NOTÍCIA ANTERIOR
Pacotão de segurança: vírus, sistema alternativo e técnico bisbilhoteiro
PRÓXIMA NOTÍCIA
Enermax Anuncia Gabinete Volcanus
DATA DA PUBLICAÇÃO 09/07/2010 | Informática
Após uma década, hackers extraem código de segurança do Skype
“Segurança por obscuridade” é quando algo só é seguro porque depende de um segredo. Era a tática do Skype. O código que protege a confidencialidade das chamadas está incluso no programa, mas está de tal forma que fica difícil compreendê-lo, impedindo que alguém consiga espionar as chamadas pela rede. Dez anos depois, o código foi finalmente decifrado. Ainda não se sabe, porém, se será realmente possível grampear chamadas VoIP.

>>> Depois de dez anos, hackers quebram criptografia do Skype

O que impede que outras pessoas vejam os dados que trafegam na internet é a criptografia: embaralhar os dados de tal forma que apenas as partes envolvidas na conexão possam decifrá-los. E o Skype, para impedir que suas chamadas fossem “grampeadas” por outras pessoas na rede, inclui um sistema de criptografia. O problema é que os dois lados da conexão precisam conhecer a chave, e o Skype decidiu colocar o código dentro do próprio programa – o que é considerado um erro. Mesmo assim, hackers levaram uma década para conseguir extrair o código, possivelmente permitindo o grampo de chamadas VoIP.

O código completo usado pelo Skype está na web. Segundo o especialista que o publicou, o código havia vazado e, por isso, era justo que todos soubessem que a segurança do Skype havia sido quebrada. Se o fato continuasse sendo um conhecimento de poucos, eles poderiam tirar proveito disso enquanto usuários e empresas continuassem achando que estavam protegidos.

Nem tudo está perdido, é claro. O grampo de chamadas não está comprovado. Mesmo se ele for possível, é provável que apenas chamadas realizadas na mesma rede consigam ser grampeadas. Para quem usa o computador em casa e não tem uma rede sem fio insegura, isso significa que nada vai mudar. Na verdade, outros softwares de comunicação, como o MSN, nem oferecem semelhante segurança e alguns provedores de e-mail, menos ainda. Mesmo assim, o padrão de segurança em VoIP é mais elevado.

Por causa disso, há produtos no mercado que preenchem as lacunas deixadas por estas soluções. É o caso do Simp e do Off the Record Messaging. A coluna Segurança para o PC já falou isso anteriormente – veja programas para se comunicar com segurança via internet.

A recomendação é simples: usar o software apenas em redes seguras. Uma nova versão do Skype com o erro solucionado deve ser lançada em breve. O pesquisador Sean O’Neill, que publicou o código, disse que iria dar mais informações na conferência Chaos Computer Congress (27C3), em Berlim, na Alemanha.

>>> “Comando Cibernético” do exército norte-americano inclui “código” em logotipo
Entusiastas do mundo cibernético “decifraram” um código incluído no logotipo tipo do US Cyber Command (USCYBERCOM), uma divisão do exército dos Estados Unidos que lida com questões cibernéticas inaugurada em maio. O código,“9ec4c12949a4f31474f299058ce2b22a”, é uma sequência formada por um algoritmo chamado MD5 a partir da “missão” do US Cyber Command.

Código está no anel dourado no logotipo da organização.
US Cyber Command tem pouco mais de um mês de
existência. (Foto: Divulgação)Outros interessados tinham chegado a um código de barras do tipo QR que tinha o significado “Poder Cibernético”, mas esse significado é improvável. O MD5 é capaz de representar qualquer texto ou arquivo em apenas 32 caracteres, de números 0-9 e com letras de A até F. Por isso, o número de sequências é limitado e existem “conflitos”, que ocorrem quando dados distintos possuem a mesma sequência.

O US Cyber Command é uma divisão do exército que busca, segundo sua missão pública, coordenador e integrar as atividades militares no ciberespaço, defendendo as redes de computador do exército e realizando operações militares na internet, ao mesmo tempo em que “nega o mesmo aos adversários”.

Os detalhes da nova divisão são desconhecidos até para outros membros do exército, mas é possível que ela tenha sido criada como resposta às preocupações de “ciberguerra”. A capa da edição de julho da revista The Economist trata do assunto.

O chefe da segurança do presidente Lula, Raphael Mandarino, afirmou no ano passado que o Brasil se prepara para um cenário de ciberguerra, embora certos cenários sejam improváveis.

>>> Pesquisadores se “revoltam” contra Microsoft

A empresa de segurança francesa VUPEN, anteriormente conhecida como FrSIRT, disse que possui informações sobre duas falhas no Microsoft Office 2010, mas que não pretende repassar os detalhes técnicos para a Microsoft. Apenas os clientes da VUPEN é que receberão as informações, permitindo que eles se protejam. Enquanto isso, um grupo ou indivíduo que se chama “Microsoft-Spurned Researchers Collective” lançou na web todas as informações sobre uma falha no Windows.

A ideia de não informar as empresas sobre bugs já existe no mercado desde o início do ano passado.

A VUPEN tomou sua decisão ao entender que companhias de segurança não têm a obrigação de informarem as empresas de software pago sobre as brechas em seus produtos. Segundo dados da companhia, a Microsoft recebeu dela informações sobre 120 brechas em seus produtos no ano passado.

O nome do Microsoft-Spurned Researchers Collective é um trocadilho com o Microsoft Security Response Center (MSRC), responsável por atender aos pesquisadores de segurança. O objetivo deles é divulgar a informação de brechas para mostrar o suposto descaso da Microsoft com os pesquisadores de segurança, como o que acontece com Tavis Ormandy. Tudo que a Microsoft oferece hoje a quem informa a empresa sobre uma vulnerabilidade é uma menção em um boletim de segurança. No caso de Ormandy, a gigante ainda iniciou uma campanha contra o pesquisador e contra o Google, onde ele trabalha. O contato do pesquisador com a Microsoft, no entanto, havia ocorrido fora das suas atividades com a empresa.

O “grupo” de revoltados não divulgou o nome dos seus membros, sendo impossível determinar se é realmente um grupo verdadeiro ou se é apenas um indivíduo tentando evitar ter um problema com a mídia, como Tavis Ormandy teve.

A coluna Segurança para o PC de hoje fica por aqui. Volto na segunda-feira (12) com mais informações sobre segurança para o PC. Até lá, e um bom final de semana!

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

Por Altieres Rohr - Especial para o G1*
Assine nosso Feed RSS
Últimas Notícias Gerais - Clique Aqui
As últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda
Mauá Virtual
O Guia Virtual da Cidade

Todos os direitos reservados - 2024 - Desde 2003 à 7689 dias no ar.