Cláudio Schneider – Como fazer seu funcionário feliz

Sócio-diretor da Persona System dá o mapa da mina para garantir a satisfação dos funcionários e sua colaboração para o sucesso da empresa. Leia o resto deste post »

Microsoft vai liberar APIs

A Microsoft anunciou nesta quinta-feira, 21, que abrirá as APIs de alguns de seus softwares, com o objetivo de fomentar o desenvolvimento de programas independentes. A novidade vale para Windows Vista, Windows Server 2008, SQL Server 2008, Office 2007, Exchange Server 2007 e Office SharePoint 2007.

A informação técnica será publicada no site da Microsoft e os programadores de software não estão livres de pagar pelas licenças. Produtos comerciais pagarão uma “pequena taxa”.

O anúncio foi feito por Steve Ballmer, CEO da empresa, que divulgou ainda o acesso a protocolos e códigos de funcionamento de seus sistemas para servidores.

“Estes passos representam um avanço importante e uma mudança significativa em como compartilhamos informação sobre produtos e tecnologias”, declarou. O executivo afirma ainda que a mudança representa “uma expansão importante rumo a uma transparência ainda maior”.

Assegurar os códigos abertos, promover a portabilidade de dados, aumentar o apoio para os padrões industriais e buscar um compromisso mais aberto com clientes e indústria, incluindo as comunidades de código aberto foram as promessas feitas por Ballmer.

Reprise
Brad Smith, executivo de negócios estratégicos da Microsoft, reconheceu que as mudanças são parte de um esforço para atender as decisões de cortes européias, que acusam a empresa de levar vantagem sobre seus competidores por não revelar informações importantes sobre como os aplicativos funcionam.

A Comissão Européia comentou o avanço da empresa, mas lembrou que a Microsoft já fez anúncios semelhantes no passado, informa a Agência EFE.

Fonte: Baguete

Pequisadores “quebram” criptografia do Vista, Mac OS e Linux

Um método simples, mas eficiente o bastante para deixar de cabelo em pé os maiores fabricantes de computadores, grandes corporações e qualquer usuário que achava que seus dados não poderiam ser violados caso estivessem criptografados. O método é resultado do trabalho de pesquisadores norte-americanos. O grupo acaba de demonstrar uma nova modalidade de ataques a computadores que compromete seriamente os conteúdos de sistemas de memória até então considerados seguros, particularmente os presentes em laptops.

Os ataques foram capazes de superar uma série de medidas de segurança reunidas no que se chama de criptografia de disco, que, em teoria, foi criada para garantir a inviolabilidade de informações armazenadas na memória do computador.

Os pesquisadores conseguiram “quebrar” diversas tecnologias amplamente usadas, entre as quais a BitLocker, da Microsoft (usada no Windows Vista), o FileVault, da Apple (usado no Mac OS X), e a dm-crypt, usada em plataforma Linux. Segundo o grupo, o método usado é suficiente para vencer a grande maioria dos sistemas de criptografia de disco, uma vez que as tecnologias têm componentes arquitetônicos comuns.

“Nós quebramos os produtos de criptografia de disco exatamente no ponto em que eles são mais importantes atualmente: quando usados por laptops que contêm dados corporativos e estratégicos ou informações pessoais importantes a respeito de clientes”, disse Alex Halderman, do Departamento de Ciência da Computação da Universidade Princeton, um dos participantes no trabalho. Além de pesquisadores de Princeton, participaram do trabalho integrantes da Eletronic Frontier Foundation e da empresa Wind River Systems.

“O problema é que, diferentemente de muitos dos problemas de segurança, não estamos falando, nesse caso, de um defeito menor. Trata-se de uma limitação fundamental na maneira como esses sistemas de segurança foram projetados”, afirmou Halderman.

Chaves secretas

O mais curioso é que o método envolveu o uso de simples latas de sprays, do tipo usado para remover poeira de teclados de computadores. O spray foi usado para resfriar os chips de memória dos laptops, de modo a fazer com que os “invasores” tivessem mais tempo para executar os ataques.

Ao virar as latas de cabeça para baixo, o líquido resultante expelido resfriou os chips a 50 graus negativos. Com isso, os pesquisadores diminuíram a velocidade da taxa de decaimento da memória RAM do laptop de alguns segundos para 10 minutos. O tempo resultante foi suficiente para recuperar 99,9% da informação instalada nessa memória temporária.

Os pesquisadores se valeram da maneira de funcionamento da memória RAM, que, diferentemente do que muitos imaginam, não é apagada imediatamente quando o laptop é desligado, mas em um processo que leva vários segundos.

Tecnologias de criptografia se baseiam no uso de chaves secretas para proteger os dados. Os computadores precisam dessas chaves para acessar os arquivos armazenados nos discos rígidos ou em outros drives. Quando um usuário autorizado digita a senha, o computador armazena a chave na memória RAM, de modo que os dados protegidos possam ser acessados regularmente. Essas chaves desaparecem assim que o chip de memória perde eletricidade quando a máquina é desligada.

Ao lado da estratégia do congelamento, os pesquisadores também escreveram programas que permitiram acessar informações criptografadas automaticamente após a energia ser cortada. O método funcionou tanto com acesso físico à máquina como em ataques por meio de redes, como pela internet.

A invasão foi bem-sucedida até mesmo quando a chave de criptografia começou a decair. No caso, os pesquisadores conseguiram reconstruí-la a partir de outras chaves armazenadas na mesma memória. Até mesmo quando o chip de memória foi removido de um laptop e colocado em outro o método funcionou: os pesquisadores conseguiram recuperar a chave e, conseqüentemente, ter acesso aos dados armazenados.

O modo de ataque desenvolvido pelo grupo, focado na particularidade do chip de memória RAM reter por algum tempo as chaves, mostrou-se particularmente eficiente ao ser usado contra computadores que se encontravam ligados, mas não travados por sistemas de identificação por senha, como é o caso de muitos laptops em modo de standby ou hibernação. Ou seja, uma medida para diminuir o risco de invasão seria desligar o computador quando não em uso, ainda que em alguns casos nem mesmo isso seria suficiente, especialmente se a máquina estiver ligada à internet por cabo ou algum sistema sem fio.

Edward Felten, diretor do Centro para Políticas de Tecnologia de Informação de Princeton, destaca que os resultados da pesquisa demonstram os riscos associados com recentes roubos de laptops ocorridos nos Estados Unidos.

Em um dos casos, um computador do governo continha informações sobre 26 milhões de veteranos de guerra. Em outro, a máquina roubada da Universidade da Califórnia em Berkeley tinha armazenados dados de 98 mil estudantes. Embora muitos achem que sistemas de criptografia de disco seriam suficientes para garantir a inviolabilidade das informações em casos como esses, o novo estudo aponta o contrário.

“Criptografia de disco é freqüentemente recomendada por especialistas em informática como uma solução perfeita contra a perda de dados importantes contidos em laptops, mas nós demonstramos que a proteção é muito menor do que se imaginava”, afirmou Felten.

O método usado foi descrito em artigo publicado no Centro para Políticas de Tecnologia de Informação da Universidade Princeton e submetido a publicação em revista científica. Os pesquisadores também notificaram desenvolvedores de sistemas operacionais e sistemas de criptografia.

Fonte: TI Inside

Gigantes da web se unem para promover gerenciamento de identidade aberta

Open Software Foundation (OSF), organização fundada em 1988 para desenvolver um padrão aberto Unix, anunciou que o Google, IBM, Microsoft, VeriSign e o Yahoo! passaram a integrar a diretoria corporativa da OpenID Foundation, entidade que tem como objetivo desenvolver e promover o gerenciamento de identidade aberta na web. Segundo a OSF, com o profundo conhecimento dessas empresas sobre internet e tecnologia de segurança, a entidade reforça a iniciativa da indústria para habilitar usuários com identidades portáveis na web – OpenIDs.

A OpenID Foundation foi fundada em junho do ano passado para apoiar e promover a tecnologia desenvolvida pela comunidade OpenID. Seus membros são indivíduos, estudantes, organizações sem fins lucrativos, empresas iniciantes e gigantes da indústria que se uniram com o objetivo de desenvolver e promover o gerenciamento de identidade aberta.

OpenID é uma tecnologia gratuita que visa simplificar a experiência do internauta ao eliminar a necessidade de múltiplos nomes de usuário em sites da internet e permitir que tenha mais controle e propriedade de suas identidades digitais. Ela permite que os internautas convertam um dos seus identificadores digitais existentes – como a URL do seu blog pessoal – em uma conta OpenID, que, então, pode ser usada como login em qualquer website que suporte esse padrão.

Atualmente, mais de 10 mil websites suportam logins OpenID e a estimativa é de que existam 350 milhões de URLs habilitadas por OpenID. “Com o apoio dos membros da diretoria corporativa, a OpenID Foundation poderá continuar a promover e proteger a tecnologia e sua comunidade daqui por diante”, afirmou Bill Washburn, diretor executivo da OpenID Foundation.

Fonte: TI Inside

Microsoft corrige 10 brechas críticas no Windows, IE e Office

A Microsoft divulgou nesta terça-feira (12/02) o pacote mensal de correções Patch Tuesday com onze correções de segurança para 17 falhas em produtos seus, sendo dez delas consideradas críticas pela companhia.

As correções, que fazem parte do ciclo mensal de atualizações da empresa, são destinados a seis falhas críticas nos produtos Windows, Office e Internet Explorer e cinco falhas consideradas importantes para Windows e Office.

As falhas críticas permitem que crackers executem códigos maliciosos remotamente e promovam ataques do tipo negação de serviço (DoS) utilizando apenas os programas afetados pelas falhas.

As vulnerabilidades importantes também permitem não só ataques DoS e execução remota de malwares, mas também a elevação de privilégios, o que pode levar a ataques ainda piores.

As atualizações, descritas em comunicado publicado no site da Microsoft, podem ser baixadas pelo usuário por meio da ferramenta Windows Update das versões XP e Vista do sistema operacional.

Fonte: IDG Now

Novo ataque prova facilidade para explorar falha do Windows

Framingham – Novo código de exploração desmente Microsoft, que afirmou que bug no TCP/IP seria ‘difícil ou improvável’ de ser explorado.

Pesquisadores de segurança desmentiram a afirmação da Microsoft que a primeira vulnerabilidade crítica do Windows este ano seria “difícil ou improvavelmente” exploradas por hackers.

Na terça-feira (29/01), a Immunity atualizou um código eficiente na exploração para falha de TCP/IP divulgada pela Microsoft no boletim de segurança MS08-001, o primeiro deste ano. A empresa especializada em segurança publicou um arquivo em Flash com a demonstração do ataque.

O código, divulgado aos clientes de seu software de testes de invasão Canvas, é uma versão revisada daquele apresentado há duas semanas.

“Isso demonstra que a vulnerabilidade em questão é altamente explorável”, afirma Dave Aitel, diretor de tecnologia da Immunity, em uma mensagem enviada à sua lista Dailydave.

Aitel desmente a afirmação feita pela Microsoft de que “existe uma série de fatores que torna a exploração desse bug difícil e improvável de acontecer em condições normais.” Porém, o especialista admite que o novo código não é 100% confiável.

Outras empresas de segurança apoiaram o código e emitiram novos alertas a seus clientes. A Symantec, por exemplo, enviou um novo comunicado aos clientes usuários do software DeepSight. “O ataque indica um código de execução remota”, diz a Symantec. “O código funciona contra o Windows XP SP2 English Default, e mostra dois PCs com esta versão do sistema em uma sub-rede local com firewall habilitado.”

No comunicado, a empresa sugere que aqueles que ainda não tenham instalado as correções disponibilizadas pela Microsoft o façam o quanto antes. A companhia divulgou a atualização em 8 de janeiro.

Os ataques bem-sucedidos realizados pela Immunity – e qualquer código semelhante desenvolvido por outras empresas – permitem que um código arbitrário seja executado no contexto do kernel do Windows, um cenário especialmente aplicável ao Windows Vista, explicou a Symantec.

“Ele é especialmente crítico no Vista devido aos mecanismos de segurança de seu kernel”, disse a Symantec. “Um usuário local, mesmo um administrador, pode ter dificuldade para introduzir código nesse kernel. Mas nesse caso, isso pode ser feito remotamente, sem qualquer tipo de autenticação.”

A Symantec diz ainda que “esta vulnerabilidade representa uma oportunidade não apenas para que um código arbitrário seja executado no sistema, mas também para a instalação de backdoors e outras ferramentas maliciosas.”

Em seu boletim de segurança, divulgado no último dia 8, a Microsoft classificou a falha do IGMP (Internet Group Management Protocol) como “crítica” para o Windows XP SP2, Windows Vista, Windows Small Business Server e Windows Home Server. Em outras versões, incluindo o Windows Server 2003, o bug foi classificado como “importante”.
Gregg Keizer, editor do Computerworld, de Framingham

Fonte: IDG Now