Vulnerabilidade em impressoras a laser permite invasão de hackers

Pesquisadores da Universidade de Columbia descobriram o erro.
HP confirmou a existência da falha, mas negou risco de incêndio.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

A Hewlett-Packard (HP) confirmou a existência de uma “vulnerabilidade em potencial” em várias de suas impressoras LaserJet, especialmente modelos empresariais, que permitiria a instalação de um novo software na impressora para substituir o original. Os pesquisadores Salvatore Stolfo e Ang Cui conseguiram superaquecer uma impressora até tornar o papel marrom e sair fumaça, fazendo com que o disjuntor térmico entrasse em ação e desligasse a impressora.

Apesar do dano ao equipamento, a HP negou, porém, a possibilidade de incêndio. Segundo a empresa, todas as impressoras são equipadas com disjuntores térmicos para impedir que um superaquecimento do aparelho resulte em incêndios.

Os pesquisadores também conseguiram substituir o software da impressora para realizar outras funções. Em um experimento, eles fizeram com que o material impresso fosse enviado para um e-mail, que foi automaticamente processado por um software que procura por números de segurança social (SSN, usado de forma semelhante ao CPF brasileiro) e automaticamente publica a informação em uma conta no Twitter.

Pelo menos 42 modelos de impressoras laser da HP estão confirmadas como vulneráveis. De acordo com a fabricante, apenas modelos fabricados antes de 2009 têm a falha. Modelos mais novos exigem que as atualizações tenham uma assinatura digital antes de serem instaladas.

Nos modelos vulneráveis, a instalação do novo software pode ser feita até pela internet, já que os modelos empresariais analisados têm conectividade com a rede. Os pesquisadores disseram ter encontrado 40 mil impressoras que poderiam ser infectadas conectadas diretamente à internet, sem a presença de um firewall para bloquear um acesso indevido.

Outra maneira de comprometer uma impressora é “imprimindo” um documento especial que na verdade contém uma atualização para o software do equipamento. Para isso, basta enviar um trabalho de impressão a partir de um computador com Linux ou com Mac OS X, segundo os pesquisadores.

A HP já divulgou uma lista de impressoras consideradas vulneráveis e está buscando uma solução para o problema. Os pesquisadores acreditam, porém, que a falha pode estar presente em outras marcas de impressoras. Até o momento, nenhuma outra marca além da HP foi pesquisada.

Firmwares e 'dispositivos inteligentes'
Quando dispositivos começam a ficar “inteligentes” demais, com muitos recursos, vírus e códigos maliciosos podem se aproveitar disso. Em 2007, um vírus experimental para calculadoras da Texas Instruments fazia a tela do dispositivo simplesmente mostrar a mensagem “t89.gaara”. Em 2009, o vírus Psybot foi criado para infectar modems ADSL.

No caso das impressoras vulneráveis, o problema existe porque elas utilizam um “sistema embarcado” (embedded system) – um software feito especificamente para executar as tarefas que a impressora necessita para seu funcionamento. Esse sistema é instalado na forma de um “firmware”.

Firmwares novos são às vezes fornecidos pelo próprio fabricante, mas esse não é um fato muito conhecido. Placas e gravadores e leitores de CDs e DVDs para PCs também usam um firmware, por exemplo, mas raramente são atualizados, a não ser que exista um problema específico. A atualização de um firmware é arriscada: se ocorrer um problema durante a atualização, o equipamento pode ser inutilizado – uma consequência conhecida pelo termo “brick”, palavra em inglês que significa “tijolo”. É uma referência: após o brick, seu dispositivo é tão útil quanto um tijolo.

Na opinião dos pesquisadores da Universidade de Columbia, essa é uma situação complicada para as impressoras vulneráveis. Já que a atualização não é rotineira e pode causar problemas, muitos administradores de sistema não a realizam; com isso, muitos equipamentos ficariam vulneráveis no caso do simples lançamento de uma atualização. Por outro lado, uma impressora que já teve um firmware malicioso instalado não pode ser reprogramada: o firmware malicioso irá simplesmente exibir uma mensagem de sucesso na instalação sem, de fato, instalá-la.

“Uma vez que você entrou no firmware, você está lá para sempre. É por isso que esse problema é tão sério e tão diferente. Não é como retirar um vírus de um PC”, afirmou o pesquisador Cui ao Red Tape da MSNBC.

Quem mais está acostumado a atualizar firmwares hoje em dia são os donos de consoles de videogame, como o Xbox 360, Playstation 3 e o Playstation Portable (PSP). Os firmwares podem ser baixados da internet e são incluídos em jogos novos, que necessitam da atualização para funcionar. É uma medida antipirataria. Ao contrário das impressoras HP vulneráveis – algumas delas custando mais de US$ 7 mil –, até mesmo o portátil PSP, lançado em 2004 e hoje encontrado por R$ 600, exige assinatura digital nas atualizações.

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários.

CURSOS, PALETRAS e WORKSHOP

PALETRAS E CURSOS SERÃO OFERECIDO PELO CLUBE DO HACKER AM

Cursos oferecido pelo clube do Hacker em Manaus:
mais detalhes: matricula@clubedohacker.com.br



Empregadores americanos pedem login e senha do Facebook para seus candidatos

Na Carolina do Norte, uma menina tirou uma foto do formulário que exigia dados confidenciais dos possíveis funcionários.

Alguns empregadores norte-americanos estão exagerando na dose de perguntas aos seus candidatos. De acordo com o a versão online do jornal Daily Mail, as empresas estão querendo extrair dados confidenciais de seus possíveis funcionários, como login e senha de suas páginas nas redes sociais.

Uma pessoa que estava concorrendo a uma vaga na Carolina do Norte tirou uma foto do formulário que fazia este tipo de exigência e divulgou na internet. Na página apareciam os seguinte dizeres: "Você tem alguma conta em páginas como Facebook, MySpace e etc? Se sim, liste seu nome de usuário e senha".

Segundo o site, os recrutadores estão tomando essa atitude, pois agora os recursos de privacidade das redes sociais, especialmente do Facebook, permitem que os usuários bloqueiem certas informações e atualizações de status. Ou seja, basta alguns cliques para que a companhia seja proibida de ver os dados dos candidatos.

O Daily Mail conta, ainda, que recentemente, na Austrália, uma profissional foi desclassificada por causa de seus posts no Facebook. Segundo o economista Mark Bowles, da Câmara do Comércio e Indústria da Tasmânia, essa tendência deverá fazer com que as pessoas criem mais de uma conta nas redes sociais para que elas possam continuar compartilhando suas fotos e mensagens livremente.

Você concorda com atitudes de empresas e/ou organizações que buscam saber da vida virtual social e pessoal de um candidato a uma vaga ?

MOMENTO ZEM !

Moto dobrável controlada por celular surpreende japoneses

Uma scooter robô, dobrável e que pode ser controlada por um smartphone, surpreendeu os visitantes do Salão de Tóquio 2011.





A tecnologia a cada dia estar no meios de comunicação de transporte de ensino. No dia a dia somos rodiados de informações de inovações de criações tecnologicas não sei como tem pessoas que não gostam nem de sentar em frente de um computador porque diz não saber utilizar, são de forma e de maneira onde podemos criar desenvolver e recriar novas formas de se utilizar uma mesma teoria.
(Jodson Martins)

Plano Nacional de Banda Larga, Tudo que precisa saber sobre o tema.

Veja o que esperar com a implantação do PNBL e quais são os pontos positivos e negativos desse programa

Desde maio do ano passado, quando o Programa Nacional de Banda Larga (PNBL) foi lançado oficialmente, não se fala em outra coisa. A sigla tomou conta da mídia e está na boca do povo. Mas, você sabe exatamente o que o plano vai te oferecer? E, ainda, você sabe quando ou como essa conexão vai chegar à sua cidade? A gente explica.

O objetivo do PNBL é massificar até 2014 a oferta da internet banda larga para 40 milhões de domicílios, espalhados por 4.283 municípios de todas as regiões do país. Até aí, tudo bem. No entanto, a intenção é oferecer conexões com velocidade de 1 Mbps por R$ 35,00 - ou R$ 29,90 para os Estados que aprovarem o corte do ICMS (imposto sobre operações relativas à circulação de mercadorias). E é aí que moram os problemas.

A velocidade e o preço não são dos melhores. Isso porque para baixar um arquivo de 1 GB com essa conexão, seriam necessárias cerca de 2 horas, e contratar um plano de R$ 35 por mês já é realidade nas operadoras privadas. No Estado de São Paulo, por exemplo, o Speedy e a Net Virtua oferecem planos de 1 Mbps por R$ 29,90.

Fora isso, o programa está bastante atrasado em sua implementação. A meta era oferecer banda larga para 100 municípios em 2010, mas a primeira cidade só foi contemplada em agosto de 2011. Agora, o governo federal anunciou que vai atender 1.163 municípios até dezembro e a Telebras, operadora do programa, afirmou que irá levar a banda larga para 142 municípios da região sul até 2012. Um dos desafios da empresa na implementação do PNBL é a necessidade de implantação da rede de fibras ópticas em 150 cidades brasileiras até o final deste ano.

"O maior obstáculo que enfrentamos é a velocidade de aprovação. É bem demorado conseguir licença ambiental e, por isso, dilata-se o cronograma. Esse é o motivo de termos procurado provedores parceiros", disse o presidente da Telebras, Caio Bonilha, em entrevista para o Olhar Digital. "Avançamos bastante na estruturação da Telebras durante esses meses e iniciamos os trabalhos de implantação do PNBL no Distrito Federal, Goiás e em outros estados do país", completa Bonilha.

Acordos de adesão ao programa já foram feitos com as principais operadoras de telefonia fixa e móvel do país como Oi, CTBC, Sercomtel, Telefônica e Tim. No entanto, as companhias terão de investir em regiões menos desenvolvidas e aumentar gradativamente o limite de downloads das conexões. As operadoras precisam garantir pelo menos 20% da velocidade assinada - ou seja, cerca de 200 Kbps.

Outra dificuldade é o custo do modem que deverá ser adquirido pelo usuário. Com o sistema de internet via rádio, apresentado pela SadNet e LogTel, é preciso ter uma estação receptora que custa mais de R$ 200. E para a banda larga móvel por 3G é mandatório um modem comercializado pelas próprias operadoras, que sai por cerca de R$ 95. Porém, Bonilha lembra que o governo está tomando medidas para o barateamento do custo de equipamento como a inserção de um artigo que propõe a desoneração de impostos sobre o preço dos modems.

Quer mais um empecilho? O PNBL tem um limite de downloads. De acordo com a Telebras, o usuário poderá baixar no máximo 300 MB por mês e, caso ele exceda, terá de pagar a mais ou ter sua velocidade reduzida até o próximo mês.

Para o ministério das Comunicações, a velocidade de 1 Mbps e limites de downloads não são ruins, uma vez que, de acordo com a última pesquisa do IBOPE, 21,1% da população conectada tem velocidades inferiores a 512 Kbps - se somarmos as conexões de até 2 Mbps, esse número chega 68,9%.

Apesar dos vários problemas, esta será a chance de vários brasileiros se conectarem e conhecerem o mundo de uma outra maneira - ainda que de uma forma mais lenta e com certas limitações. Segundo o ministro das Comunicações Paulo Bernando, o governo espera aumentar essa velocidade, mas apenas em 2014. A ideia é ofertar internet de 5 Mbps de velocidade. É esperar para ver.

Facebook contratará (milhares de empregados) em 2012

A afirmação foi feita pela diretora de desenvolvimento do Facebook, Sheryl Sandberg, que chegou a Nova York para anunciar a instalação nesta cidade, pela primeira vez, de uma equipe de engenheiros da empresa.

NOVA YORK, 3 dezembro 2011 (AFP) - A rede social de internet, Facebook, anunciou nesta sexta-feira sua intenção de contratar "milhares de empregados" em 2012, devido a uma previsão de crescimento exponencial, ao mesmo tempo em que espera por sua entrada em Bolsa no ano que vem.

A afirmação foi feita pela diretora de desenvolvimento do Facebook, Sheryl Sandberg, que chegou a Nova York para anunciar a instalação nesta cidade, pela primeira vez, de uma equipe de engenheiros da empresa.

"Vamos crescer o mais rápido possível em Nova York", disse Sandberg.

O Facebook conta atualmente com 3.000 empregados, segundo Sandberg, sendo uma centena deles em Nova York, onde se concentram as operações de marketing e contratação.

Sandberg se negou repetidas vezes, em uma coletiva de imprensa no escritório da empresa sobre a avenida Madison (pleno coração da Grande Maçã), a precisar quantas pessoas trabalharão em Nova York, mas disse que as instalações atuais do Facebook serão provavelmente insuficientes.

Atualmente, a maior parte dos engenheiros do Facebook ficam na sede, em Palo Alto (Califórnia, Oeste), tendo Seattle (estado de Washington, noroeste) como segundo centro.