Nossa informação -pública ou privada- é um tesouro para as empresas que dominam a Internet. Por suposto, também para governos ou outros grupos que detém o poder. Para algumas pessoas isto representa um problema gravíssimo, já outros nem se importam. Este post é para você que faz parte do primeiro grupo. Aqui encontrará um compêndio de ferramentas básicas que permitirão com que se sinta bem mais seguro na Internet; melhor ainda, todas são de código livre e aberto.

Se talvez pertencer ao grupo dos desinteressados, te convido a entender um pouco mais sobre as consequências da falta de privacidade, anonimato e segurança em geral da intrinsecamente não segura -porque assim foi desenhada- Internet. E qualquer que seja o seu caso, recorde que nenhuma ferramenta é infalível:

Muito seguramente o título de grupo hacktivista com o qual a mídia se refere a Anonymous vai terminar custando caro a seus integrantes. Desde que decidiram declarar guerra a Sony e comprometeram a estabilidade da Playstation Network mediante ataques DDoS, a percepção pública dos mascarados ficou um pouco manchada, obrigando-os a retrair sua ofensa e permanecer à margem de um ataque.

A própria Sony, depois da tremenda pisada de bola, chegou a desmentir que Anonymous tivesse alguma coisa a ver com a invasão aos servidores da empresa. Mas ontem o gigante japonês voltou a desdizer o que disse indicando o tal documento "Anonymous" encontrado em seus servidores. Era só uma questão de tempo para que os implicados se pronunciassem.

O ataque a PlayStation Network com o conseguinte roubo dos dados pessoais (senhas, cartões de crédito, etc) de 77 milhões de usuários, é um caso que, praticamente, ultrapassou qualquer limite do ponderável e que levou a Sony a declarar ante o Congresso dos Estados Unidos. O presidente da junta Diretiva da empresa,Kazuo Hirai, compareceu ante o Subcomitê de Indústria e Comércio da Câmera de Representantes dos EUA para se explicar sobre esta grande brecha e o roubo de dados dos usuários e declarou que têm indícios que apontam o grupo Anonymous como responsável pelo ataque. Concretamente, o representante da Sony disse:

A famosa descoberta dos pontos de localização registrados deixou você com a pulga atrás da orelha quanto as intenções da empresa de Cupertino? Pois a Apple diz que tem resposta para isso e tenta esclarecer todo o alvoroço causado pelo trabalho de pesquisa realizado pelos pesquisadores britânicos, afirmando que em nenhum momento a companhia criou esse arquivo para seguir a localização geográfica dos usuários do aparelho, mas sim para registrar pontos WiFi e torres de telefonia móvel visando criar uma base de dados que ajude aos celulares realizarem um cálculo de localização por triangulação de maneira mais rápida e efetiva, já que desta forma teria em seu poder os pontos de acesso mais próximos sem necessidade de realizar uma consulta a dados para sua comprovação.

Sony por fim reconheceu que os hackers da PlayStation Network roubaram informação pessoal dos usuários, ainda que não acreditam que tenham subtraído números de cartões de crédito. A informação chega nove dias após a invasão, uma demora bastante inaceitável. Sony assinalou no blog do PlayStation que:

"Descobrimos que entre 17 e 19 de abril de 2011, certa informação de contas de usuário da PlayStation Network e Qriocity foi comprometida em conexão com uma invasão ilegal e não autorizada em nossa rede. Ainda que não exista evidência neste momento de que tenham extraído informação de cartões de crédito, não podemos descartar a possibilidade."

Interessante (e tremendamente preocupante) descoberta anunciada hoje através de dois pesquisadores britânicos: dispositivos que usam IOS4, como iPhone ou iPad 3G, realizam uma série de registros constantes de sua localização que ficam armazenados em um arquivo chamado consolidated.db, um arquivo de fácil acesso e que qualquer um poderia decifrar sem nenhum tipo de complexidade.

Ao que parece este arquivo permanece no telefone depois de restaurar uma cópia de segurança ou migrar os dados a um novo terminal, motivo pelo qual é fácil entender que não se trata de nenhum erro ou bug a nível de programação. Pois se não fosse muito, através do site courbis.fr descobrimos que esta função já era conhecida anteriormente, com a peculiaridade de que normalmente são pessoas muito específicas as que sabem de sua existência: informáticos forenses. Pode parecer piada, mas não é. Alguma coisa fede no reino da Applelândia.

Via | O'reilly Radar.

Se achávamos que a guerra entre Geohot e a Sony tinha finalizado depois do acordo extra-oficial ao que chegaram, um movimento pelo qual o hacker se comprometia a se manter fora da cena do PS3, estávamos equivocados depois de uma nova reviravolta do jovem. Geohot doou 10.000 dólares à Electronic Frontier Foundation (EFF), organização sem fins lucrativos que advoga pelos direitos individuais digitais a nível internacional. Toda uma declaração de intenções que o hacker explica em seu blog.

Criadores de malwares estão usando vulnerabilidades de milhares de sites para injetar código malicioso como parte de um ambicioso ataque que busca redirecionar os internautas a um site falso de antivírus.

O ataque, que batizado como "LizaMoon", foi alertado pela empresa de segurança Websense na terça-feira. A companhia indicou que hackers usaram injeção de SQL para introduzir uma linha de código maliciosa em pelo menos 28.000 domínios, enviando os visitantes à página de um antivíirus falso. Em apenas dois dias, esse número já supera os 380.000.

Trata-se de um dos maiores casos deste tipo já registrado, que está chegando a níveis de epidemia. Entre os sites afetados, incluía-se também a iTunes, ainda que a WebSense explicou que a segurança da Apple funcionou bem bloqueando este tipo de ataques.

Para os demais, o risco é cair na armadilha de baixar o antivíirus falso. Os sites que foram usados para fazer o redirecionamento estão agora bloqueados, mas já se sabe que começaram a usar outros endereços para o redirecionamento e provavelmente seguirão mudando para conseguir seu objetivo.

Via | The Register.

Apesar da área de alta tecnologia, na grande rede também podemos aplicar o ditado "Casa de ferreiro, espeto de pau". Resulta que hackearam a base de dados adivinha de quem? MySQL.com, sim, mediante uma injeção SQL, o cúmulo das ironias cósmicas, cuja extensão afetou à segurança das bases de dados MySQL de muitos clientes da empresa. Um exemplo:

Pode apagar toda uma tabela simplesmente adicionando um comando extra através dos métodos GET ou POST:

O segundo comando apaga toda a tabela de comentários. Inacreditável que a empresa caia no truque mais simples de segurança do manual de aprendizes do MySQL. Se já não fosse o bastante para somente um dia, uma empresa emissora de certificados chamada Comodo, organizou um escândalo ao emitir certificados digitais falsos para sites como mail.google.com, login.yahoo.com, login.live.com e outros.

Recentemente calcularam que com a última grande vitória de Microsoft sobre as redes de correio lixo eliminando uma botnet chamada Rustock, o planeta poupou 13 TeraWatts-hora de eletricidade que seriam usados em centenas de milhares de computadores infectados para enviar spam a todas partes do mundo com uma velocidade de 25 mil mensagens por hora desde cada máquina infectada.

Via | Inhabitat.