DATA DA PUBLICAÇÃO 03/05/2010 | Informática
Teste mostra que urna eletrônica da Índia poderia ser controlada via celular
Um estudo realizado por um grupo internacional de especialistas em informática e votação eletrônica consideraram as urnas eletrônicas indianas inseguras. Os especialistas demonstraram como é possível alterar os resultados de uma eleição e até como instalar um componente que permitiria o controle da máquina por meio de um celular. A solução proposta é a existência de um voto impresso que deve ser confirmado pelo eleitor.
>>> Pesquisadores dizem que urnas eletrônicas indianas são inseguras
Diversos pesquisadores da Holanda, da Índia e dos Estados Unidos trabalharam juntos em um projeto de pesquisa cuja conclusão foi a de que as urnas eletrônicas usadas na Índia são vulneráveis a adulterações. Segundo os especialistas, alguém com a intenção de mudar os resultados das eleições só precisaria de pouco tempo para instalar um componente na urna que seria difícil de detectar e poderia mudar os votos dos eleitores.
O estudo foi organizado e liderado por Hari Prasad, um indiano que foi desafiado a mostrar que as urnas poderiam ser alteradas. Mas a comissão eleitoral indiana decidiu não permitir o teste e não cedeu a Prasad uma urna para que pudesse conduzir sua pesquisa. Os pesquisadores afirmaram que obtiveram a urna por meio de uma fonte anônima, já que o governo indiano não cede o equipamento para testes independentes.
O componente criado pelos pesquisadores permite que um criminoso controle como a urna contará os votos remotamente usando um telefone celular. Prasad contou com o auxílio de Alex Halderman, professor da Universidade de Michigan com experiência em urnas eletrônicas e de Rop Gonggrijp, um ativista que foi responsável por urnas eletrônicas serem banidas nos Países Baixos.
Os pesquisadores alegam que sistemas de armazenamento eletrônico direto, sem um papel para verificação do eleitor e para viabilizar uma recontagem dos votos. Essa é a solução proposta pelos especialistas, cuja pesquisa incluiu diversas medidas de proteção possíveis que são “ineficazes”.
No Brasil, o TSE também não cede urnas para testes independentes. O máximo que se fez até agora foi permitir que especialistas analisassem o equipamento por apenas quatro dias. Já a impressão do voto será obrigatória no Brasil a partir das eleições de 2014.
>>> Site cataloga websites com falhas de segurança
A lista de sites na internet que catalogam vulnerabilidades nas páginas da rede ganhou mais um nome recentemente. O VS-DB ou “Vulnerable sites database” foi criado por uma empresa de segurança e lista sites que tenham qualquer brecha. É diferente do XSSed, que apenas lista falhas de XSS, e do Zone-H, que não dá informações sobre a falha, mas mostra que o site foi atacado com sucesso.
O site aceita colaborações de outros pesquisadores. Até o momento, apenas uma página brasileira, de uma prefeitura, está na lista. Apenas o nome do site e o tipo da falha são listados. Detalhes sobre como tirar proveito do problema não são postados, diferentemente do XSSed, no qual cada postagem é acompanhada de um exemplo para explorar a brecha.
O site afirma seguir as regras de “responsible discloure”, ou “revelação responsável”, na qual o responsável pelo software (ou página web, no caso) é avisado e pode corrigir o problema antes que detalhes técnicos completos sejam publicados.
O site de segurança Internet Storm Center (ISC), do Instituto SANS, responsável por uma série de cursos na área de segurança da informação, opina que o site é um tipo de “hall da infâmia”.
>>> McAfee quer compensar usuários por erro que danificou o Windows
A fabricante de antivírus McAfee, que na semana passada teve problemas sérios em uma atualização do seu antivírus, anunciou planos para compensar os clientes que tiveram seus PCs paralisados pelo defeito.
O problema afetou principalmente empresas. Segundo a McAfee, o impacto em usuários domésticos foi mínimo. E o programa de compensação visa justamente esses usuários. Usuários que provarem gastos com reparos do computador serão reembolsados por “gastos razoáveis”.
Aqueles cujo computador ficou inoperante por causa da atualização podem também solicitar uma renovação gratuita da assinatura do antivírus por dois anos.
>>> “Falha de design” do PDF é explorada em ataques
O problema com arquivos PDF divulgado pelo pesquisador Didier Stevens e que, por não explorar nenhuma brecha, limitando-se a usar comandos disponíveis para o próprio PDF, começou a ser usado por criminosos. O arquivo malicioso chega por um e-mail informando que o documento contém instruções para que o internauta atualize os dados da sua conta de e-mail.
A equipe de segurança X-Force da IBM Internet Security Systems (ISS) realizou a análise do PDF. Segundo os especialistas, ao abrir o arquivo, uma caixa de confirmação é exibida. Se o usuário aceitar, o documento executará uma cadeia de comandos que, ao final, resultará no download de uma praga digital.
O ataque não depende de nenhuma brecha no Adobe Reader ou em qualquer outro leitor de PDFs. O comando usado pelos criminosos, chamado de “/launch”, faz parte do próprio formato. É possível aplicar uma “correção” alterando uma configuração no Adobe Reader ou simplesmente não confirmando a caixa de diálogo que aparecerá após a abertura do documento.
Ainda de acordo com a X-Force, esse não é o único ataque tirando proveito desse “recurso” do PDF. A empresa recomenda que a mudança na configuração seja realizada. Para isso, é preciso desmarcar a opção “Permitir abertura de anexos de arquivo não-PDF com aplicativos externos” no menu Editar, Preferências, “Gerenciador de Confiança”. Com essa opção desativada, o Reader não mais tenta abrir arquivos executáveis externos.
Como o uso desse recurso legitimamente não é comum, a grande maioria dos documentos não deve apresentar qualquer problema após a modificação dessa configuração.
>>> Symantec compra a PGP Corporation
Uma nota breve para finalizar a coluna: a gigante Symantec afirmou que vai comprar a PGP Corporation, responsável pelo desenvolvimento da suíte de aplicativos de criptografia com o mesmo nome. A decisão adiciona mais um capítulo no conturbado histórico da tecnologia, que já pertenceu até mesmo à principal concorrente da Symantec, McAfee, que na época se chamava de Network Associates (NAI) e rendeu uma investigação do governo nos Estados Unidos.
O PGP já se integra ao antivírus da Symantec e a empresa pretende fortalecer suas tecnologias de criptografia e recuperação de dados com a aquisição do PGP.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
>>> Pesquisadores dizem que urnas eletrônicas indianas são inseguras
Diversos pesquisadores da Holanda, da Índia e dos Estados Unidos trabalharam juntos em um projeto de pesquisa cuja conclusão foi a de que as urnas eletrônicas usadas na Índia são vulneráveis a adulterações. Segundo os especialistas, alguém com a intenção de mudar os resultados das eleições só precisaria de pouco tempo para instalar um componente na urna que seria difícil de detectar e poderia mudar os votos dos eleitores.
O estudo foi organizado e liderado por Hari Prasad, um indiano que foi desafiado a mostrar que as urnas poderiam ser alteradas. Mas a comissão eleitoral indiana decidiu não permitir o teste e não cedeu a Prasad uma urna para que pudesse conduzir sua pesquisa. Os pesquisadores afirmaram que obtiveram a urna por meio de uma fonte anônima, já que o governo indiano não cede o equipamento para testes independentes.
O componente criado pelos pesquisadores permite que um criminoso controle como a urna contará os votos remotamente usando um telefone celular. Prasad contou com o auxílio de Alex Halderman, professor da Universidade de Michigan com experiência em urnas eletrônicas e de Rop Gonggrijp, um ativista que foi responsável por urnas eletrônicas serem banidas nos Países Baixos.
Os pesquisadores alegam que sistemas de armazenamento eletrônico direto, sem um papel para verificação do eleitor e para viabilizar uma recontagem dos votos. Essa é a solução proposta pelos especialistas, cuja pesquisa incluiu diversas medidas de proteção possíveis que são “ineficazes”.
No Brasil, o TSE também não cede urnas para testes independentes. O máximo que se fez até agora foi permitir que especialistas analisassem o equipamento por apenas quatro dias. Já a impressão do voto será obrigatória no Brasil a partir das eleições de 2014.
>>> Site cataloga websites com falhas de segurança
A lista de sites na internet que catalogam vulnerabilidades nas páginas da rede ganhou mais um nome recentemente. O VS-DB ou “Vulnerable sites database” foi criado por uma empresa de segurança e lista sites que tenham qualquer brecha. É diferente do XSSed, que apenas lista falhas de XSS, e do Zone-H, que não dá informações sobre a falha, mas mostra que o site foi atacado com sucesso.
O site aceita colaborações de outros pesquisadores. Até o momento, apenas uma página brasileira, de uma prefeitura, está na lista. Apenas o nome do site e o tipo da falha são listados. Detalhes sobre como tirar proveito do problema não são postados, diferentemente do XSSed, no qual cada postagem é acompanhada de um exemplo para explorar a brecha.
O site afirma seguir as regras de “responsible discloure”, ou “revelação responsável”, na qual o responsável pelo software (ou página web, no caso) é avisado e pode corrigir o problema antes que detalhes técnicos completos sejam publicados.
O site de segurança Internet Storm Center (ISC), do Instituto SANS, responsável por uma série de cursos na área de segurança da informação, opina que o site é um tipo de “hall da infâmia”.
>>> McAfee quer compensar usuários por erro que danificou o Windows
A fabricante de antivírus McAfee, que na semana passada teve problemas sérios em uma atualização do seu antivírus, anunciou planos para compensar os clientes que tiveram seus PCs paralisados pelo defeito.
O problema afetou principalmente empresas. Segundo a McAfee, o impacto em usuários domésticos foi mínimo. E o programa de compensação visa justamente esses usuários. Usuários que provarem gastos com reparos do computador serão reembolsados por “gastos razoáveis”.
Aqueles cujo computador ficou inoperante por causa da atualização podem também solicitar uma renovação gratuita da assinatura do antivírus por dois anos.
>>> “Falha de design” do PDF é explorada em ataques
O problema com arquivos PDF divulgado pelo pesquisador Didier Stevens e que, por não explorar nenhuma brecha, limitando-se a usar comandos disponíveis para o próprio PDF, começou a ser usado por criminosos. O arquivo malicioso chega por um e-mail informando que o documento contém instruções para que o internauta atualize os dados da sua conta de e-mail.
A equipe de segurança X-Force da IBM Internet Security Systems (ISS) realizou a análise do PDF. Segundo os especialistas, ao abrir o arquivo, uma caixa de confirmação é exibida. Se o usuário aceitar, o documento executará uma cadeia de comandos que, ao final, resultará no download de uma praga digital.
O ataque não depende de nenhuma brecha no Adobe Reader ou em qualquer outro leitor de PDFs. O comando usado pelos criminosos, chamado de “/launch”, faz parte do próprio formato. É possível aplicar uma “correção” alterando uma configuração no Adobe Reader ou simplesmente não confirmando a caixa de diálogo que aparecerá após a abertura do documento.
Ainda de acordo com a X-Force, esse não é o único ataque tirando proveito desse “recurso” do PDF. A empresa recomenda que a mudança na configuração seja realizada. Para isso, é preciso desmarcar a opção “Permitir abertura de anexos de arquivo não-PDF com aplicativos externos” no menu Editar, Preferências, “Gerenciador de Confiança”. Com essa opção desativada, o Reader não mais tenta abrir arquivos executáveis externos.
Como o uso desse recurso legitimamente não é comum, a grande maioria dos documentos não deve apresentar qualquer problema após a modificação dessa configuração.
>>> Symantec compra a PGP Corporation
Uma nota breve para finalizar a coluna: a gigante Symantec afirmou que vai comprar a PGP Corporation, responsável pelo desenvolvimento da suíte de aplicativos de criptografia com o mesmo nome. A decisão adiciona mais um capítulo no conturbado histórico da tecnologia, que já pertenceu até mesmo à principal concorrente da Symantec, McAfee, que na época se chamava de Network Associates (NAI) e rendeu uma investigação do governo nos Estados Unidos.
O PGP já se integra ao antivírus da Symantec e a empresa pretende fortalecer suas tecnologias de criptografia e recuperação de dados com a aquisição do PGP.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda