Se o seu computador roda o shell Bash e não foi atualizado nos últimos dias, ele está vulnerável ao Shellshock, uma falha grave – e praticamente todos os computadores desktop e servidor com Linux e com OS X, além de aparelhos como

Elementos básicos da segurança digital não são o local em que esperamos ter fortes emoções. Pelo contrário: o tédio de versões que se sucedem conforme programado, testadas e auditadas de acordo com as especificações, trocando o virtuosismo por código facilmente legível e bem documentado, é bem mais preferível.(…) leia mais

Via idgnow.com.br: Agências legais de diversos países, entre elas o FBI e a Europol, anunciaram na segunda-feira (2/6) que trabalham com fornecedores de soluções de segurança para destruir a botnet Gameover Zeus, que pode ter afetado entre 500 mil e 1 milhão de computadores.(…) leia mais

O projeto OpenSSL, no qual recentemente foi descoberta a largamente explorada falha Heartbleed, acaba de divulgar mais um conjunto de vulnerabilidades. Desta vez, as falhas podem permitir interceptação de comunicações por um intermediário (MITM), além do potencial de permitir execução de código injetado por um atacante.(…) leia mais

O popular sistema de criptografia Truecrypt, disponível para várias plataformas, é uma curiosidade: seus autores são desconhecidos, e tem sido frequentes os questionamentos sobre a segurança de usá-lo.(…) leia mais

A Trend Micro fez um scan, 2 semanas atrás, dos sites que ocupam as primeiras 1.000.000 posições do índice do Alexa (hoje uma empresa da Amazon), separou-os por domínio, e concluiu que 30% dos que usavam SSL estavam com o Heartbleed – na ocasião, o Brasil estava um pouco acima de média: aqui o índice era de 33%.(…) leia mais

Nova lei do software livre: ao fazer fork de um projeto cujo nome tem o prefixo Open, deve-se adotar o prefixo Libre. Ao menos é o que alguém com tendência à generalização poderia inferir se a amostra de forks fosse composta apenas pelo do OpenOffice e do OpenSSL.(…) leia mais

De uma tacada só, os atacantes usaram o Heartbleed para dar a volta tanto no sistema de autenticação de múltiplos fatores e no sistema de verificação que buscava garantir que os clientes da sua VPN pertenciam à empresa e estavam

Um pesquisador divulgou ter conseguido, usando a mesma falha Heartbleed anteriormente explorada em servidores web, extrair repetidamente a chave privada de um servidor OpenVPN, e até mesmo criar outro servidor que conseguia se passar pelo servidor original.(…) leia mais

Via tecnologia.terra.com.br: O Heartbleed teve seu ataque confirmado pelo governo do Canadá nesta segunda-feira. Segundo a Receita Federal do país, a falha permitiu aos hackers a deleção de 900 números de contribuintes.(…) leia mais

Eu sou 100% a favor de bloquear a execução de plugins de navegador (como o Java e o Flash) por default e só liberá-los para execução com autorização expressa do usuário, mas ainda assim estranhei um pouco a decisão de fazer esse bloqueio vir acompanhado não de um simples aviso, e sim de um alerta de segurança em cor vermelha(…) leia mais

Via idgnow.uol.com.br: Falta de atualizações - algumas vezes até nenhuma - está deixando um grande número de sites do WordPress abertos a exploração em campanhas cibercriminosas, de acordo com uma análise da empresa de consultoria WP WhiteSecurity e EnableSecurity, do Reino Unido. O estudo com 42.(…) leia mais

O WordPress lançou sua versão 3.6.1, desativando recursos que permitiam a usuários remotos executar código injetado por eles, redirecionar usuários para outros sites ou postar como se fossem outro usuário registrado. Os desenvolvedores aproveitaram para bloquear por default os uploads de arquivos .exe e .(…) leia mais

A prevalência das senhas como meio único de comprovação de identidade em serviços on-line ou softwares locais mal começa a estremecer, mas acredito que nossa geração ainda verá sua extinção, ou ao menos a sua decadência.(…) leia mais

A Canonical avisa que os fóruns do Ubuntu, que haviam saído do ar1 após um comprometimento de segurança há pouco mais de 1 semana, estão de volta ao ar. A causa foi uma composição envolvendo o comprometimento de uma conta individual e as configurações inseguras do sistema de fórum vBulletin, usado no site.(…) leia mais