Copy
Problems, Houston? Veja este email no seu navegador
The_Hack_logo
Look who it is!
Já ouviu falar de MicroNET? Pois bem. Em 24 de setembro de 1979, aquele que seria o primeiro serviço de informações online do mundo — permitindo que qualquer pessoa pudesse, por exemplo, mandar um email.

A novidade fez tanto sucesso que foi rebatizada como CompuServe Information Service (CIS) e bombou nos anos 80, ganhando novos recursos como fóruns moderados, chats online e trocas de GIF. Até alguns jornais (como o The Washington Post) passaram a oferecer versões digitalizadas por lá.

Aí veio a AOL — com taxas mais atraentes, uma interface mais bonita e a clássica estratégia do CD com horas grátis — e matou o serviço. Posteriormente, a CompuServe foi comprada e virou uma divisão da America Online. Peninha.
The Hack — We will, we will, hack you
{Segurança = Um debate e tanto};
De um lado, Diego Aranha, professor assistente na Universidade de Aarhus (Dinamarca) e um dos maiores estudiosos sobre segurança das urnas eletrônicas brasileiras. Do outro, Rodrigo Coimbra, chefe da seção de voto informatizado do TSE. Foi esse debate épico que fechou com chave de ouro o Mind The Sec SP 2018, que ocorreu nos dias 18 e 19 (respectivamente, terça e quarta-feira passada).

Aranha, que encontrou vulnerabilidades na urna em um teste de segurança organizado em 2017 pelo próprio órgão público, relembrou a facilidade de modificar aplicativos no equipamento e alterar mensagens de texto exibidas no display. Porém, para o especialista, o pulo do gato está na ausência de meios mais transparentes para que o cidadão em si possa realizar auditorias, como a adição do tão famigerado voto impresso.

Além disso, o professor acredita que o prazo limitado oferecido no teste técnico — tal como o limitador termo de confidencialidade — impedem que pesquisadores independentes colaborem com esse processo de detecção de falhas. Também não dá para ignorar que agentes internos possam oferecer riscos e tentar inserir códigos maliciosos antes ou durante o processo de lacração das urnas.

Coimbra, por sua vez, foi categórico ao afirmar que o voto informatizado é uma “vitória” brasileira, sendo um projeto 100% nacional que incluiu minorias e jamais teve uma fraude registrada. O executivo ressaltou que o código-fonte das urnas — composto por mais de 24 milhões de linhas — não é secreto como alguns pensam e é constantemente auditado por órgãos diversos (universidades, associações e até forças policiais) durante seis meses.

Contudo, no intuito de deixar esse processo ainda mais transparente, Coimbra afirmou que o TSE pretende, de fato, colocar tal código na internet. “A gente está na fase inicial de analisar a viabilidade. Eu não posso dar uma data, mas é algo que, sim, está sendo preparado para acontecer o mais breve possível”, completou. Tá afim de assistir ao debate na íntegra? Tá tudo gravado no perfil do Mind The Sec no Facebook. Corre lá.
{Malware = Tudo junto e misturado};
Um destrutivo malware tudo-em-um foi encontrado por pesquisadores da Palo Alto — batizado de Xbash, o código malicioso é um ransomware, um cryptojacker e uma botnet ao mesmo tempo. Programado em Python por possíveis hackers chineses, essa verdadeira arma cibernética ataca os sistemas operacionais Linux e Windows, mas age de forma diferente em cada um deles.

Caso entre em um servidor que esteja executando o SO livre, o Xbash usará força bruta para entrar em servidores diversos (MySQL, MongoDB, Oracle Database etc.) e apagar todo o seu conteúdo, exibindo uma mensagem de resgate — cujo pagamento, como você deve ter adivinhado, não traz de volta os arquivos deletados. Mesmo assim, estima-se que os criminosos já tenham lucrado US$ 6 mil na base do desespero alheio.

Já no Windows, o malware age como um minerador de criptomoedas normal e utiliza três vulnerabilidades já conhecidas (uma na Haddop, outra na Redis e a última no ActiveMQ, cujo código de identificação é o CVE-2016-3088) para se propagar dentro de redes privadas e outros computadores. Até que maiores informações sobre o Xbash sejam reveladas, a dica é manter seus softwares sempre atualizados e usar credenciais fortes.
{Vazamento = Tropeço básico};
A plataforma GovPayNow, utilizada por pelo menos 2,3 mil órgãos governamentais dos EUA para processar pagamentos online (o que inclui desde o pagamento de multas de trânsito até impostos residenciais) deixou vazar mais de 14 milhões de dados sensíveis de cidadãos norte-americanos. As informações expostas incluem nome completo, endereço, telefone e os últimos dígitos do cartão de crédito.

O problema em questão era simples: sequenciamento de ID. A plataforma permitia que cada indivíduo gerasse um recibo das transações; porém, ao mudar o dígito identificador do pagamento na URL do site, era possível visualizar o documento de qualquer outra pessoa aleatoriamente. A falha já foi consertada e a plataforma diz que não há indícios de que o bug tenha sido usado de forma maliciosa.
// Out of mere curiosity...
Novidades inesperadas de uma internet selvagem
  • Marc Benioff, CEO da Salesforce, comprou — como pessoa física! — a revista TIME por absurdos US$ 190 milhões. Talvez ele tenha se cansado da área de TI e queira experimentar o jornalismo…
  • A Mozilla lançou o Firefox Reality, um navegador de realidade virtual que é compatível com o Viveport, o Oculus Rift e o Daydream. Se tu curte essas coisas, vale a pena dar uma olhada.
Este artigo só existe graças ao apoio da Axur.

Microsoft_Logotipo
Os golpistas que copiavam — O Facebook afirma ter excluído nada menos do que 583 milhões de páginas falsas só durante o primeiro trimestre de 2018. Já parou para pensar que uma delas poderia estar se passando pela sua empresa e lesando consumidores? Se ficou curioso sobre esse assunto, confira o artigo e veja o infográfico especial que fizemos junto com a Axur sobre presença digital.
Show me
[Little bytes da semana];
Links bacanudos que a gente achou por aí
One minute, pls.
  • Assista a este vídeo que imagina logotipos de marcas de tecnologia modernas (incluindo reddit, Instagram e Google) na estética glitch dos anos 70 e 80. (1 min.)
That’s it. Ouça nossa playlist da semana no Spotify, assista a Perdidos no Espaço e leia Eden, de Hiroki Endo. See you, space cowboy and space cowgirl.
Twitter
Facebook
Instagram
LinkedIn
Website
Segue a gente, somos legais.
// Editorial
Ramon_Souza_Avatar
Ramon de Souza
correspondente de (ciber)guerra
Igor_Rincon_Avatar
Thauan Santos

debugging in produc‚¤¶œ like ♦ sir.
Renoir_Reis_Avatar
Igor Rincon

somente nós e nossas máquinas
Carol_Saccardo_Avatar
Carol Saccardo

caçadora de crases, amante de concordância certa, vírgulas e astrologia. #pas
Orkaos_Matron_Avatar
Orkaos Matron

full stack phreaker in chief
Copyright © 2018 The Hack, Todos os direitos reservados.

Você recebeu esta newsletter porque está sendo vigiado pela NSA. Ou porque hackeou o Gibson. Ou porque participou do Roadsec ou outros eventos da Flipside.

Quer dar um Shift + Del na gente? É só clicar aqui: cancelar inscrição.