Vários noticiários veicularam informações a respeito da invasão do e-mail de Sarah Palin, candidata republicana à vice-presidência dos Estados Unidos ao lado de John McCain. A conta de e-mail de Palin, que usava o serviço do Yahoo, foi comprometida na última quarta (17), conforme noticiou a agência AFP. [Leia o texto no G1]

Os criminosos conseguiram responder corretamente “pergunta de segurança” usada para resetar a senha. A resposta para a pergunta — “onde você encontrou seu esposo(a)?” — pôde ser encontrada pelo Google, visto que Palin é uma figura pública.

O ataque demonstra a vulnerabilidade destas “perguntas” de recuperação de senha. Embora internautas comuns não sejam tão populares quanto Palin a ponto de a resposta estar disponível no Google, redes sociais como o Orkut dão ao invasor a lista de amigos da pessoa. Uma vez contactados, estes amigos e conhecidos podem disponibilizar a informação necessária para descobrir a resposta secreta e permitir o acesso não-autorizado ao e-mail ou outros serviços da internet.

Pessoalmente, não utilizo este recurso há vários anos. Sempre preencho o campo da resposta — que é muitas vezes obrigatório — com alguma frase realmente longa, inventada na hora. Digito-a rapidamente para que a mesma acabe com erros gramaticais. Ou seja, eu mesmo não posso recuperar ou resetar a senha por meio da pergunta de segurança.

Para não esquecer as senhas, anoto-as em papel, como a Linha Defensiva recomenda desde 2005.

A Linha Defensiva não vai cobrir o caso da invasão do e-mail de Palin. Os noticiários não-especializados tem entrado no tema tão bem quanto os mais técnicos. Ainda assim, esta lição a respeito das perguntas secretas é importante e precisa ser publicada aqui no blog.

Documentos que propõem a padronização de um processo capaz de rastrear qualquer comunicação na rede estão sendo considerados pela União Internacional de Telecomunicações (UIT), uma agência da ONU que visa a criação de padrões internacionais sobre Internet, telefone e outros meios de telecomunicação. A informação foi apurada pelo repórter Declan McCullagh, do site CNET News.com, e publicada na sexta-feira (12).

A proposta tem origem chinesa e está sendo discutida na UIT pelo grupo do Q6/17. Informações-chave do projeto, que segundo a ITU visa “apontar requerimentos para o gerenciamento global de identidade”, não foram reveladas e as reuniões, agendadas para esta semana, não permitem a participação de membros do público geral.

McCullagh obteve documentos para uso exclusivo da UIT que propõem a criação de uma ferramenta capaz de rastrear qualquer comunicação da Internet. O processo está sendo chamado de “IP Traceback”.

O combate ao spam, botnets e cibercrime é a principal justificativa da proposta. Em um dos documentos obtidos pelo repórter da CNET, no entanto, a repressão de críticos de governos totalitários¹ é citada como um “exemplo de uso”: com o rastreamento padronizado globalmente, um opositor ao governo não teria proteção caso usasse um servidor em outro país para hospedar suas opiniões, como é atualmente o caso.

A China é notável pela sua perseguição a dissidentes políticos e pela censura de websites que criticam o governo ou apontam problemas no país.

A reportagem de McCullagh é longa e conta com opiniões de vários especialistas na área. O consenso parece ser que qualquer projeto deste gênero será capaz apenas de rastrear usuários leigos, enquanto os criminosos continuarão sabendo como ficar longe das autoridades. Leia o texto, em inglês, na íntegra »

Vale lembrar: a Constituição Federal brasileira de 1988 veda o anonimato. Esta é uma das várias leis que poucos conhecem e a maioria ignora ou pensa não existir; ao contrário, muitos acreditam ser lícito o uso de uma identidade falsa para postar qualquer reclamação ou opinião na rede. É válida esta restrição? Embora certamente incentive alguns abusos, é graças ao anonimato que certas informações e opiniões relevantes são colocadas na rede.

Toda pessoa tem direito à liberdade de opinião e expressão; este direito inclui a liberdade de, sem interferência, ter opiniões e de procurar, receber e transmitir informações e idéias por quaisquer meios e independentemente de fronteiras.

–Artigo XIX, Declaração Universal dos Direitos Humanos, ONU.

[ atualizado 22/09 @ 3h59 ] — Quando um pesquisador de segurança ou qualquer internauta quer ajudar a rede a ficar mais segura, é comum o envio de e-mails a provedores avisando-os a respeito de sites maliciosos hospedados em seus servidores. Isto se chama “abuse report” ou “denúncia de abuso”. A Linha Defensiva faz isto por meio do grupo ARIS-LD.

Este post trata de duas empresas que sempre deixaram os denunciantes frustrados por nunca fazerem nada a respeito das denúncias: a registradora de domínios e hospedagem ESTDomains, sediada na Estônia¹ e o provedor de hospedagem dedicada Atrivo, também conhecido como Intercage (após uma mudança de nome), ambos sediados nos Estados Unidos.

A principal fonte de conteúdo malicioso na rede da Atrivo é a própria ESTDomains — a registradora e prestadora de serviços de hospedagem é o maior cliente da Atrivo. Há outras empresas de hospedagem que alugam servidores na Atrivo, incluindo algumas legítimas, porém o conteúdo dos sites presentes na rede das duas companhias é predominantemente malicioso ou de qualidade duvidosa.

Isto não impediu que as duas tentassem se passar por empresas sérias, comprometidas com o bem-estar da rede, proibindo em seus “termos de uso” qualquer prática de spam ou disseminação de vírus. No entanto, derrubar um site malicioso hospedado na Atrivo, seja pela revenda da ESTHost ou diretamente, ou ainda um domínio malicioso registrado pela ESTDomains, era uma tarefa tão impossível quanto ganhar de uma máquina caça-níquel.

Infelizmente para a Atrivo, o repórter Brian Krebs do Washington Post resolveu publicar a respeito das práticas criminais da empresa. Ler mais »

Ritual protege eletrônicos contra vírus no Japão
09/09/2008 — Por Altieres Rohr

Japoneses participam de rituais em templo perto de Akihabara para proteger seus eletrônicos contra ataques virtuais.

Morre jornalista Ed Foster; família pede doações à EFF em vez de flores
30/07/2008 — Por Altieres Rohr

Jornalista que dava voz aos leitores e publicava a respeito de serviços, produtos e atendimentos de má qualidade morre de ataque cardíaco aos 59 anos. Família pede doações à EFF.

Dicas para melhorar a segurança do WordPress
28/07/2008 — Por Altieres Rohr

Algumas dicas simples (e outras nem tanto) para deixar o WordPress mais seguro contra ataques e conter possíveis invasões.

Japoneses terão “limite” diário de 30GB de upload
06/07/2008 — Por Altieres Rohr

Provedor nipônico anuncia que, a partir de agosto, uploads serão limitados a 30GB diariamente — 900GB por mês.

Impressora foi acusada de baixar filme do Indiana Jones
06/06/2008 — Por Altieres Rohr

Estudo mostra que métodos empregados na identificação de participantes de redes P2P são imprecisos.