemas de Nomes de Domínio”). O DNS permite que a rede tenha endereços de site legítimos, impedindo assim que um internauta seja levado a um site fraudulento quando digitar o endereço de seu banco, por exemplo.

Entre os sete guardiões está Ondrej Surý, da República Tcheca. Responsável por um dos cartões de segurança, ele é gerente de pesquisas e desenvolvimento em DNS, além de voluntário da Anistia Internacional em Praga. Os outros seis membros de diversas nacionalidades são Bevil Wooding (Trinidad e Tobago), Dan Kaminsky (Estados Unidos), Jiankang Yao (China), Moussa Guebre (Burkina Fasso), Norm Ritchie (Canadá) e Paul Kane (Inglaterra).

Além deles, outras 14 pessoas fazem parte de um grupo dos representantes de confiança da comunidade (TCR, na sigla em inglês) da Icann.

Senha

No caso de um desastre, Surý e os demais membros teriam de se encontrar em um banco de dados nos EUA, onde estão os módulos de segurança de hardware (HSM, na sigla em inglês). Juntos, seus cartões formariam uma senha para utilizar um desses equipamentos, dando assim início ao processo de recuperação do protocolo da internet.

“Para ter redundância, a Icann tem duas instalações em cada lado dos Estados Unidos”, diz Frederico Neves, coordenador técnico do Registro.br, organização que cuida do registro de domínios para a internet no Brasil. Ele também participa do TCR, mas como Oficial de Criptografia da Instalação da costa leste norte-americana. “Estamos lá para assegurar à comunidade que tudo seja feito de acordo com os procedimentos nessas cerimônias de controle de chaves de segurança. A maior parte do trabalho é documentar, auditar e ter um nível de garantia de que tudo está de acordo com as regras”, explica.

Apesar de ser uma posição de confiança, os membros são todos voluntários – até mesmo as passagens para as cerimônias de troca de chaves de segurança saem dos bolsos deles. O especialista tcheco cedeu entrevista ao UOL Tecnologia contando sobre como é ter a segurança da internet em suas mãos, a qual transcrevemos abaixo.

UT – Qual o seu papel nessa comunidade de representantes confiáveis da Icann?

Ondrey Surý – O DNS é um protocolo de internet, algo como as páginas amarelas [da lista telefônica]. Se você digita o nome de um website, ele o converte em um número IP [protocolo de internet], garantindo que o internauta entre em páginas autênticas, receba e-mails e realize outras atividades online. O que o DNS faz é levar o internauta a uma página real. Sem isso, um hacker poderia utilizar um endereço de IP e direcionar as pessoas para um site falso.

Esse sistema precisa ser protegido. Nós operamos a chave principal de segurança do DNS na costa oeste e leste dos Estados Unidos. No improvável caso dos dois módulos de segurança de hardware serem apagados ao mesmo tempo, ao menos cinco pessoas deveriam ir aos EUA e restaurar o backup do sistema.

UT – De repente, você apareceu no mundo inteiro em notícias sobre as “sete chaves da internet no apocalipse”. O que pensou sobre isso?

Surý – É um papel importante, mas não tanto quanto foi colocado pelos artigos ingleses. Para que sejamos acionados, é preciso que as duas unidades nos extremos dos EUA sejam avariadas e deletadas. E eu teria de ir até lá para utilizar minha chave, fazendo o backup do backup. É algo tão improvável que eu não acho que vá acontecer algum dia.

Mas é importante ter essa garantia de segurança. Além disso, os artigos falavam sobre “instalações secretas”, mas não são! Ambas têm endereços públicos, embora sejam de alta segurança. E isso é importante: tanto que uma pessoa não pode abrir os códigos sozinha.

UT – Por que a Icann escolheu você?

Surý – Eu acho que foi porque trabalho com segurança de DNS há algum tempo. Mesmo antes desse processo todo, já estava envolvidos com o assunto. É como se fosse um gesto de gratidão: já fizemos muito para manter o protocolo seguro. Além disso, eles precisavam melhorar alguns fatores e é necessário um nível de conhecimento para saber sobre todos os procedimentos.

Como navegar na web com segurança

UT – O que acontece se você perder este smartcard?

Surý – Seria complicado. Tecnicamente, há mais seis cartões e você precisa de apenas cinco. Mas eu ficaria tão envergonhado que isso me deixaria triste pelo resto da vida.

UT – Mesmo sendo improvável, se acontecer um ataque o que seria preciso fazer?

Surý – Precisamos estar fisicamente juntos e ler o smartcard nos Estados Unidos, porque a chave funciona direto no módulo de segurança de hardware. Nós o usaríamos para restaurar o backup da chave mestra. Para isso, temos de estar no prédio.

UT – E se não funcionar?

Surý – Aí vira caso de emergência, o que seria ruim. Mas há 90 dias para restaurar a chave. É bastante tempo para testes, são três meses para assegurar uma nova operação e tomar alguma ação.

UT – Você acha que algum dia vai precisar usar a chave?

Surý – Não, eu espero não ter de usar, seria muito ruim. Porque algo de errado teria de acontecer com as duas costas dos Estados Unidos ao mesmo tempo e isso acabaria envolvendo a segurança do mundo inteiro.

HD ‘mágico’ transforma 128 MB em 500 GB (mas não funciona, claro!)

Um homem foi até a fronteira da Rússia com a China para comprar, de um CONTRABANDISTA, um HD externo de 500GB. A probabilidade de dar alguma zebra era grande, muito grande. E adivinhem o que aconteceu quando o russo tentou utilizar o HD pela primeira vez: claro, não funcionou, era falso…

Quando o russo foi até a loja (vulgo contrabandista) onde havia comprado o HD, não conseguiu encontrar ninguém para trocar a mercadoria. Mas o que mais chama atenção foi a engenhoca que o falsificador montou para não ser descoberto. Depois de abrir o case, o russo encontrou um pequeno chip com uma memória de 128 MB programada para representar 500GB aos olhos de quem o plugasse em algum computador; e de quebra uns pesinhos para ninguém desconfiar da leveza.

E mais: se alguém resolvesse passar um arquivo de mais de 128 MB para dentro do HD, a memória forjaria espaço interno, alocando dados em cima de dados previamente armazenados. Ou seja, arquivo perdido na certa!

Se a moda pega…

Fonte: CrunchGear

Seu computador está seguro? Teste a eficácia do seu antivírus

A eficácia de um antivírus pode ser avaliada de acordo com vários critérios. Um dos principais é a capacidade que o programa tem de detectar vírus e arquivos maliciosos presentes ou em execução no sistema e alertar os usuários sobre a ameaça. Nesta dica, mostraremos como criar um arquivo que simula um vírus para verificar se o seu antivírus é capaz de identificá-lo, exibindo o alerta de ameaça.

Importante: o arquivo em questão é criado no bloco de notas ou qualquer outro editor de texto e não é capaz de causar nenhum dano ao sistema. Trata-se de um EICAR, um arquivo de teste de 68 bytes, composto por uma sequência de caracteres e utilizado pela indústria para testar a eficácia de softwares antivírus.

Passo 1. Abra o bloco de notas do Windows e copie o seguinte código: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Passo 2. Clique em “File” (Arquivo) e selecione a opção “Save as…” (Salvar como).

Passo 3. Dê qualquer nome ao arquivo criado, determine uma extensão qualquer e clique em “Save” (Salvar). Exemplo: virus.exe

Ao ser salvo, o arquivo deve ser automaticamente reconhecido pelo seu programa antivírus como uma ameaça e uma tela de alerta deverá ser exibida, como a tela abaixo.

Passo 4. Existe ainda um tipo de variação do código do EICAR. Para testá-lo, repita os passos acima utilizando o seguinte código no bloco de notas: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-ANTIVIRUS-TEST-FILE-ALTERADO!$H+H*

Nesse caso, o arquivo será detectado como um vírus de nome “EICAR.mod”, igualmente inofensivo ao computador.

O teste acima é apenas uma forma de verificar a eficácia do antivírus quanto à sua capacidade básica de detecção, visto que os arquivos de teste são amplamente conhecidos. O não reconhecimento desses arquivos pode representar uma vulnerabilidade do sistema ou desatualização do programa antivírus.

Do mesmo modo, um antivírus não pode ser considerado totalmente eficaz por detectar o arquivo EICAR, não significando, necessariamente, que o computador está protegido contra ameaças mais avançadas.

5 mitos sobre serviços de localização na Internet

Primeiro veio o Foursquare. Depois, o Gowalla. Agora é o Facebook que, pouco a pouco, estende ao mundo uma tecnologia própria que combina rede social e localização geográfica.

Com tantas opções por aí – e o consequente burburinho que isso traz -, é natural que surjam vários comentários sobre o que tais serviços realmente fazem. Muitos deles são verdadeiros, é fato, mas muitos outros são absolutamente falsos.

A geolocalização ainda é algo novo na arena das redes sociais. O Foursquare, por exemplo, foi lançado em 2009. E, como toda tecnologia emergente (veja o caso do Twitter, por exemplo), dúvidas não faltam. É seguro? E minha privacidade, como fica? Não é perda de tempo?

Para ajudar a separar o fato da ficção, eis cinco das principais alegações sobre serviços baseados em localização – e conheça a verdade que há nelas.

1 – Eu serei seguido.

Qualquer tecnologia implica algum risco de segurança. No entanto, os serviços baseados em localização embutem um risco único, já que você estará divulgando sua localização atual exata. Isso faz com que seja extremamente importante entender e utilizar os controles de privacidade que essa tecnologia específica oferece.

Um engano bastante comum é considerar que, em serviços de geolocalização como o Foursquare, seus movimentos são rastreados, gravados e divulgados.

Isso não é necessariamente verdade. O Foursquare, por exemplo, compartilhará sua localização apenas se você decidir efetuar check-in para avisar ao serviço que acaba de chegar a algum lugar específico.

Mesmo se você fizer o check-in, ainda terá a escolha de divulgar sua chegada ou apenas registrá-la “por debaixo do pano”.

O Facebook também aprendeu com seus problemas anteriores em relação à segurança. Como padrão, os check-ins de seu serviço Places são visíveis apenas por amigos. Esta configuração específica pode ser personalizada para permitir um compartilhamento maior, ou ser restrita a um grupo de pessoas.

De forma semelhante, se um amigo o marca como estando presente em um local, você tem a opção de remover a marca (tal como se faz com fotos). Se quiser, poderá até escolher nunca ser marcado no Places.

Moral da história: Como ocorre com outras tecnologias, cabe a você entender e usar as políticas de privacidade para manter-se seguro. Cada serviço de localização é diferente; assim, é importante saber como cada serviço funciona antes de aderir a ele.

2 – Para que preciso disso?

Divulgar sua localização para amigos pode parecer loucura. Mas pense bem: não é o que falavam das mensagens de 140 caracteres do Twitter quando foi lançado?

Os serviços de localização são mais que um jeito de dizer onde está. Ofertas de descontos e de amostras grátis têm-se tornado populares. A rede de lojas Gap, por exemplo, ofereceu a usuários do Foursquare 25% de desconto caso fizessem check-in em uma de suas lojas. A rede Ann Taylor ofereceu uma promoção parecida: 25% de desconto para “prefeitos” do Foursquare (usuários que lideram os check-ins em um determinado local nos últimos 60 dias) e 15% de desconto para cada consumidor depois de seu quinto check-in.

O Gowalla também aposta em recompensas. Em suas viagens, os usuários do Gowalla podem encontrar “souvenirs digitais”, que valem brindes no mundo real como roupas, ingressos de cinema e gadgets.

E há o aspecto social, que parece ser o foco do Facebook. “Já lhe aconteceu de ir a um show e descobrir, mais tarde, que seus amigos também estiveram lá?”, sugeria o Facebook, em seu blog, ao anunciar o Facebook Places.

O Places, afirma o Facebook, foi concebido para que você compartilhe seus lugares favoritos com seus amigos e mantenha contato com eles no mundo real.

3 – Sem smartphone, não dá para usar.

Poucas pessoas percebem que o Foursquare oferece duas opções para efetuar check-in em um local: pelo computador e via SMS.

Para fazer o check-in de seu computador, visite m.foursquare.com, role a tela para o pé da página, depois dos avisos de seus amigos, clique na opção dois – “Check-in (tell us where you are)”. Você será levado a uma nova página onde poderá efetuar o check-in.

Se seu celular não tem um navegador web, você poderá usar um código SMS do Foursquare para fazer o check-in enviando uma mensagem para 50500 (esta opção, no entanto, só funciona nos Estados Unidos).

O Facebook Places, por sua vez, está disponível agora apenas àqueles que têm a aplicação Facebook for iPhone ou para quem visitar touch.facebook.com. Essa versão do Places funcionará apenas se seu aparelho oferecer suporte a HTML5 e geolocalização.

4 – Detalhes de minha rotina serão mostrados a terceiros.

Sempre que abrir o aplicativo Foursquare em seu celular, o Foursquare usará a informação de seu aparelho para ajustar a experiência de uso ao lugar onde estiver. Por exemplo, ele lhe mostrará uma lista de atrações, amigos e dicas relacionadas às redondezas. Essa informação não é publicada em seu perfil.

O Foursquare coleta algumas informações pessoais de forma automática. Isso inclui seu endereço IP, informações de cookie e a página que você solicitou.

O Foursquare afirma que só usa essas informações de forma agregada e não para identificá-lo pessoalmente. Essa informação é compartilhada com seus parceiros, mas não de forma que poderia identificá-lo, informa a empresa. Gowalla e Facebook funcionam de maneira semelhante.

5 – Vou chatear amigos e seguidores com atualizações sem graça.

Você provavelmente já viu atualizações de amigos do Facebook e de seguidores do Twitter que anunciam, a cada meia hora, onde estão.

Este é um recurso do Foursquare que, para funcionar, precisa ser ativado de forma intencional. Sem isso, suas atualizações não aparecerão no Facebook nem no Twitter.

Se você ativar o recurso, perceberá que suas atualizações de local não serão mais privativas – elas aparecerão na timeline pública do Twitter e serão visíveis por todos os seus seguidores.

De forma semelhante, se escolher ligar sua conta do Foursquare ao Facebook, suas atualizações serão divulgadas nos news feeds de seus amigos e se tornarão disponíveis publicamente caso as configurações de privacidade permitam que as pessoas vejam seu mural. O mesmo é verdade quando se liga uma conta do Gowalla ao Twitter e ao Facebook.