Visite também: UnderLinux ·  VivaOLinux ·  Dicas-L ·  NoticiasLinux ·  SoftwareLivre.org ·  [mais] ·  Currículo ·  Efetividade

Não é mais teoria: já se conhece um caso de servidor OpenVPN comprometido via bug Heartbleed

Tags: seguranca

De uma tacada só, os atacantes usaram o Heartbleed para dar a volta tanto no sistema de autenticação de múltiplos fatores e no sistema de verificação que buscava garantir que os clientes da sua VPN pertenciam à empresa e estavam rodando determinados sistemas de segurança.

Embora só na quinta-feira tenha circulado amplamente a informação sobre a infame vulnerabilidade no OpenSSL também afetar o OpenVPN, o ataque bem-sucedido ao concentrador de VPNs de uma corporação de grande porte que foi divulgado ontem iniciou há quase 2 semanas, já no dia 8 – um dia depois da divulgação da existência do próprio bug Heartbleed, inicialmente associado a um risco contra servidores web (https).

Não foi divulgada qual a empresa afetada, só que ela é de grande porte e conta com meios avançados de detecção de ataques – mas eles não foram suficientes para evitar que este ataque em particular se consumasse. Seus logs indicam que apenas 17.000 tentativas de leitura de memória por meio do bug foram necessárias.

Ao contrário do que ocorre com servidores web, este ataque bem-sucedido a um servidor OpenVPN não tentou obter senhas ou outras informações pessoais dos usuários, mas sim ter acesso a tokens confirmando a autenticação bem-sucedida de sessões existentes – e aí os atacantes usaram esses tokens para sequestrar as conexões dos usuários legítimos, usando-as.

Como o primeiro caso conhecido ocorreu no dia 8, é possível que o seu procedimento de segurança exija que você faça revisão dos logs dos seus próprios servidores OpenVPN. Se for o caso, os responsáveis pela identificação da invasão acima sugerem que você pesquise por situações em que mais de um IP usou a mesma sessão VPN paralelamente – meras mudanças de IP ao longo da sessão são comum em casos legítimos, mas o uso simultâneo por 2 IPs é um forte indício de que havia algo estranho – como um sequestro de sessão – em andamento. Feliz Páscoa! (via arstechnica.com - “Heartbleed maliciously exploited to hack network with multifactor authentication | Ars Technica”)

Compartilhe: [Twitter] [Facebook] [Comentar]

Heartbleed: OpenVPN também (está|pode ser) comprometido pela falha

Tags: seguranca

Um pesquisador divulgou ter conseguido, usando a mesma falha Heartbleed anteriormente explorada em servidores web, extrair repetidamente a chave privada de um servidor OpenVPN, e até mesmo criar outro servidor que conseguia se passar pelo servidor original.

Existem vários produtos baseados no OpenVPN, e alguns deles estão em mais risco do que outros, porque incluem até mesmo a sua própria cópia dos fontes do OpenSSL, o software no qual o bug Heartbleed reside, e assim permanecem com o bug mesmo após upgrades do próprio OpenSSL.

Nos demais, o risco está associado a não ter havido o upgrade do OpenSSL que, agora sabemos na prática, precisa ser feito mesmo se não há um servidor web usando-o.

Como o OpenVPN é popular até mesmo em dispositivos embarcados que ficam esquecidos pelos cantos e não oferecem acesso web (https) em suas interfaces expostas, como roteadores da classe SOHO, a questão das chaves privadas poderem ser obtidas por meio dele me parece algo que vai ter que gerar nova onda de preocupação entre os profissionais do ramo, e até em quem não tem um servidor de VPN mas usa clientes VPN para acessar servidores que possam estar comprometidos. (via www.macobserver.com - “Heartbleed Update: OpenVPN isn't Safe, Either - The Mac Observer”)

Compartilhe: [Twitter] [Facebook] [Comentar]

Download Ubuntu 14.04

Tags: instalar, distribuicoes

Enviado por Edivaldo Brito (edivaldobezerraΘgmail·com):

“Saiu o tão aguardado Ubuntu 14.04. Se você estava na expectiva, é hora de baixar o Ubuntu em sua nova versão.

Seguindo o cronograma de lançamento do Ubuntu 14.04 LTS, a versão final do Ubuntu 14.04 já está disponível para download. Se você quiser instalar o sistema, baixe a imagem ISO ou comece a atualizar seus sistemas.” [referência: edivaldobrito.com.br]

Compartilhe: [Twitter] [Facebook] [Comentar]

Configurando joystick do XBox 360 (e compatíveis) no Ubuntu 14.04

Tags: drivers, instalar, distribuicoes

Enviado por Rael Gugelmin Cunha (rael·gcΘgmail·com):

“O Ubuntu 14.04 vem com a última versão do xboxdrv, um driver que permite que joysticks do Xbox360 e compatíveis (como alguns da Logitech) funcionem no sistema.

Porém, o pacote incluído no sistema (xboxdrv) apenas instala o driver, sem iniciá-lo automaticamente, dependendo então do usuário criar configurações adicionais (ou rodar manualmente o driver pra cada novo joystick adicionado).

Em vista disso, criei um pacote que além de instalar o xboxdrv, cria um daemon com início automático e adiciona um item "Joysticks" no System Settings do Ubuntu.

Confira aqui como instalar.” [referência: raelcunha.com]

Compartilhe: [Twitter] [Facebook] [Comentar]

Heartbleed afeta cerca de 50 milhões de dispositivos Android

Tags: pos-pc

Se você usa um aparelho com a versão 4.1.1 (Jelly Bean) do Android, fique atento às próximas atualizações que o seu fabricante deve disponibilizar rapidamente!

Via idgnow.com.br:

Pelo menos 50 milhões de smartphones Android podem ser explorados por conta de uma versão do bug Heartbleed - 4 milhões deles só nos Estados Unidos e os outros no restante do mundo, de acordo com o jornal inglês The Guardian.

A estimativa do número de dispositivos vulneráveis ​​Android no mundo foi feita à pedido do The Guardian pela rede de anúncios Chitika para o tráfego de rede dos EUA, no período de 7 a 13 de abril.

(...) Os dispositivos podem ser explorados pelo hack chamado de "reverse Heartbleed", que é quando um servidor malicioso tem a capacidade de explorar a falha OpenSSL para roubar dados dos browsers dos smartphones, como senhas e logins. E sim, o problema atinge apenas usuários Android, de acordo com a reportagem do The Guardian, porque tanto a Apple quanto a Microsoft não utilizam a versão afetada do OpenSSL em seus respectivos dispositivos.

Compartilhe: [Twitter] [Facebook] [Comentar]

Sorteio de uma camisa entre os alunos do Curso On Line E-mail com Zimbra - Turma Confirmada

Tags: patrocinador, evento, curso

Enviado por Bruna Goualrt (treinamentoΘlinuxsolutions·com·br):

“Entre os dias 22/04/2014 e 28/04/2014, das 19h às 21h, vai acontecer o curso de E-mail com Zimbra on line.

Os participantes deste curso irão concorrer ao sorteio de uma camisa da Escola Linux!

Não perca esta oportunidade e inscreva-se logo em nossa página: [escolalinux.com.br/…]

Maiores informações acesse: [escolalinux.com.br/…]” [referência: ]

Compartilhe: [Twitter] [Facebook] [Comentar]

Montando o ambiente para desenvolvimento de aplicações Qt Embedded para a Beaglebone Black

Tags: desenvolvedores

Enviado por Diego Sueiro (diego·suiroΘembarcados·com·br):

“Veremos como gerar e configurar as ferramentas necessárias para o desenvolvimento de aplicações Qt Embedded que serão executadas no nosso target, a Beaglebone Black. Basicamente precisaremos de uma toolchain contendo os utilitários e bibliotecas para podermos “cross-compilar” as aplicações desenvolvidas através da IDE Qt Creator.” [referência: embarcados.com.br]
Compartilhe: [Twitter] [Facebook] [Comentar]

Adicione um menu global Unity para aplicações Java Swing com JAyatana

Tags: instalar, distribuicoes, pos-pc, desenvolvedores

Enviado por Edivaldo Brito (edivaldobezerraΘgmail·com):

“Se você usar aplicações Java Swing no Ubuntu, deve ter percebido que elas não possuem um menu global como os programas nativos do sistema. Para resolver essa pequena diferença de interface, você deve instalar o JAyatana.

Java Swing Ayatana é um projeto que traz Ubuntu menus global (AppMenu) e uma função parecida com o Dash, para aplicações Java Swing. Usando isso, você terá um Unity AppMenu e acesso a pesquisa de comandos para aplicações como: NetBeans IDE, IntelliJ IDEA, Android Studio, jDownloader e assim por diante.” [referência: edivaldobrito.com.br]

Compartilhe: [Twitter] [Facebook] [Comentar]

II Encontro de Software Livre do Nordeste

Tags: office, distribuicoes, evento, desenvolvedores, comunidade

Enviado por Klaibson Ribeiro (klaibsonΘgmail·com):

“O CONSOLINE é um evento gratuito constituído junto com a comunidade Pernambucana para divulgar, debater e fomentar o Software Livre no estado.

Inovação Tecnológica, empreendedorismo com Software Livre e colaboração mundial estarão presentes durante a 15º Edição do Congresso de Software Livre no Nordeste (Consoline) que irá acontecer na Faculdade dos Guararapes. Palestrantes renomados como: Rafael Peregrino, da Linux Magazine, Klaibson Ribeiro, do LibreOffice, Marcel Ribeiro, do projeto Fedora, Yelken Ferreira, do Firefox, entre outros ícones nacionais do Software Livre já estão confirmados. Panfleto-FG A programação inicia às 8h30, com o FliSol, Festival Latino-Americano de Instalação e Configuração de Software Livre, e a partir das 13h, começa a programação do Consoline com minicursos, oficinas e palestras com diversos temas como Empreendedorismo, LPI, Python, PHP, Linux, Hackers e Segurança, Java, Arduino, Computação em Nuvens, entre outros temas interessantes.

O CONSOLINE vem preencher uma lacuna de eventos de Software Livre na região Nordeste, se consolidando como um dos maiores eventos do segmento no país. As inscrições podem ser feitas online pelo sitewww.softwarelivrene.org onde também está disponível a programação completa, com a relação de todos os palestrantes.

Não perca esta oportunidade, participe do Consoline 2014, você é o nosso convidado de honra!

Serviço: O quê: Congresso de Software Livre do NE e Flisol 2014 Quando: 26/04/2014 Horário: 8h30 às 17h30 Local: Faculdade dos Guararapes Inscrições: www.softwarelivrene.org Informações: (81) 3223-8348” [referência: fuctura.com.br]

Compartilhe: [Twitter] [Facebook] [Comentar]

Como aumentar a segurança e privacidade dos dados em dispositivos Android

Tags: instalar, pos-pc

Enviado por Fernando Mariano (blogΘmariano·eng·br):

“O Android e a ROM CyanogenMod possui algumas funcionalidades nativas do sistema operacional que aumentam a privacidade e a segurança dos dados armazenados no smartphone, ou seja, não é preciso instalar nenhum aplicativo do Google Play para tornar seu celular mais seguro.

O artigo mostra algumas features que lhe protegerão contra roubo, perda, furto e acesso às informações pessoais por aplicativos maliciosos. Claro que mesmo aplicando as dicas do artigo você não estará totalmente seguro, mas com certeza mais preparado para imprevistos.” [referência: mariano.eng.br]

Compartilhe: [Twitter] [Facebook] [Comentar]

Como consertar um sistema Ubuntu que não inicializa por causa de atualizações quebradas

Tags: distribuicoes, falha

Enviado por Edivaldo Brito (edivaldobezerraΘgmail·com):

“Nada pior do que um sistema que inicia por causa de atualizações quebradas. Para resolver o problema, veja aqui como usar um Ubuntu Live CD e alguns comandos.

Se o seu sistema Ubuntu não inicializa por causa de algumas atualizações quebrados e o bug foi corrigido nos repositórios, você pode usar um Ubuntu Live CD e chroot para atualizar o sistema e corrigi-lo.” [referência: edivaldobrito.com.br]

Compartilhe: [Twitter] [Facebook] [Comentar]

Planos para o Ubuntu 14.10 incluem substituir apps e convergir desktop com tablets e celulares

Tags: distribuicoes

Convergência é a palavra de ordem na Canonical há um bom tempo e, com o lançamento do Ubuntu 14.04 previsto para os próximos dias, já chegou o momento de começarem a falar do que virá na versão 14.10, em outubro.

Liberta das demandas impostas à versão 14.04 porque esta seria LTS (ou seja, com suporte de longo prazo), a versão 14.10 fará algumas mudanças mais profundas debaixo do capô, sempre com o tema da convergência entre o desktop e os dispositivos móveis.

Entre as tarefas inicialmente elencadas, estão a obsolescência do gnome-session, a transferência do controle sobre processos como a gestão do screensaver e do PolicyKit, e a substituição de apps centrais do desktop (como a calculadora e o gerenciador de arquivos) oriudos do mundo GNOME por sucessores desenvolvidos pela Canonical pensando especificamente na convergência de plataformas. (via www.phoronix.com - “[Phoronix] Ubuntu 14.10 Convergence To Focus On Replacing Core Apps”)

Compartilhe: [Twitter] [Facebook] [Comentar]

Auditoria inicial do TrueCrypt não encontra backdoors nem código malicioso

Tags: misterio, criptografia

Lembra quando, no ano passado, surgiram dúvidas profundas sobre o TrueCrypt, popular sistema de criptografia de volumes que é grátis e não é propriamente open source (embora seu código-fonte esteja acessível), e que ninguém sabe quem o criou e mantém?

Pois então: uma auditoria foi iniciada, com base na versão para Windows (que é distribuída como executável e, a princípio, havia dúvida sobre se correspondia diretamente ao código-fonte publicamente disponível), e agora saiu seu relatório, concluindo que não há nenhuma falha intencional nos sistemas verificados, embora haja um ou outro bug que parecem ser decorrentes de erros, e não são profundamente sérios.

Uma segunda auditoria vai começar agora, testando a criptografia em si. Tomara que os autores, sejam eles quem forem, estejam de olho! (via arstechnica.com - “TrueCrypt audit finds “no evidence of backdoors” or malicious code | Ars Technica”)

Compartilhe: [Twitter] [Facebook] [Comentar]

OpenBSD "adota" o código do OpenSSL, na forma de um fork – e já começou a limpá-lo

Tags: comunidade

O OpenBSD, que já mantém o popular OpenSSH,1 e recentemente passou por problemas financeiros, acaba de iniciar uma nova empreitada que pode melhorar a segurança da Internet: criaram um fork próprio do OpenSSL, para reduzir a chance de que mais algum bug do porte do recente Heartbleed surja no mesmo projeto.

O OpenSSL não é conhecido como grande exemplo de qualidade de código, e os desenvolvedores do fork no âmbito do OpenBSD já começaram com mão pesada, removendo fontes de entropia questionáveis, removendo arquivos de suporte a sistemas operacionais clássicos (MacOS pré OS X, VMS, Netware, etc...), e principalmente removendo wrappers do OpenSSL para uma série de funções do sistema operacional – um desses wrappers, se não estivesse lá, tornaria impossível o bug Heartbleed deixar de ser percebido. Boa sorte, e sucesso! (via undeadly.org - “OpenBSD has started a massive strip-down and cleanup of OpenSSL”)

 
  1.   iniciado em 1999, após o cliente SSH original fechar seu código - quem lembra?

Compartilhe: [Twitter] [Facebook] [Comentar]

Storage open source: NexentaStor 4.0 Community Edition

Tags: instalar, comunidade

Enviado por João Fernando Costa Júnior (joaofernandoΘespiritolivre·org):

“Esta versão do NexentaStor, que já está disponível para downloads e avaliações, oferece desempenho, confiabilidade e funcionalidade, além de melhorias significativas para a premiada solução de SDS, tendo passado por meios de engenharia e testes altamente rigorosos. NexentaStor continuará a estar disponível em duas edições: Community Edition (suportado pela comunidade de software livre, cheio de recursos, para configurações de até 18TB), e Enterprise Edition (licenciada pelo tamanho do pool de armazenamento).

NexentaStor 4.0 é Citrix e VMware Ready e certificado para funcionar em uma variedade de configurações de hardware de referência de tecnologia, e de canais parceiros estratégicos. Com base na sua posição de liderança de alto crescimento, no mercado de armazenamento definido por software emergente, a plataforma Nexenta cumpre a sua promessa de fornecer software com Smarts – níveis cada vez mais elevados de segurança, gerenciabilidade, disponibilidade, confiabilidade, menor TCO e escalabilidade.

Além disso, o sistema NexentaStor 4.0 também oferece: maior simplicidade, escala para mais petabytes relacionadas à capacidades do sistema, manuseio Seamless de dispositivos (de forma intermitente), assistentes guiados para instalação e configuração do sistema.” [referência: revista.espiritolivre.org]

Compartilhe: [Twitter] [Facebook] [Comentar]