RenatoMartini.Net

Category: Internet (page 1 of 2)

SHODAN: a mais temível ferramenta de procura

Depois de apresentada em 2009 na DEFCON, Shodan foi chamada por muitos a mais assustadora search engine da Internet. Mesmo com a maturidade da ferramenta que hoje podemos constatar trata-se de um exagero. Na verdade, Shodan nada mais é que uma ferramenta de procura por dispositivos na rede Internet, aquilo que muitos gostam de chamar de "internet das coisas", - o que é apenas uma metáfora mercadológica, diga-se de passagem, porque o TCP/IP, salvo melhor juízo, não distingue coisas e pessoas. Mas o termo colou e é usado correntemente. Assim o Shodan apresente como sendo: the world's first search engine for Internet-connected devices.

A riqueza do protocolo TCP/IP é ser uma plataforma aberta,. Em suas camadas mais altas, onde se localizam os serviços, e onde o usuário efetivamente interage, é possível inserir e criar, na medida da inventividade humana, várias aplicações. E é por isso que tantos e tantos usos apareceram ao longo dos anos, dada esta flexibilidade que é própria do protocolo que dá vida as redes na Internet.

O aplicativo Shodan trabalha lendo os cabeçalhos HTTP e outras informações abertas nos dispositivos conectados. Ele produz um "fingerprint" de tais dispositivos e então podem indexá-los por dados como país, sistema operacional, marca, etc. Como por exemplo aqui destacado, um dos resultados para a procura por "video web servers":

--- VIDEO WEB SERVER --- 99.59.242.113 adsl-99-59-242-113.dsl.pltn13.sbcglobal.net AT&T Internet Services Added on 2015-07-14 12:02:08 GMT United States - United States Details HTTP/1.1 200 OK Connection: close Cache-Control: no-cache Server: SQ-WEBCAM CONTENT-LENGTH:2936

As possibilidades desta plataforma podem assustar os mais radiciais, mas creio que como David Holmes destacou em artigo no site Security Week: "Manufacturers can use Shodan to locate unpatched versions of their software in IoT devices. And Sales can use it to identify new customer opportunities. One Shodan query shows the number of HP printers in need of toner across ten different universities".

 
Revisão v. 2.1
 

ICAO implementa o certificado ICP-Brasil em seu diretório

No último dia 8 de junho, membros da Subsecretaria-Geral das Comunidades Brasileiras no Exterior do Ministério das Relações Exteriores – MRE, estiveram em Montreal, no Canadá, para a cerimônia de importação do certificado digital da Autoridade Certificadora do MRE para o diretório de chaves públicas – PKD da Organização de Aviação Civil Internacional – ICAO, entidade responsável por promover segurança e padronizar os aeroportos e passaportes no mundo. Representaram a pasta Cassiano Buhler e Lucas dos Santos Furquim Ribeiro. A ICAO, por sua vez, foi representada por Christiane DerMarkar.

O presidente do Instituto Nacional de Tecnologia da Informação – ITI, Renato Martini, ressaltou a participação dos entes governamentais que resultou na implementação da tecnologia ICP-Brasil ao PKD.

"A efetiva colocação do certificado digital da AC MRE no diretório da ICAO, criada dentro de nossos padrões técnicos e normativos, foi bastante importante por diversas razões, mas deve-se ressaltar sobretudo o envolvimento de vários órgãos públicos com Serpro, o próprio Itamaraty, a Polícia Federal, entre outros. Os desafios deste empreendimento se somam agora a tantos outros de nosso sistema nacional de certificação digital", disse Martini.

Com o feito, já é possível emitir os novos passaportes brasileiros garantindo ao cidadão brasileiro não apenas um documento internacional perante autoridades locais e consulados, mas a identificação inequívoca nos e-gates, portões eletrônicos que automatizam o processo de conferência de passaportes.

Segundo Lucas dos Santos, restam pequenos detalhes, como a adequação do Sistema de Controle e Emissão de Documentos de Viagem – SCEDV do MRE, para o início das atividades de emissão de passaportes eletrônicos assinados com certificados digitais ICP-Brasil.

Como funciona o PKD

Cada país possui uma regulamentação e uma estrutura diferentes de Infraestrutura de Chaves Públicas. Para facilitar e agilizar a troca de informações entre as diversas nações a ICAO idealizou o PKD, um diretório seguro onde, seguindo regulamentações, os países aderentes depositam as informações dos certificados que compõem a cadeia de segurança com a qual eles assinam seus passaportes. Esse diretório centraliza a troca de informações entre todos os países.

Para o passaporte brasileiro tornar-se aderente ao PKD, foram necessárias novas regulamentações no âmbito da ICP-Brasil. Essas alterações foram debatidas e aprovadas em reunião do Comitê Gestor da ICP-Brasil em 2013. Uma das definições do Comitê foi a criação da Autoridade Certificadora – AC de primeiro nível do Ministério das Relações Exteriores – MRE.

Em abril deste ano, o Instituto Nacional de Tecnologia da Informação – ITI, emitiu o certificado de Autoridade Certificadora do Ministério de Relações Exteriores – AC MRE, a partir da cadeia v4, modelo europeu que adota a tecnologia de curvas elípiticas – brainpool.

FONTE: ITI

 
Revisão v. 1.3
 

Login & Senha: se o atalho fosse o caminho, ele seria o caminho

Nenhuma tecnologia é perfeita, absolutamente segura ou coisa que o valha, disso já sabemos e felizmente tornou-se lugar comum. Motores falham, equipamentos não funcionam, engrenagens por vezes deixam de responder, sistemas digitais saem do ar... Esperamos todavia que equipamentos em seus sistemas funcionem por padrão, tal é nossa expectativa. Dirigimo-nos ao caixa eletrônico esperando que ele responda e atenda nossos comandos.E que nos proteja ao evitar ataques que possam lesar seus usuários. A mais tradicional forma de acesso e identificação de sistemas é o uso da senha alfa-numérica em conjunto com uma identificação ou registro, (log in nada mais é que registrar-se), trata-se do malfadado par "login-senha". Nos últimos anos vimos centenas de vazamentos de arquivos onde estas senhas estavam armazenados. A resposta, veio em forma de endurecimento na escolha de senhas mais complexas, em detrimento da paciência dos usuários... Mas em nenhum dos casos tais exigências e controles na geração de senhas substitui a meu ver do uso combinado da biometria com a criptografia, na forma da infraestrutura de chaves públicas. O recente episódio aqui reportado pela Computer World, do vazamento de dados de 4 milhões de funcionários federais, apenas será mais um capítulo deste problema. O Brasil deve sempre fortalecer seus sistemas de informação, - às vezes o mais simples pode e deve ser contornado pelo mais robusto, o atalho é uma ilusão, o caminho mais longo é e sempre será o mais seguro.

EUA investigam vazamento de dados de 4 milhões de funcionários federais Notícia foi publicada pelo Wall Street Journal e confirmada pelo Departamento de Homeland Security. Hackers chineses são suspeitos Por James Niccolai - IDG News Service 04 de Junho de 2015 - 23h06 Os Estados Unidos confirmaram hoje que estão investigando um gigantesco vazamento de dados pessoais de funcionários públicos federais dos EUA. Segundo a informação, mais de 4 milhões de funcionários teriam tido informações expostas por um ataque de hackers, possivelmente chineses. A notícia foi publicada pelo The Wall Street Journal citando uma fonte anônima que descreveu o problema como sendo "um dos maiores roubos de dados governamentais já vistos". O ataque teria sido disparado contra o Departamento de Gestão de Pessoas (OPM), um escritório do governo federal responsável por contratar e reter funcionários governamentais. O mesmo escritório teria sofrido um outro ataque no ano passado, mas de diferente natureza aparentemente. O Departamento de Homeland Security confirmou a brecha de segurança, informando que dados do OPM e do Departamento do Interior foram comprometidos no início do mês de maio, segundo notícia publicada pela agência Associated Press. Segundo o Homelandy Security, o sistema que detectou o ataque chama-se Einstein. O FBI está investigando para determinar que agências federais foram afetadas, embora potencialmente possam ser todas elas, segundo a reportagem do jornal. -- Fonte: Computer World

 
Revisão v. 1.8b
 

Desmaterialização: Processo Judicial chega a Varas do Trabalho


O Processo Judicial Eletrônico da Justiça do Trabalho – PJe-JT foi implantado, no último dia 9, na Vara do Trabalho de Itapetinga, Bahia. O Pje-JT foi desenvolvido pelo Conselho Nacional de Justiça – CNJ, o Conselho Superior da Justiça do Trabalho – CSJT e diversos tribunais brasileiros. O sistema traz maior comodidade aos usuários, pois os processos passam a ser realizados pela internet com o uso do certificado digital no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.

O Pje-JT também deve ser iniciado nas Varas do Trabalho de Vitória da Conquista ainda este ano. Com o sistema, o uso do papel fica restrito às ações antigas e pagamentos. O PJe-JT já funciona em dez cidades da Bahia, Salvador, Itabuna, Ilhéus, Candeias, Santo Amaro, Alagoinhas, Camaçari, Feira de Santana, Senhor do Bonfim e Juazeiro.

O PJe-JT permite uma melhor visão do fluxo de procedimentos. Além disso, o sistema promove mudanças em toda a estrutura da Justiça do Trabalho, uma vez que extingue tarefas como carimbar e manusear a papelada. Além de agilizar os processos, essa nova forma de trabalho traz vantagens para os cofres públicos e para o meio ambiente.

Fonte: ITI

 
Revisão v. 1.0
 
Olderposts

Copyright © 2017 RenatoMartini.Net

Theme by Anders NorenUp ↑