quinta-feira, 31 de julho de 2014

ALERTA: BadUSB – Interfaces USB são um perigo no seu sistema

Vulnerabilidade afecta Pens USB, discos rígidos, teclados, ratos e até smartphones/tablets
Nos últimos meses a segurança informática é um assuntos mais abordados nos meios de comunicação ligados à tecnologia e não só!
O mundo atravessa um momento de desconfiança no que se refere à segurança informática e muito por culpa da já famosa Agência de Segurança Nacional (NSA). Verdades ou não, as notícias fazem-nos reflectir sobre as questão da nossa privacidade mas também têm-nos feito perder a confiança nos fabricantes de software e hardware.
usb_00
Agora, dois  investigadores, descobriram uma falha grave ao nível do USB que pode por em risco PCs, discos rigidos USB, smartphones, tablets, etc.
A investigação ao nível da segurança do protocolo USB não é de agora. Desde há muito tempo que investigadores na área da segurança se debatem sobre os perigos de ficheiros maliciosos que podem ser passados via pens USB. Recentemente, um grupo de investigadores de Berlim, descobriram uma ameaça perigosíssima que é “virtualmente” indetectável.
Para a descoberta, os investigadores Karsten Nohl e Jakob Lell recorreram a técnicas de Engenharia Reversa  e chegaram à conclusão que o firmware que controla as interfaces USB  pode ser reprogramado, com código malicioso,  e assim controlar facilmente todo o sistema.
usb_01
Esta “vulnerabilidade” afecta todo o hardware que faz uso do protocolo USB como é o caso das Pens USB, discos rígidos, teclados, ratos e até smartphones e tablets. Mas, uma vez afectado o sistema, são muitas as acções que o malware pode realizar!
Lembram-se da badBIOS?
As capacidades do BadUSB fazem lembrar um pouco a badBIOS. Dragos Ruiu, investigador na área da segurança, afirmou publicamente que os computadores do seu laboratório estavam a ser infectados por tipo “estranho” de malware.
Segundo Ruiu, este tipo de malware,que foi baptizado com o nome de “badBIOS”, é transmitido através de microfones e alto-falantes, podendo infectar facilmente todas as máquinas que se encontrem num mesmo espaço, mesmo que estas não estejam ligadas em rede

Evite estas 10 publicações no Facebook e provavelmente ficará a salvo de malware


A maior rede social do mundo não tem nenhum esquema de phishing, nem links que espalham malware pelos utilizadores. Mas na realidade em que vive o melhor é ter atenção no que carrega e não deixar levar-se pela curiosidade.

Imagine uma mina de ouro com 1,32 mil milhões de pepitas inocentes, prontas para serem apanhadas, mesmo que para isso seja preciso cometer algumas ilegalidades. Se lhe pareceu tentador, fique a saber que isto é o que os cibercriminosos pensam do Facebook atualmente.

Pelo grande número de utilizadores e pela baixa literacia digital de alguns, é fácil montar esquemas de engenharia social para proceder ao roubo de dados ou à instalação de programas maliciosos na máquina do utilizador.

A empresa de segurança Bitdefender revelou ao The Guardian quais foram até agora as ameaças mais populares e mais comuns no Facebook. Já sabe, se vir alguma delas, ou semelhantes, o melhor é passar ao lado.

1 – Ferramenta que ajuda a descobrir o número total de visitas e quem viu o seu perfil - 30,2%
2 – Ferramenta que ajuda a mudar a cor do Facebook – e que já circulou em Portugal, como o TeK alertou na altura - 7,38%
3 – Vídeo amador de sexo da Rihanna com o namorado.. ou qualquer outro vídeo do género - 4,76%
4 – Vê a minha atualização de perfil e podes ganhar uma T-Shirt do Facebook - 4,21%
5 – Diz adeus ao Facebook azul - 2,76%
6 – Desbloqueio e oferta de itens - 2,41%
7 – Ferramenta que ajuda a ver se algum amigo o apagou do Facebook - 2,27%
8 - Ferramenta que ajuda a saber quem são as 10 pessoas que mais visitam o seu perfil - 1,74%
9 – Ferramenta que ajuda a descobrir quem viu o seu perfil - 1,55%
10 - “Acabei de mudar o meu perfil no Facebook. É fantástico” - 1,50%

Há uma clara tendência para as ameaças que procuram explorar o lado mais curioso dos utilizadores. Para uma executiva da Bitdefender este tipo de ameaças online são muito perigosas pois funcionam como um desafio mental que carrega nos botões psicológicos que ativam um determinado tipo de reações nos utilizadores.

Mas tal como é dito no título do texto, mesmo que evite esta dezena de esquemas nada garante que está 100% seguro na rede social. Mas pelo menos vai ajudar a evitar uma grande parte dos problemas.

E não se esqueça: o Facebook não permite saber quem viu o seu perfil e as ferramentas de edição da plataforma social são mais sombrias do que apelativas. Matenha também debaixo de olho os convites de jogos que lhe são enviados. 

quarta-feira, 30 de julho de 2014

Chegou o Libreoffice 4.3

Bug com 11 anos finalmente corrigido!…e mais 30 formulas no Excel.
Mais um mês e mais uma nova versão do LibreOffice. O Libreoffice é um software de produtividade Open Source, ao estilo do Microsoft Office, que advém do código fonte do OpenOffice.
O Libreoffice 4.3 é assim a oitava actualização desde que o Libreoffice foi lançado e a terceira versão da edição 4.0.
libre_00
Document Foundation anunciou o LibreOffice 4.3 que inclui um conjunto de actualizações significativas comparativamente à versão 4.0.
Esta versão tem como destaque a correcção de um bug que “assombrava” há 11 anos e não permitia parágrafos “monstros” com mais de 65,000 caracteres.
libreoffice_42_2 (1)
Outras novidades em destaque
  • Suporte para modelos de animação 3D no Impress
  • Suporte para ficheiros Collada and .kmz
  • Suporte inicial para HiDPI no Windows e Linux
  • Barra de progresso na importação de ficheiros .docx
  • Tweaks ao nível dos PDF’s
Para consultarem todas as melhorias do LibreOffice 4.3, podem aceder aqui à pagina oficial do projecto.

Licença: LGPLv3
Sistemas Operativos: Windows/Mac/Linux
Download: Escolha aqui o seu sistemas operativo
Homepage: LibreOffice

Primeira actualização do Windows Phone 8.1 chega já em Agosto

Ainda sem estar completamente disponibilizado para todos os equipamentos que o vão suportar, o Windows Phone começa já a preparar o seu futuro.
É um sistema operativo que está agora em constante evolução e melhoria e por isso a Microsoft tem já preparada a primeira actualização do Windows Phone 8.1, que vai ser lançada muito em breve.
Chega na forma de uma versão Developer Preview já nos próximos dias e dentro de alguns meses vai ser lançada de forma generalizada e para todos.
windows_phone_81_update_1

Apesar de ser já conhecida, esta actualização não era esperada para tão cedo, ainda para mais não tendo o Windows Phone sido disponibilizado de forma sustentada e generalizada, mas a Microsoft resolveu torná-la uma realidade e está já a prepara o seu lançamento.
A actualização, que tem o nome interno GDR1, traz ao Windows Phone 8.1 algumas funcionalidades novas e que vão tornar este sistema ainda mais adaptado ao que os utilizadores pretendem.
São pequenas melhorias e novas funções que vão ao encontro do que os utilizadores pediram à Microsoft e que fazem todo o sentido.
A sua disponibilização para os testers vai ser feita durante a próxima semana, com um Update Previw, sendo esperado o seu lançamento durante os próximos meses, mais uma vez depois de maturar e de serem corrigidos possíveis bugs que surjam.
Vamos então conhecer as novidades que vão ser aplicadas nesta actualização. As mais significativas são o alargamento da Cortana a outros locais e idiomas, mas ainda sem chegar ao Português.

Live Folders

windows_phone_81_update_2
Esta novidade da Microsoft era já conhecida e vai permitir que coloquemos no ecrã principal do Windows Phone pastas onde agruparemos aplicações, de acordo com o desejo dos utilizadores.
Estas pastas vão ser dinâmicas e vão mostrar todas as notificações que surgirem, da mesma forma que agora acontece com as aplicações.
Mesmo com a proposta similar já disponível da Nokia, a Microsoft resolveu desenvolver a sua versão e integra-la com o Windows Phone. Esta será mais dinâmica e mais coerente com a filosofia Live Tiles.

Xbox Music Live Tile

windows_phone_81_update_3
A Microsoft tem continuado a desenvolver e a melhorar a sua aplicação de música. As melhorias que a actualização vai trazer situam-se principalmente a nível da melhoria da performance.
Mas vão haver outras novidades nesta aplicação, que passará a contar com um Tile próprio, com animação e informação apresentada referente ao que está a ser ouvido.

Melhoras nos SMS e Apps Corner

windows_phone_81_update_4
Também as mensagens vão ser melhoradas, ao passar a ser possível seleccionar múltiplos SMS para que possam ser eliminados ou reencaminhados. Estas duas funções estavam para já limitadas.
Outra novidade que vai surgir é a Apps Corner. Esta nova funcionalidade vai permitir que sejam escolhido um conjunto de aplicações que vão correr em modo sandboxed e que vão ser possíveis de aceder sempre que “emprestarem” o smartphone.
Desta forma apenas vai ser possível aceder a um conjunto limitado de funcionalidades e de aplicações, escolhidas e definidas pelo utilizador, podendo o equipamento ser emprestado sem receio de acesso a áreas mais sensíveis.
A mudança vai também chegar ao Tile da loja de aplicações, que passa a ser dinâmico e a apresentar listas de aplicações.
Com uma chegada marcada para tão breve, vai ser interessante verificar como conseguiu a Microsoft fazer evoluir o Windows Phone 8 em tão pouco tempo.

Descoberto outro bug no Android que deixa milhões vulneráveis

Um novo bug que afecta o Android foi agora descoberto. O maior problema desta vez é que afecta todos os utilizadores deste sistema operativo desde a versão 2.2 até à 4.4, o que cobre mais de 80% dos utilizadores.
O Fake ID, nome pela qual é conhecido este bug, tem a capacidade de ser explorado por aplicações maliciosas para obter dados dos utilizadores, ler emails e aceder a dados sensíveis dos utilizadores.
android_bug_1

O mais recente bug do Android foi descoberto pela equipa de investigadores Bluebox Security e está presente numa grande variedade de versões do Android, tendo a Google já enviado para os seus parceiros uma actualização para corrigir este problema.
O problema está localizado na forma como o Android valida os certificados de criptografia que acompanham as aplicações. O Android não valida a cadeia de certificados e confia na aplicação, dando-lhes acesso a zonas normalmente interditas, fora da sandbox.
Ao dar essa permissão especial, acaba por dar acesso a zonas sensíveis dos dados do utilizador, permitindo depois que esses mesmos dados sejam retirados enviados para fora dos dispositivos.
Por definição do Android, apenas algumas aplicações bem conhecidas e bem definidas podem ter acesso a estas permissões especiais para funcionarem fora da sandbox, mas com recurso ao Fake ID qualquer aplicação mal intencionada pode ter esse acesso.
A solução que para já foi aplicada na versão 4.4 do Android ainda não resolve o problema de forma permanente, mas garante uma grau de segurança maior. Na verdade o problema está presente até na mais recente versão L do Android.
android_bug_2
Em comunicado a Google reconheceu este problema e garantiu que já enviou para os seus parceiros uma solução e que activou mecanismo adicionais para detectar aplicações na Play Store que explorem este bug.
We appreciate Bluebox responsibly reporting this vulnerability to us; third-party research is one of the ways Android is made stronger for users.
After receiving word of this vulnerability, we quickly issued a patch that was distributed to Android partners, as well as to AOSP. Google Play and Verify Apps have also been enhanced to protect users from this issue.
At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play, and we have seen no evidence of attempted exploitation of this vulnerability.
Não foi no entanto especificada qual a solução aplicada e nem se qualquer um dos seus parceiros a aplicou nos seus dispositivos.
A importância deste bug é maior que o habitual pois afecta cerca de 80% dos dispositivos qe estão equipados com este sistema operativo. Este elevado número resulta do facto de estar presente em versões muito antigas do mesmo, desde a 2.2, mas que ainda estão em utilização.
E como é normal no Android, a maioria dos fabricantes não disponibiliza actualizações para estes dispositivos, por variadas razões.

Mi4 – O telemóvel mais rápido do mundo a metade do preço do Galaxy S5

Foi no passado dia 22 de Julho que a chinesa Xiaomi lançou aquele que é actualmente considerado osmartphone mais rápido do mundo – o Mi 4. Recentemente têm sido feitas algumas comparações ao nível das especificações e preço e a verdade é que o Mi4 leva vantagem.
Mi4 vs Galaxy S5 qual será o verdadeiro flagship do reino Android?
Xiaomi_Mi4_launches_in_Italy_next_month_preorder_open-1
Construção/Design
O Xiaomi Mi4 tem “cara” de iPhone 5.  Relativamente ao Galaxy S5, este segue a linha da gama Galaxy. Ambos os equipamentos têm botões de navegação na parte frontal.  De referir que o Mi4 é o primeiro smartphone em metal da Xiaomi .
mi4_02
Ecrã
Mantendo a tendência de smartphones com ecrã grande, a Samsung decidiu integrar no S5 um ainda maior, comparativamente aos seus antecessores. O Galaxy S5 tem um ecrã de 5.1” enquanto o Xiaomi  Mi4 apenas tem um ecrã de 5”.
No entanto, ai nível do ecrã, a grande diferença entre os equipamentos está na tecnologia Super AMOLED que está presente no terminal da Samsung. O Mi4 usa tecnologia IPS LCD. Relativamente à resolução, ambos suportam full HD 1920 × 1080 pixeis.
Xiaomi-Mi41
Performance
Samsung Galaxy S5 vem com um processador Qualcomm Snapdragon 801 MSM8974-AC, quad-core a 2.5 GHz Krait 400. Tem 2GB de RAM e está disponível na versão de 16GB ou 32GB de memória interna, expansível até 128GB através de microSD.
Já o Xiaomi Mi4 traz o processador Qualcomm Snapdragon 801 8974-AC quad-core de 2.5 GHz Krait 400. Ao contrário do S5, o Mi4 traz 3 GB de RAM.
Ao nível de GPU, ambos os smartphones têm a Adreno 330.
Xiaomi_12
Sistema Operativo
Samsung Galaxy S5 é fiel à Google e a respectiva interface do Android trazendo o Android (4.4.2) TouchWiz UI.
Já a Xiaomi adoptou a ROM MIUI  (Android (4.4.3) MIUI 6 U) – uma ROM personalizada que foi criada inicialmente por uma equipa chinesa (há uma comunidade que faz a tradução para PT – ver aqui). Esta ROM oferece uma interface muito elegante (muito ao estilo do iOS) e as indicações relativamente à fluidez são também muito positivas.
mi4_03
Autonomia
Quanto as baterias a diferença em termos de mAh é significativa. O Xiaomi Mi4 tem uma bateria de 3080 mAhenquanto o S5 apenas tem uma bateria de 2800 mAh. No entanto há boas referencias relativamente a gestão da bateria por parte do S5.
Xiaomi_13
Preço

Por fim o preço! Este é sem dúvida um dos pontos fortes do equipamento da Xiaomi. Enquanto o Galaxy S5 custa cerca de 500€ (para a versão de 16 GB) o Mi4 custa apenas 240€ (também para a versão de 16 GB).

terça-feira, 29 de julho de 2014

Componentes da camada fisica do modelo OSI - Redes de comunicação

Instagram: Bug de segurança com 2 anos ainda por resolver?

A utilização de redes sem fios públicas obrigam a algumas medidas de segurança adicionais que possam garantir a protecção dos nossos dados.
Muitas das empresas que criam aplicações garantem à partida algumas dessas medidas, garantido que os utilizadores não ficam expostos a ataques e a roubo de dados.
Mas algo que não se esperaria é que o Instagram tivesse um bug com mais de 2 anos e que o Facebook ainda não o tenha resolvido.
instagram_1

O problema não é novo e já em 2012 tinha sido apresentado por vários investigadores de segurança. Mas voltou a ser reportado, desta vez pelo investigador Mazin Ahmed, e foi mais uma vez provado que é possível fazer um ataque Men In The Middle e alterar o trafego que circula de e para o Instagram.
Este problema afecta apenas a versão Android do Instagram e advém de uma falha de segurança na comunicação entre o cliente e os servidores do Instagram.
Ao contrário do que seria de esperar toda essa comunicação está a ser feita de forma não segura, usando o HTTP, em vez do que seria esperado, HTTPS.
I started using the app on my phone, and monitoring the traffic in the network using WireShark, looking for evidence for unencrypted data that goes through the network or a technique to make this data unencrypted (if it was encrypted)
Ao usar esta protocolo de comunicação não seguro o cliente Android do Instagram está a permitir que seja possível interceptar o tráfego e que depois o mesmo possa ser alterado e a sessão do utilizador seja alterada.
instagram_2
Os dados que este último investigador de segurança provou serem possíveis de interceptar incluíam a fotografia que a vítima estava a ver, as cookies de sessão, o seu username e o seu ID
As soon as I logged into my account on my phone, Wireshark has captured unencrypted data that goes through HTTP. This data includes: The pictures that the victims watching, The victim’s session cookies, the victim’s username and ID.
O investigador que voltou a descobrir este problema reportou-o ao Facebook para que o mesmo pudesse ser tratado e resolvido, garantindo assim que a situação seria mitigada e que a segurança dos utilizadores fosse garantida.
O mais caricato e surpreendente desta situação foi a resposta do Facebook, que revelou um completo ignorar deste grave problema.
Segundo o Facebook estão cientes do problema e que num futuro próximo vão resolvê-lo. Quanto à falha da utilização do HTTP em detrimento do HTTPS, assumem o risco das comunicações não estarem a ser cifradas.
instagram_3
Seria esperado que após a aquisição do Instagram, em Abril de 2012, o Facebook tratasse de garantir os níveis de segurança que seriam esperados, mas a verdade é que o problema ainda se mantêm desde essa altura e sem uma data de resolução à vista.
O alerta fica dado, se usarem o Instagram em redes públicas podem estar a revelar muito mais do que pensam. É simples capturar o tráfego dos clientes para essa rede e roubar a sessão do utilizador.