Quão forte são as suas senhas de computador? O que o influencia a “proteger” uma conta com uma senha como “123456” ou jamais sequer se dar ao trabalho de mudá-la de uma senha predefinida com “Bemvindo1” depois de ter se registrado em um site na internet? Um time de pesquisadores da Universidade da Califórnia em Berkeley, a Universidade de British Colômbia e a Microsoft quiseram saber se os medidores de força de senhas mais frequentemente vistos em páginas de registros fazem alguma diferença na escolha das combinações alfanuméricas que os registrantes decidem utilizar.
Em um documento (PDF) recentemente publicado, pesquisadores relatam os resultados de experiências desenvolvidas para revelar as circunstâncias sob as quais senhas fracas ou fortes são utilizadas. A equipe escreveu que “medidores ocasionam senhas mais fortes quando usuários são forçados a trocar senhas existentes de contas importantes e que decisões sobre o design de medidores individuais provavelmente tem um impacto marginal”. Mas o outro lado desta moeda, infelizmente, é que quando se trata de sites que os usuários não consideram importantes (onde não há informações confidencias, como extratos bancários que devem ser mantidos em sigilo eles tendem a não se darem ao trabalho. Nestes momentos, dizem os pesquisadores, os usuários, com muita frequência, reutilizam senhas de outras contas. Eles não estão atentos ao fato que, dizem os pesquisadores, independente da força relativa de uma senha, se esta for utilizada em vários sites, todas as contas de um usuário estarão em risco se um hacker entrar em uma base de dados pouco protegida de um destes sites. Os problemas com senhas são na maioria das vezes atribuídos às “políticas fracas e… a frequência com que vemos bases de dados serem divulgadas,” disse Serge Egelman, um pesquisador da UC Berkeley e membro da equipe de pesquisa, ao Kaspersky Lab´s Threatpost. “Se houvesse mais esforços para proteger as senhas criptografadas armazenadas, os usuários teriam que se esforçar menos”.
Preparar a comunicação online para espionagem é uma má ideia
De acordo com um novo documento (PDF) divulgado pelo Center for Democracy and Techonology (Centro pela Democracia e Tecnologia), um grupo de defesa em Washington, D.C., o governo dos Estados Unidos vem buscando problemas ao tentar forçar as empresas de Internet a estruturar as comunicações online para que as autoridades possam colocar “escutas” em e-mails e ligações via Skype da mesma forma que fazem com as tradicionais escutas telefônicas. O relatório, escrito por conceituados cientistas de computação, diz que uma vez que empresas como a Microsoft e Google redesenharem o software contendo estes serviços – ou o hardware que os utilize – para desenvolver recursos de espionagem, isto sem dúvida irá estender a capacidade de governos que almejam reprimir seus cidadãos e cyber-criminosos com intenções de roubar e destruir. Edward W. Felten, um professor de ciência de computação em Princeton e um dos autores deste relatório, disse ao New York Times que o governo está em busca de um “um único ponto no sistema pelo qual todo seu conteúdo possa ser coletado…” Felten, que até recentemente era um tecnólogo do U.S. Federal Trade Commission, diz, “Isto é uma vulnerabilidade de segurança esperando acontecer, como se precisássemos de mais.”
Os coautores de Felten incluem o criptógrafo Bruce Schneier e Phil Zimmerman, criador do Pretty Good Privacy, o software de confidencialidade de e-mails particulares mais utilizados. Um artigo do NYT observa que a “reportagem chega ao momento em que as autoridades federais dizem estar se aproximando de um consenso sobre a antiga reivindicação do F.B.I. de poder interceptar comunicações na Internet.”
Espoliação
O Paquistão tem sido alvo de uma campanha malware nos últimos meses. Seu ponto de origem? Em algum lugar dentro de sua gêmea fraterna, a Índia. Jean-Ian Boutin, um pesquisador de malware na empresa de segurança Eset, publicou em um blog os resultados de sua investigação sobre como os ataques ocorreram. Boutin diz que a propagação do malware tem explorado um certificado falso. A publicação no blog no WeliveSecurity.com descreve com detalhes a historia da campanha, incluindo os tipos de códigos maliciosos que surgiram à inocentes paquistaneses por causa de um falso certificado assinado digitalmente por uma empresa indiana chamada Technical and Commercial Consulting Pvt. Ltd. O certificado foi originalmente emitido em 2011 mas revocado em Março de 2012. Mas isto não impediu que mais de 70 diferentes binários maliciosos fossem autorizados com o certificado até setembro do mesmo ano. São estes binários assinados fraudulentamente que agora atormentam os paquistaneses. Um gráfico no post de Boutin indica que, mesmo que outras nações foram atingidas pela campanha, 79 por cento das maquinas infiltradas – das quais dados incluindo screenshots, keystrokes e até documentos na lixeira foram roubados e enviados aos servidores atacantes – estão no Paquistão.
E outras notícias sobre cibercrimes
Ha um artigo interessante no Kaspersky Lab Threatpost sobre a controvérsia de como os pesquisadores de segurança devem proceder depois de descobrirem façanhas que tiram vantagem das vulnerabilidades em redes ou máquinas únicas. Eles devem entregar esta informação às empresas afetadas sem custo ou devem ser recompensados? Devem revelar publicamente os seus achados? Tudo bem vender a informação a quem der o maior lance?
A Microsoft emitiu um alerta sobre um novo Trojan sequestrando contas do Facebook de usuários no Brasil após se disfarçar como uma legitima extensão do Google Chrome e add-on do Firefox.
Por: Willie Jones é editor assistente da IEEE Spectrum.
Nenhum comentário: