15 Novembro 2018
Fonte:: UOL

extensoes 335fd

Volta e meia, desenvolvedores lançam novas extensões (ou aplicativos) para os navegadores e os usuários adoram a simplificação e a melhoria no acesso. De fato, boa parte dessas extensões são ótimas. Acontece que na internet nem tudo é 100% seguro e várias extensões podem abrir as portas da sua máquina para ameaças virtuais.

Estudo feito pelos especialistas em segurança Neha Chachra, Christopher Kruegel, Chris Grier, Giovanni Vigna e Vern Paxson analisou 48 mil extensões do Google Chrome e descobriu que 130 eram maliciosas, enquanto outras 4.712 eram suspeitas de envolvimento de diversas fraudes.

A situação piora quando se sabe que muitas dessas extensões são muito populares. Para se ter uma ideia, uma das extensões maliciosas baixada mais de 5,5 milhões de vezes pelos chineses. Nesse caso, a ferramenta rastreava e registrava todos os passos de navegação do usuário a um servidor remoto. Lá, as informações ficavam desprotegidas.

Entenda melhor o comportamento das extensões e os tipos de fraudes que elas podem cometer:

Como agem

Ao instalar extensões no seu navegador, o usuário mais desatento aceita uma série de permissões de acesso. Por exemplo, uma extensão que permite adicionar comentários em páginas da web precisa rastrear todo seu histórico de navegação. Aceitando as permissões, as ferramentas ganham muito poder no navegador.

Isso pode abrir as brechas de segurança e os cibercriminosos, mais atentos, conseguem interceptar e modificar requisições HTTP do navegador e injetar códigos JavaScript maliciosos em sites.

Diversos tipos de fraude

A pesquisa encontrou poucas extensões que tentam interferir em contas bancárias online. No entanto, é possível identificar uma grande variedade de fraudes a partir dos aplicativos, de roubo de credenciais a alterações em publicidades online. Um caso comum é os cibercriminosos se aproveitarem das extensões para espalhar anúncios em sites que rejeitam publicidade, como a Wikipedia.

Medidas do Google

Após ter conhecimento do estudo, o Google vem tomando algumas medidas para diminuir o número de extensões maliciosas. A primeira delas foi barrar a instalação de ferramentas fora da loja oficial do Google Chrome. E a empresa tem feito bastante testes antes de liberar o download de extensões.

O que fazer

Se nem uma empresa do porte do Google é capaz de identificar extensões maliciosas, imagina para um usuário comum. Aqui, é preferível usar os recursos nativos do navegador e instalar o menor número possível de extensões. Agora, se for necessário instalar alguma extensão, sempre procure fazer o download nas lojas oficiais dos browsers e faça uma pesquisa pela reputação do desenvolvedor.

Fonte:: IDGNOW!

firefox 6f58e

A Mozilla decretou nesta semana que os próximos recursos do Firefox para web deverão atender a um padrão que exige que todo o tráfego entre o navegador e o servidor (e vice-versa) seja criptografado.

“A partir de agora, todos os novos recursos que sejam expostos na web serão restritos a contextos seguros”, afirmou o engenheiro da Mozilla, Anne van Kesteren, no blog da companhia. “Um recurso pode ser tudo desde uma extensão até um objeto existente definido em IDL (Linguagem de Descrição de Interface), uma nova propriedade CSS, um novo cabeçalho de resposta HTTP, até recursos maiores como WebVR.”

Contextos seguros, também chamados de “nível de segurança mínimo”, são um padrão ainda em desenvolvimento da W3 (World Wide Web Consortium), a principal organização de padrões para a web. O principal objetivo desses “contextos seguros”, segundos os documentos, é: “Código de aplicação com acesso a dados privados ou sensíveis deve ser entregue de forma confidencial por meio de canais autenticados que garantam a integridade dos dados”.

Na prática, isso significa que o tráfego deve ser criptografado para evitar ataques do tipo “man-in-the-middle”, nos quais os hackers tomam o tráfego inseguro entre navegador e servidor ao ficar entre os dois e “ouvir”.

Daqui em diante, qualquer novo recurso do Firefox que se baseie na comunicação entre navegador e servidor funcionará apenas em conexões HTTPS. Recursos e/ou tecnologias mais antigos continuarão a operar em links HTTP não criptografados em uma “base de caso a caso”, segundo Van Kesteren. Ele também afirma que a Mozilla fornecerá ferramentas aos desenvolvedores para “facilitar a transição para contextos seguros”.

Essa iniciativa não veio “do nada”: a Mozilla anunciou originalmente as suas intenções para exigir HTTPS em abril de 2015. O primeiro item do plano então era “determinar uma data depois da qual todos os novos recursos estarão disponíveis apenas para sites seguros”, o que o anúncio desta semana efetivamente fez. E a Mozilla também não está em uma jornada solo neste assunto, uma vez que outras empresas, como o Google, vêm pressionando os sites para fazer a mudança do HTTP para o HTTPS desde 2014.

A próxima oportunidade para o Firefox introduzir um novo recurso ou tecnologia que será imediatamente afetado pelo seu anúncio será em 23 de janeiro, quando a versão 58 do navegador deve ser lançada ao público.

Fonte:: UOL

criptomoeda cc19a

Em meio à valorização do bitcoin, milhares de sites começaram a utilizar computadores dos visitantes para minerar moedas digitais. Isso, claro, sem a permissão dos usuários. É uma forma um tanto suspeita de se ganhar dinheiro, não?

E engana-se quem pensa que basta fechar a aba do navegador para resolver esse problema. Os sites continuam utilizando sua máquina para minerar. Isso porque eles abrem uma janela pequena atrás da barra de tarefas do Windows, onde o usuário praticamente não enxerga. Como ele não percebe essa pequena janela aberta, o minerador funciona interruptamente até que o computador seja desligado ou que o usuário encontre – e feche – a janela.

Não é só isso. O minerador não trabalha em sua capacidade máxima para que a ventoinha da sua máquina não gire tão rápido e os outros aplicativos não fiquem lentos. Dessa forma, fica ainda mais complicado de o usuário levantar alguma suspeita.

Descobrindo o truque

Em primeiro lugar, é importante ressaltar que esse truque só funciona na última versão do Google Chrome no Windows 7 e Windows 10.

Aí, uma maneira para descobrir se algum site abriu uma janela imperceptível para minerar criptomoedas é abrir o Gerenciador de Tarefas. Nele, você consegue visualizar todos os programas que estão em execução no momento. Caso positivo, basta fechar a janela.

Fonte:: UOL

atualizar 2771a

Volta e meia, você depara com um pedido de atualização em seu computador ou smartphone. Todo mundo sabe que é coisa simples e rápida, mas você tem mais o que fazer e prefere responder a outra mensagem.

Identificou-se? Se sim, então você faz parte dos 98% (!) dos usuários que não atualizam seus softwares, apps e sistemas operacionais, de acordo com a USENIX, associação norte-americana de profissionais de TI.

Pode até ser a opção da maioria, mas deixar para depois as atualizações é uma péssima ideia. Não é por acaso que softwares, apps e sistemas operacionais lançam versões atualizadas. Diariamente, milhares de códigos maliciosos são desenvolvidos com a finalidade de explorar vulnerabilidades nesses programas. Aí, para tapar esses buracos, as empresas de tecnologia lançam novas versões para impedir esses ataques. E se você não atualiza, toda a correria para dificultar a vida dos criminosos digitais vai por água abaixo.

Além de corrigir eventuais falhas e reforçar a segurança, as atualizações, de modo geral, melhoram o desempenho dos programas. A seguir, veja alguns exemplos de como novas versões proporcionaram mais segurança e melhor experiência aos usuários:

Softwares ou apps

Os criminosos digitais também aproveitam as fraquezas dos softwares para tirar alguma vantagem financeira. Nesse sentido, empresas costumam distribuir novas atualizações de seus produtos para fechar as vulnerabilidades reportadas por usuários e especialistas em segurança. Aqui, podemos citar a Adobe e o Windows, que sempre disponibilizam pacotes de atualização.

Os aplicativos de smartphones também merecem muita atenção. Para se ter uma ideia, a empresa de solução de software Codenomicon identificou 52 falhas de segurança, sendo 8 críticas, nos 10 aplicativos Android mais populares entre os brasileiros. Procure, portanto, não ignorar mais as atualizações oferecidas, uma vez que elas podem corrigir essas brechas.

NavegadoresSe você utiliza uma versão desatualizada do navegador, pode estar certo: os seus dados estão em risco, especialmente em lojas virtuais e nos bancos online. A lógica é simples: uma vez que a versão do seu navegador é de anos atrás, ele não está seguro para combater pragas virtuais que foram criadas recentemente.

Esse processo é tão importante que, desde janeiro deste ano, a Microsoft só fornece atualizações de segurança e suporte técnico para a versão mais recente do Internet Explorer. Por sua vez, o Google Chrome trata de fazer a atualização por conta própria. Mais do que atualizar o seu browser, procure instalar, também, as versões mais recentes dos plugins e extensões pelos mesmos motivos.

Sistemas operacionais

Aqui não faltam exemplos de sistemas operacionais que tiveram de correr contra o tempo para fazer atualizações que corrigissem algum bug. Para citar um exemplo, a Apple precisou lançar, às pressas, a versão 9.3.4 do iOS para resolver a vulnerabilidade que permitia a instalação de um programa espião nos aparelhos.

Agora que você já sabe da importância de manter a versão mais recente dos softwares, navegadores e sistemas operacionais, não há mais desculpas para não fazê-las.

Fonte:: UOL

 chrome 8eb32

De acordo com dados da ferramenta online StatCounter, o Google Chrome é o navegador mais popular do mundo, utilizado por 55% dos usuários de internet. Por isso, não é de se estranhar a frequência de armadilhas encontradas no browser.

Preocupado com a sucessão de páginas e plugins maliciosos, o gigante da internet desenvolveu um sistema de segurança nativo para o Google Chrome no Windows. A intenção é tornar o browser mais eficiente para lidar com extensões maliciosas.

Entre algumas novidades está o Chrome Cleanup. Ele assume o papel de antivírus nativo do navegador, capaz de identificar e eliminar códigos intrusivos e maliciosos por meio de varreduras periódicas. Isso sem mencionar que o recurso notifica o usuário sobre instalações indevidas de novos plugins.

Outro recurso importante detecta automaticamente quando as configurações originais do navegador são alteradas sem a intervenção direta do usuário. Nesse caso, quando você abre o navegador novamente aparece uma opção para retornar às definições padrões.

Vale lembrar que, por enquanto, essas funcionalidades só estão disponíveis para o sistema Windows. Mais do que isso: você deve atualizar o seu navegador para a versão mais recente.

Ganha aqui, perde ali

Se, por um lado, o usuário ganha em segurança com a implementação desse novo sistema de segurança, por outro ele perde em desempenho. Isso porque o Google Chrome já é conhecido pelo alto consumo de memória. Com a ferramenta de segurança nativa, a tendência é que o navegador fique ainda mais pesado.

Fonte:: IDGNOW!

google 933d5

O Google anunciou nesta semana que vai começar a bloquear anúncios no seu navegador Chrome a partir de 15 de fevereiro.

Os sites que quiserem evitar o “martelo” do Chrome podem se livrar de várias categorias amplas de anúncios online ou pagar um consórcio de anunciantes, associações comerciais de publicidade e empresas de tecnologia, incluindo Google, Microsoft e Facebook, para se tornarem “certificados”.

“A partir de 15 de fevereiro, em linha com as diretrizes da Coalisão, o Chrome vai remover todos os anúncios de sites que possuam um status ‘deficiente’ (‘failing’, no original)”, afirmou o Google em seu site, em referência à Coalition for Better Ads (CBA), um grupo que promete limpar a web dos seus anúncios mais irritantes.

A linha do tempo de bloqueio de anúncios do Chrome corresponde ao que o Google anunciou há seis meses, quando confirmou que iniciaria o controverso esforço no início de 2018. No meio de fevereiro, a maioria dos usuários do browser estarão rodando o Chrome 64, com lançamento previsto para a semana de 21 a 26 de janeiro. A atual versão do navegador é o Chrome 63.

No desktop, o Chrome vai bloquear quatro tipos de anúncios (de seis considerados), enquanto que no mobile (iOS e Android) o navegador irá barras oito tipos de anúncios (de 12 considerados): essas categorias foram identificadas pela CBA e seu painel de consumidores como as menos aceitáveis.

As quatro classes de anúncios que receberão o machado no desktop incluem pop-ups, os que reproduzem vídeo e áudio de forma automática, anúncios “prestitial” (que aparecem antes da home do site ser aberta) acompanhados por um relógio com uma contagem regressiva, e os chamados “large sticky ads”, que tomam mais de 30% da tela e ficam no mesmo lugar, não importa o quanto você desça o scroll.

Em vez de bloquear esses tipos de anúncios em todos os sites – como fazem a maioria dos add-ons de bloqueio para navegadores – o Chrome vai tomar um caminho diferente.

O browser do Google vai se basear em uma “whitelist” gerada pela CBA. Os publishers dos sites poderão iniciar o processo de certificação, e assim garantir um lugar na lista, no próximo mês, quando mais detalhes serão liberados pela empresa. Sites certificados precisam atender a determinados padrões, sendo que o mais importante é uma baixa proporção de tipos de anúncios inaceitáveis.

Nos primeiros dois meses do projeto – a data de início será revelada em janeiro, segundo a CBA – esses anúncios “desconceituados” não poderão responder por mais de 7,5% de todos as visualizações de página de um site certificado. E a proporção vai diminuir com o tempo. Então seis meses depois, esses anúncios só poderão responder por 2,5% das pageviews desses sites, por exemplo. Resumindo: a CBA permitirá que os sites certificados se ajustem ao bloqueio, com uma cota menor de anúncios “ruins” com o tempo.

Os sites que não se "voluntariarem" para serem certificados pela CBA, ou que sejam julgados como não complacentes pela organização – efetivamente todos os sites com exceção dos presentes na whitelist – terão anúncios das categorias banidas bloqueados. Mesmo um único anúncio sujeito a repreensões vai impulsionar um bloqueio pelo Chrome.

Apesar de a CBA ter revelado alguns detalhes sobre os padrões, a whitelist e como os sites podem contestar a decisão de bloquear anúncios, uma boa parte do programa, ainda permanecem uma incógnita. Não está claro, por exemplo, com qual periodicidade os sites serão reavalidos por violações, ou quanto poderá levar para apelar uma decisão.

Também ainda não há informações sobre taxas.

O porta-voz da CBA, Brendan McCormick, afirmou que pagamentos seriam exigidos da maioria dos sites que buscam certificação. No entanto, ele destacou que ainda há muito “a ser trabalhado” até o lançamento do programa. Segundo uma reportagem do site AdAge, a CBA poderá cobrar até 5 mil dólares dos principais publishers, enquanto que “publishers muito pequenos” poderão ser certificados sem ter de pagar nada.

“Muita coisa ainda não foi finalizada. Ainda há muito a ser trabalhado. A parte essencial é tornar isso acessível (para os publishers de sites”, afirmou McCormick para a Computerworld dos EUA.

Maior do mercado

Como o Chrome é o navegador mais popular do mundo, os publishers não podem descartar esse projeto de bloqueio de anúncios, como outros já fizeram antes, se a receita do seu site é baseada em publicidade. Segundo a empresa de análises Net Applications, o Chrome respondeu por 61% dos usuários de desktop do mundo em novembro de 2017.

Se o Chrome fechar a torneira, mesmo que bloqueie apenas as categorias de anúncios inaceitáveis, os donos de sites provavelmente verão uma queda em suas receitas. Mas é questionável se o Chrome conseguirá mirar de forma minuciosa o bloqueio apenas para alguns anúncios em um site não complacente, por isso vale acompanhar essa história de perto nas próximas semanas.