Publicado em Terça - 20 de Fevereiro de 2007 | por Luiz Celso

Gerais Firefox tem nova falha crítica

O pesquisador Michal Zalewski descobriu uma nova vulnerabilidade no Firefox, classificada como séria, que permite a hackers capturarem informações de um internauta.

O bug foi testado na versão 2.0 do navegador, mas também pode atingir edições mais antigas do browser.

Segundo o especialista, que já identificou outras brechas críticas no software, a vulnerabilidade permite que um ataque manipule cookies e faça com que o navegador seja enganado sobre a origem de um domínio.

Com isso, o Firefox é levado a acreditar que recebe informações de um banco, quando, na verdade, troca informações com uma página de hackers, por exemplo.
Leia mais...

Gerais Symantec alerta para ataque em modems e roteadores

Publicado em Terça - 20 de Fevereiro de 2007 | por Luiz Celso

Um pesquisador da Symantec publicou na última quinta-feira (15/02) informações sobre um novo tipo de ataque que ele chama de Drive-By Pharming. O ataque permite que um invasor modifique as configurações do roteador ou modem ADSL da vítima se uma página web maliciosa for aberta. Para se proteger, basta alterar a senha do modem ou roteador para qualquer outra diferente da padrão.

De acordo com a Symantec, o perigo maior está na possibilidade da modificação dos servidores DNS utilizados pelos roteadores. Em muitas redes domésticas, o modem é que envia as informações de DNS para os computadores, o que significa que, comprometendo o roteador, todos os computadores da rede seriam afetados.

O DNS (Domain Name System) é o sistema da Internet responsável por direcionar o computador ao site correto quando o usuário digita um endereço (www.linhadefensiva.org). Se um criminoso obtiver sucesso ao executar o Drive-By Pharming, o usuário pode ser redirecionado para sites falsos ao digitar o endereço de bancos, por exemplo, de modo que toda informação enviada (inclusive as senhas) sejam recebidas pelo criminoso.

Para que a página web maliciosa consiga alterar as configurações do modem, este deve estar configurado com a senha padrão de fábrica. Como a configuração de muitos roteadores não pode ser acessada pela Internet, muitos acreditam que esta senha não precisa ser mudada. Isto, de acordo com a Symantec, é o que contribui para que o ataque funcione.

Se o modem estiver com a senha padrão, basta que o usuário visite uma página web maliciosa. Usando uma técnica chamada de Cross Site Request Forgery (CSRF), o site malicioso pode instruir o computador do usuário a acessar o modem e modificar as configurações. Nenhuma falha de segurança é explorada, apenas um erro de configuração (a senha vulnerável).

A técnica foi desenvolvida pelo pesquisador da Symantec Zulfikar Ramzan em conjunto com Sid Stamm e Markus Jakobsson da School of Informatics da Universidade de Indiana.
Leia mais...

Hackers e Cia Polícia desarticula principal rede de pirataria de DVD em Hong Kong

Publicado em Sábado - 17 de Fevereiro de 2007 | por Luiz Celso

Uma força especial da Polícia aduaneira de Hong Kong desarticulou hoje a maior rede de pirataria de DVD da ex-colônia britânica, que era abastecida por discos provenientes da China.

Agora, se acredita que só restam entre 40 ou 50 pontos de venda de discos ópticos piratas - o que inclui CD, VCD e DVD - em comparação aos 1.000 existentes em 1999, disseram hoje para a Efe fontes do departamento de alfândegas.

Os policiais prenderam entre quarta e quinta 14 pessoas - das quais 9 ficaram a disposição da Justiça hoje - e apreenderam mais de 120.000 discos ópticos em cerca de 20 pontos de Hong Kong.

A receita alcançada pela rede com esta atividade chegava a US$ 6.400.

A operação aconteceu após um ano de investigações e foi apoiada pela associação de cinema Motion Picture Association (MPA), que conta com seis membros, entre eles a Buena Vista International, a Paramount Pictures e a Warner BROS.

Segundo um estudo recente, que avaliou o impacto da pirataria - incluída a da internet - na indústria do cinema, os estúdios da MPA perderam em 2005 cerca de US$ 6,1 bilhões no mundo todo.
Leia mais...

Gerais Apple lança nove atualizações envolvendo horário de verão e falhas

Publicado em Sexta - 16 de Fevereiro de 2007 | por Luiz Celso

A Apple lançou nove atualizações de software na quinta-feira (15/02) que fazem ajustes quanto ao novo horário de verão, problemas apresentados no Mês de Bugs da Apple e corrigem falhas no Final Cut Pro. As atualizações estão disponíveis através da ferramenta Software Update, inclusa no Mac OS.

Cinco das atualizações são relativas às novas regras do horário de verão dos EUA para 2007. Neste ano, o esquema começará no segundo domingo de março e terminará no primeiro domingo de novembro. Antes se iniciava no primeiro domingo de abril e ia até o último domingo de outubro.

A versão atual do Mac OS X foi atualizada para seguir essas mudanças no horário como parte do update OS X 10.4.5. No entanto, essa atualização não cobre as mudanças de horário de verão em outros países, como Alberta (Canadá), Austrália e Brasil. O novo update (Tiger) traz compatibilidade para essas regiões. A Apple também lançou uma correção chamada Panther que faz todas as atualizações do Tiger e do 10.4.5 nos sistemas do Mac OS X 10.3.

Foram anunciadas outras duas atualizações em Java para acrescentar compatibilidade com as novas regras de horário de verão dos EUA, uma para o Mac OS X 10.3 e outra para o 10.4. Finalmente a correção WebObjects 5.3.3 dá compatibilidade ao software de aplicação online com as novas instruções horárias.

A Apple também divulgou um documento técnico detalhado com mais informações sobre as mudanças e como lidar com elas em versões mais antigas do Mac OS.

Correções do Mês de Bugs da Apple

Três das atualizações anunciadas envolvem falhas de endereçamento encontradas pelo pesquisador de segurança Kevin Finisterre e o hacker “LHM” durante seu evento de um mês de duração que tem como objetivo expor falhas de segurança em produtos da Apple ou que rodem sistemas da empresa. As correções, chamadas de Security Update 2007-002, estão disponíveis nas versões Panther, PowerPC e Universal.

Em sistemas que rodam Tiger, a atualização é direcionada a uma falha em que “uma imagem de disco maliciosa pode levar a um travamento de aplicação ou à execução arbitrária de um código”, segundo a Apple. A empresa credita o descobrimento do bug à Finisterre, que postou no site do Mês de Bugs da Apple uma nota a respeito em 9 de janeiro.

Nos sistemas que rodam Tiger ou Panther, a atualização é direcionada a uma falha do Bonjour em que hackers “na rede local podem conseguir travar o iChat”, segundo a empresa. Essa falha foi reportada no site do pesquisador em 28 de janeiro.

Nos sistemas que rodam Tiger ou Panther, a atualização é direcionada a outra falha do iChat que pode “levar a um travamento de aplicação ou à execução arbitrária de um código”, de acordo com a Apple. A falha foi reportada no site do pesquisador em 20 de janeiro.

Finalmente, nos sistemas que rodam Tiger ou Panther, a atualização é direcionada a uma vulnerabilidade do processo de notificação do usuário, que pode garantir privilégios de sistemas a usuários maliciosos. Essa falha foi reportada no site do pesquisador em 22 de janeiro.

Final Cut Pro 5.1.3

Na quinta-feira, a Apple também divulgou uma atualização para o Final Cut Pro que “fornece importantes correções de falhas”, segundo a Apple. O pacth inclui correções para dar compatibilidade a arquivos de renderização entre Macs baseados em PowerPC e Intel, recupera comandos de teclado perdidos ao layout padrão do teclado.
Leia mais...

Gerais Empresa diz ter criado primeiro computador quântico

Publicado em Quinta - 15 de Fevereiro de 2007 | por Luiz Celso

A companhia canadense D-Wave Systems Inc. anunciou ter desenvolvido o primeiro computador quântico comercial do mundo nesta terça-feira, cumprindo a promessa de criar o produto em 20 anos. Entretanto, ainda existe muita especulação se o computador realmente efetua cálculos quânticos verdadeiros, já que ainda não foi apresentado para inspeção.

Muitos cientistas acreditam que a verdadeira computação quântica - que é baseada em propriedades físicas incomuns - promete resolver problemas de fatoração, simulação e outras operação mais rápido que as máquinas atuais que utilizam a física clássica. Muitos dizem que tal computador está a décadas de distância.

Até que nós possamos ver dados específicos, é difícil saber se eles tiveram sucesso ou não, diz Phil Kuekes, cientista no Grupo de Pesquisa de Ciência Quântica dos laboratórios da HP.

A D-Wave fez sua primeira demonstração pública nesta terça-feira, mostrando uma máquina que dizem usar computação quântica. Entretanto, a empresa não disponibilizou o computador para que pudesse ser inspecionado, apenas mostrou um vídeo do equipamento, alegando que é muito sensível para ser transportado.
Leia mais...

Gerais Encontrada brecha crítica no uTorrent

Publicado em Quarta - 14 de Fevereiro de 2007 | por Luiz Celso

Foi publicado na segunda-feira (12) o código fonte de um programa malicioso capaz de criar arquivos .torrent que, quando abertos no uTorrent, possibilitam a execução de vírus no sistema da vítima. A falha existe na versão mais nova do programa, a 1.6.

O uTorrent é conhecido por ser um cliente de BitTorrent extremamente leve e pequeno. Sua popularidade fez com que ele fosse adquirido pela BitTorrent, empresa responsável pelo cliente oficial do protocolo.

Se você usa o uTorrent e não quer usar a versão beta, tenha extremo cuidado ao abrir arquivos .torrent. Programas maliciosos foram distribuidos em sites de arquivos Torrent em 2005, o que torna a falha do uTorrent um incentivo para que novos ‘torrents’ maliciosos sejam criados.

Alternativamente, utilize outro cliente de BitTorrent até que uma correção final seja lançada e certifique-se de que o uTorrent não é o programa padrão para a abertura de arquivos .torrent em seu sistema. A maioria dos programas faz uma checagem logo na inicialização para que você possa selecionar qual o programa padrão para a abertura dos arquivos.
Leia mais...

Windows Microsoft corrige 20 brechas na 1º atualização após lançamento do Vista

Publicado em Quarta - 14 de Fevereiro de 2007 | por Luiz Celso

A Microsoft divulgou nesta terça-feira (13/02) 12 boletins de segurança para corrigir 20 vulnerabilidades em seus produtos. Lançado no final de janeiro, o Windows Vista passou ileso no primeiro ciclo de atualizações.

Metade das atualizações foi classificada como crítica pela companhia por permitir a execução remota de códigos maliciosos no micro do usuário, diz o anúncio.

Os seis pacotes críticos são voltados para brechas no sistema operacional Windows, no navegador Internet Explorer e para os softwares de segurança OneCare Live e Windows Defender, da própria Microsoft.

Mesmo sem falhas que afetem diretamente o Windows Vista, um dos pacotes desta atualização corrige brecha no Windows Defender, que está integrado ao Windows Vista.

A Microsoft classifica como crítica brechas em seus softwares que permitem que crackers invadam e tomem controle do computador da vítima atacada.

As seis outras atualizações, classificadas como importantes”, atingem o sistema operacional Windows e o pacote corporativo Office e permitem a execução remota de códigos ou a elevação de privilégios, caso explorados.

Na última quinta-feira, a companhia já havia divulgado que distribuiria doze atualizações de segurança nesta terça-feira.

Com suas doze correções, o novo pacote triplica o número de correções divulgadas no ciclo de atualizações referente a janeiro.

O usuário pode baixar as correções diretamente no site da Microsoft ou por meio da função Windows Update no sistema operacional.
Leia mais...

Gerais CIOs falham em custos e inovação, dizem CEOs

Publicado em Terça - 13 de Fevereiro de 2007 | por Luiz Celso

A pesquisa do Forrester Research sobre a relação entre CIOs e CEOs traz uma notícia boa e uma ruim. A parte positiva para os diretores de tecnologia é que os presidentes acreditam que a performance de TI está correspondendo ao planejado.

A má notícia, no entanto, é que os CEOs dizem que tem baixas expectativas sobre as compras dos CIOs, particularmente quando isso faz parte do pacote de inovação dos negócios em TI.

A pesquisa que será divulgada por completo no final de fevereiro perguntou a mais de 70 CEOs como eles consideram os CIOs de suas organizações. E a resposta mostra que porque os CEOs não reclamam da performance dos profissionais de TI, existe muito espaço para o aperfeiçoamento da dinâmica da relação entre as duas categorias.

“A maior da surpresa da pesquisa foi o fato de que os CEOs estão geralmente satisfeitos com a TI, mas ao mesmo tempo não acreditam que o setor é pró-ativo em relação a inovações de negócios, melhoria e redução de custos ou gerenciamento de ativos efetivo”, diz Laurie Orlov, autor da pesquisa e vice-presidente e analista do Forrester.

De acordo com o estudo, quando o CEO foi perguntado sobre a função da TI em relação à inovação de negócios, 28% disseram que o segmento deve oferecer liderança de proatividade, enquanto 34% caracterizaram os grupos de TI como “pobres e medíocres”. Outros 24% apostam que a TI inovaria “quando forçada a fazer isso”.

Em relação ao gerenciamento de ativos, 54% não estavam surpresos com a capacidade da TI de rastrear o gerenciamento de pessoas e equipamentos. Por outro lado, 31% diz que foi a TI foi capaz de gerenciar ativos efetivamente como parte de suas responsabilidades correntes.

Orlov aponta que os CEOs reconhecem o trabalho que os CIOs estão fazendo na inspeção profunda, entretanto, os resultados da pesquisa poderiam complicar para a liderança de TI.

“Começa a ser revelado que os CEOs tem baixas expectativas de TI que alguns podem ter imaginado”, diz o analista. As razões para isso incluem o decepção dos presidentes e, ao mesmo tempo, a postura dos CIOS de apequenarem-se e serem mais avessos a riscos [em termos de inovação tecnológica]”, finaliza.

E na sua empresa, o cenário também é assim? Aproveite e comente!
Leia mais...

Gerais Celulares são novo alvo dos phishers

Publicado em Terça - 13 de Fevereiro de 2007 | por Luiz Celso

Depois do surgimento dos ataques de vishing, ou seja, golpes virtuais promovidos por meio de ligações de VoIP, parece que o mais novo alvo dos ladrões virtuais de informações pessoais e financeiras são os telefones celulares, crime que já ganhou o apelido de tishing, que seria um ataque de phishing por meio de texto. O alerta foi dado pela CastleCops, empresa de segurança especializada em soluções anti-phishing.

Segundo o blog do jornal Washington Post, Robin Laudanski, co-fundadora da companhia, recebeu em seu celular GSM da operadora Verizon uma mensagem estranha que alertava que seu limite de mensagens enviadas por ela teria sido excedido. Por causa disso, ela teria que ligar para um número de telefone gratuito e assim comprar minutos adicionais. Depois de ligar para o tal telefone, um homem, e não um sistema automatizado, atendeu a ligação e pediu o número de seu celular. Nesse momento, ela desligou o telefone.

Robin contou que chegou a ligar para o mesmo número outra vez, só que ao invés de ser atendida, uma mensagem automática dizia que o escriório da Verizon estava fechado no momento. Por favor, volte a nos ligar no horário comercial, completou. Paul Laudanski, marido e sócio de Robin, recomenda a quem receber mensagens desse tipo a simplesmente ignorar tais solicitações e entrar em contato com sua operadora e, se possível, com as autoridades locais e avisá-las sobre o ocorrido.
Leia mais...

Gerais Intel testa chip com 80 núcleos

Publicado em Segunda - 12 de Fevereiro de 2007 | por Luiz Celso

Após migrarem do padrão de dois núcleos para quatro núcleos nos processadores comerciais em 2006, pesquisadores da Intel construíram um chip de 80 núcleos que executa teraflops (trilhões de operações flutuantes por segundo) usando menos eletricidade que um desktop comum.

Revelado pela primeira vez em setembro, em um evento da Intel, o chip junta 80 núcleos em 275 milímetros quadrados (do tamanho de uma unha) utiliza apenas 62 watts de energia – menos que um chip atual para desktop.

A companhia não pretende trazer a pesquisa com teraflops ao mercado, mas a utiliza para testar novas tecnologias, como interconexões em alta banda, técnicas de gerenciamento de energia e métodos de design para criar chips multicore, disse Jerry Bautista, diretor do programa de pesquisa tera-scale (em escala tera), da Intel.

Os engenheiros da Intel também estão testando novas forma de computação em escara tera, que permitirão no futuro que os usuários processem terabytes nos seus computadores para executar reconhecimento de fala em tempo real, busca multimídia (de detalhes em uma foto ou vídeo), jogos com imagens realistas e inteligência artificial.

Até agora, este nível de processamento esteve disponível apenas para cientistas e acadêmicos usando máquinas com o ASCI Red, supercomputador de teraflops construído pela Intel e seus parceiros em 1996 para pesquisas governamentais no Laboratório Nacional Sandia, perto de Albuquerque, Novo México.

O sistema executa um nível de computação similar ao novo chip, mas consome 500 kilowatts de energia e 500 kilowatts de resfriamento para rodar seus 10 mil processadores Pentium Pro.

Rodando a 3.16 GHz, o novo chip chega a 1.01 teraflops de computação – uma eficiência de 16 gigaflops por watt. Ele pode ser mais veloz, mas perde eficiência. O processador economiza energia ao colocar os núcleos inativos em modo de hibernação, ligando-os instantaneamente quando precisa.

Apesar da eficiência alcançada com o modelo, os pesquisadores descobriram que adicionar núcleos demais pode prejudicar o desempenho do chip. A performance aumenta diretamente de dois para quatro para oito para 16 núcleos. Mas com 32 e 64, começa a cair, pois um núcleo começa a atrapalhar o outro. “É como uma cozinha cheia de cozinheiros”, compara Bautista.

Para resolver o problema, os pesquisadores usaram um gerenciador de processos baseado em hardware e memórias cache on-chip mais velozes, otimizando o fluxo de dados.

Para melhorar o design, a Intel planeja adicionar uma camada de memória 3D no chip, diminuindo o tempo e a energia necessários para alimentar os núcleos com dados. O próximo passo é criar um chip que vai usar núcleos para funções específicas ao invés dos pontos flutuantes do atual design.
Leia mais...